Durante los dias 8 y 9 de junio el capítulo de ISACA Madrid celebró su congreso anual High Level Conference on Assurance 2016
A lo largo de las dos jornadas se trataron temas relevantes y de actualidad como el papel de los auditores en la transformación digital, las vulnerabilidades en entornos críticos, las funciones del CISO del futuro, la nueva legislación de protección de datos europea, y el ciberterrorismo, entre otros.
De todas las ponencias he elegido como referencia de este congreso la mesa redonda sobre “El Futuro de la Seguridad Corporativa” porque resume de forma global la situación actual y las expectativas de futuro en materia de ciberseguridad a la que se enfrentan actualmente la mayoría de las organizaciones.
La sesión estuvo moderada por Ricardo Cañizares de Eulen; y en ella participaron Jose Mª González Souto (Mapre), Jose Ricardo López (Sareb), Pedro Pablo García (Eleven Paths), y Nicolás Rodríguez Tolmo (Ferrovial)
Ricardo Cañizares fue haciendo preguntas clave a los componentes de la mesa; a través de las cuales se fue exponiendo la experiencia y la visión de futuro de cada uno de los expertos.
¿Cuales son los principales riesgos actuales de una organización ?
A esta primera cuestión los componentes de la mesa fueron aportando distintos aspectos del riesgo; que se pueden resumir en los siguientes:
– La complejidad de los sistemas y los recursos de información
– La descentralización de los activos de información
– La exposición de la información fuera de la red corporativa (Riesgo externo)
– La denegación de servicio
– La transformación digital
– La gestión de la seguridad en la cadena de suministro
– La diferencia de legislación en cada país en las empresas multinacionales
¿ Qué respuesta se está dando a estos riesgos desde las compañías?
Nicolás Rodríguez explicó en su turno de palabra cómo la seguridad informática se tiene en cuenta en Ferrovial desde la dirección de la compañía. Siguen un modelo de gestión de seguridad centralizado; en el que proveen servicios de seguridad a través de su catálogo. Estos servicios son proporcionados o bien internamente, o bien por compañías externas especializadas. Por lo que es de vital importancia la colaboración desde distintos puntos de vista: interdepartamental, con los proveedores externos; y también con entidades publicas como INCIBE. Además Nicolás Rodríguez señaló que están abordando temas como la gestión de la configuración, la salvaguardad de los activos, la protección específica de los datos más sensibles (contratos y licitaciones), y el aprovechamiento de la información que se recoge con el Big Data.
El representante de Sareb, José Ricardo López, trasladó las principales líneas que aborda su estrategia de seguridad como son la gestión del riesgo interno y externo, la integración de la seguridad física (personas) y lógica (sistemas y proveedores), y la supervisión en la transferencia del riesgo.
En Mapre, según trasladó José Mª González, disponen de un plan estratégico de seguridad único para todos los países. El plan centraliza aquellos aspectos de la seguridad que tienen sentido; pero se adapta también a cada una de las circunstancias de cada país. En este linea se intenta sistematizar y estandarizar procedimientos a través de una catálogo de servicios. José Mª subrayó que actualmente están poniendo bastante énfasis en la capacidad de respuesta ante incidentes de seguridad; y para ello disponen de capacidades de monitorización, y de ejercicios de simulacros. Adicionalmente están preparando un equipo de respuesta ante incidentes heterogéneo compuesto tanto por especialistas en seguridad, como por miembros de otros departamentos de la compañía que faciliten la continuidad del negocio en caso de desastre.
Pedro Pablo García, de Eleven Paths, insistió en la importancia de dotar a los clientes de capacidad de ciberresilencia para evitar la quiebra de las empresas después de sufrir un ataque informático.
¿Qué pasos se deben dar para afrontar los nuevos retos de la seguridad corporativa ?
José Ricardo López, de Sareb, indicó que su estrategia básica de seguridad se basa en el lema de prevenir, detectar y responder. E hizo especial hincapié en la prevención. El portavoz de Sareb recomendó la compartición de información de incidentes que permita estar preparados para futuros ataques; y la realización de campañas de concienciación en materia de seguridad, que mitiguen el impacto de los ataques de ingeniería social. También recomendó la realización de ciberjercicios
Pedro Pablo García se sumó al lema de prevención, detección, respuesta de José Ricardo López. Y apuntó como una de sus actividades habituales la colaboración privada-privada, y público-privada basada en distintos acuerdos con otras corporaciones como Microsoft, o la pertenencia a ciertas organizaciones de seguridad como la Cyber Threat Alliance
En cuanto al tema de cumplimiento normativo, Pedro Pablo recomendó el mantener una línea base que garantice unos mínimos controles aplicables a todos los países; aunque se precise de adaptaciones particulares en cada caso.
Para hacer frente a los nuevos desafíos de seguridad corporativa, el portavoz de Ferrovial dijo que la piedra angular es la alineación de la ciberseguridad con los objetivos estratégicos del negocio; para que de esta manera pueda acompañar a la transformación digital que están sufriendo actualmente muchas de las compañías, o que lo harán en un futuro cercano. Nicolás Rodríguez recalcó que la ciberseguridad no debe ser un freno, sino un habilitador del negocio; y desconfió de la seguridad de la nueva tendencia tecnológica Internet of Things, a la que denominó “Insecurity of Things”. En este sentido, expresó la idea de que “si estás conectado eres vulnerable”
José Mª González recordó que el análisis y la gestión de riesgos es uno de los instrumentos principales del esquema de ciberseguridad de cualquier organización. Habrá algunos riesgos que haya que asumir, otros que mitigar, y otros que transferir. El representante de Mapre señaló la colaboración público-privada como una herramienta más en su estrategia de ciberseguridad; y en este sentido apuntó su relación con las embajadas y fuerzas de seguridad en los países donde tiene delegaciones. José Mª González destacó la importancia de que la estrategia de ciberseguridad se adapte a los nuevos modelos de desarrollo de aplicaciones mucho más ágiles que en el pasado; donde los tiempos de desarrollo y el ciclo de vida de la aplicación son ahora mucho más cortos. Además insistió que todos los esfuerzos del equipo de seguridad deben ir dirigidos no sólo a proteger, sino a aportar valor al negocio; quizás identificando otros usos de la ciberseguridad; como por ejemplo la toma de decisiones a partir de la información proporcionada por la monitorización (Big Data).
¿ Cuales son los principales retos que el CISO debe afrontar ?
Pedro Pablo Pérez de Eleven Paths señaló como desafíos más relevantes el hecho de que por una parte tiene que migrar de una seguridad defensiva a una seguridad basada en la inteligencia; y en segundo lugar el cambio de rol dentro de la organización. La tendencia actual dentro de la mayoría de las grandes multinacionales es que el CISO dependa directamente de la dirección corporativa, y no del departamento de IT, como venía haciendo tradicionalmente. Esto facilita la alineación de la ciberseguridad con la estrategia del negocio; pero requiere de unas habilidades directivas y de negociación, que antes no se le exigían.
Nicolás Rodríguez aportó varios retos para el CISO del futuro. Algunos de ellos ya conocidos como la mitigación de las fugas de información, la gestión de presupuestos ajustados, y seguimiento de los controles de seguridad; pero otros relativamente novedosos como son la concienciación en todas las capas de personal de la compañía, o la gestión de talento para evitar el abandono de la empresa por parte de personal altamente cualificado.
José Ricardo López ve claro, como el resto de los expertos convocados, que la ciberseguridad puede y debe aportar valor al negocio a pesar de las dificultades. Pero además debe ser ágil y facilitarse como un servicio que se adapte al entorno cambiante actual de las compañías.
En el caso de Mapre, Jose Mª González subrayó como desafío notable el que la seguridad se debe adaptar tanto a los servicios digitales, como a los servicios de los usuarios que operan desconectados de Internet. José Mª González está de acuerdo con el resto de ponentes en que el CISO debe conseguir que la ciberseguridad debe aportar valor al negocio; y en que debe desplegar medidas ágiles de seguridad que se adapten a las nuevas tecnologías que están llegando.
Como conclusión se observa que estamos asistiendo a un cambio tecnológico y regulatorio, al que las organizaciones deben adaptarse no sólo en el aspecto técnico y legal, sino también en la gestión de la seguridad de la infraestructura informática, y de los nuevos activos de información (IoT, Big Data). Esta gestión y gobierno de la ciberseguridad debe estar alienada con el negocio, y debe ser capaz de aportarle valor. En este escenario uno de los actores principales es el CISO; cuyo mapa mental debe estar compuesto por prevención + detección + respuesta; y que será uno de los responsables del plan de respuesta ante incidentes que permita a las compañías remontar la situación en caso de una brecha informática.