El ISMS Forum llevó a cabo su 25ª edición de la Jornada Internacional de Seguridad de la Información el 16 de noviembre en el Estadio Cívitas Metropolitano de Madrid. Nosotros, desde Inprosec, asistimos para actualizarnos sobre las tendencias de Ciberseguridad en el sector nacional. Este evento, titulado «Building Effective Cybersecurity & Privacy Governance: The Path to Resilience», ofreció respuestas a preguntas clave sobre la gestión de la ciberseguridad y la privacidad en las organizaciones, reafirmando la creciente importancia de la seguridad de la información.
Roberto Barata, quien presentó la jornada, destacó la impresionante asistencia de más de 1500 personas. Las ponencias se agruparon en cuatro bloques principales:
- Privacidad y protección de datos
- Estrategia y políticas
- Tendencias en Ciberseguridad
- Seguridad en la nube.
Cada uno abordó temas como la Gobernanza de la Seguridad Cibernética, el Indicador de INseguridad Cibernética, la Privacidad y Seguridad en la IA Generativa, el Nivel de Madurez en Seguridad Cibernética, los Manuales para Fugas de Datos y el Estado del Arte de la Seguridad en la Nube.
Ponencias
La primera estuvo presidida por James Murphy, Global Product Manager de IBM, quien habló de las oportunidades que incorpora la IA generativa a la hora de mejorar la detección y prevención de los ciberataques. También habló de que, por el contrario, en manos de los ciberdelincuentes se convierte en una peligrosa arma al facilitar y automatizar sus ataques. También comentó la importancia de regular el uso de la IA
Le siguió la mesa redonda de track 2 sobre AI generativa. Aquí se habló sobre la importancia de proteger la información interna en el uso de la IA mediante una adecuada gestión de los privilegios de los usuarios y también de que los fabricantes creen que la tendencia será que los ciberdelincuentes desarrollen herramientas autónomas para generar ciberataques, utilizando la IA generativa. Destacan el crecimiento de la cantidad de exploits que se están publicando por la facilidad que da la IA. Algunos fabricantes ya se valen de ella en alguno de sus productos y servicios para absorber ciertas tareas que pudiesen ser tediosas y repetitivas.
La charla de Cyber Workforce Resilience. Antonio Cerezo, Head of Cibersecurity de Sanitas, daba unas pinceladas de cómo retener el talento y comentaba que es importante motivar al equipo, asignándole diferentes tareas y moviéndolos, en ocasiones, a otras áreas del departamento para que adquieran nuevos conocimientos. Tampoco se olvidó de recalcar el papel importante de la formación continua.
La cuarta ponencia trató sobre ingeniería social e IA generativa. Los diferentes asistentes hablaron sobre la importancia de concienciar a los empleados sobre su uso mediante formación continua. Se enfocó desde diferentes puntos de vista, versiones todas son complementarias entre sí mediante el uso de plataformas de tele formación, con charlas de expertos en Ciberseguridad, incidiendo en que los usuarios pueden aplicar las acciones que llevan a cabo en su vida personal, como el uso del doble factor de autenticación cuando acceden a los servicios de banca digital, para generar hábitos que luego puedan aplicar en el trabajo.
La charla impartida por Adriel Regueira de Nozomi, trató sobre la importancia de poder conocer los dispositivos, detectar las vulnerabilidades y los riesgos asociados a dichos dispositivos y disponer de mecanismos de respuesta para poder mejorar la resiliencia de nuestras redes OT y dispositivos IoT.
En la ponencia de la empresa Bitsight, sobre la gestión del riesgo de ciberseguridad en la cadena de suministro, se comentó que el 88% de las empresas ya incluyen los ciberataques como un riesgo de negocio. Según un informe de KPMG, el 73% de las empresas han sufrido, dentro de su cadena de suministros, al menos un incidente de ciberseguridad. Tanto en las normativas DORA como en NiIS2 se incide en la importancia de la gestión de riesgos con terceros. En otro informe de Enisa (European Union Agency for Cybersecurity) se presentan datos muy preocupantes como que solo una de cada cuatro empresas tiene definido un responsable de ciberseguridad para entornos OT.
Otra de las charlas la impartió José Ramón Coz, auditor interno de ciber en la ESA (Agencia Espacial Europea), quien nos contó que Galileo es el sistema de satélites para navegación líder a nivel mundial. La sede principal está en Holanda y desde ahí el equipo de auditorías de ciber gestionan unas 100 auditorías anuales, dedicando un 15% del tiempo en la planificación y un 20% en comunicación a las partes involucradas. Los alcances de las auditorías son complejos porque la cadena de suministro es muy grande: muchos subcontratistas con diferentes niveles, se aplican regulaciones en 10 áreas, realizan pentest periódicos, importancia de la ingeniería social. Existen más de 1000 documentos críticos relacionados con la ciberseguridad, más de 100 sites con infraestructura y trabajan con más de 30 proveedores.
La última ponencia versó sobre el estrés del CIO. Se ha realizado un estudio en base a un cuestionario a más de 70 CISO de empresas españolas y se han sacado las siguientes conclusiones: el estrés percibido se desarrolla sobre una escala de 0 a 40, saliendo una media de 19,34, un nivel medio tirando a alto que empieza a partir de 20. 10 encuestados están en zona de riesgo, 10 en zona de agotamiento y 10 en zona de depresión. Se han identificado cinco factores principales que figuran en el informe que se publicará por parte del ISMS. Como conclusión, el aumento de los ataques cibernéticos impacta directamente en el estrés de los profesionales de la ciberseguridad. Las claves son: 1. Sobrevivir, 2. Adaptarse a los cambios y 3. Evolucionar. La clave es conocernos para protegernos.
Como conclusión, podemos decir que la XXV edición de ISMS fue un escenario de colaboración público-privada donde se presentaron iniciativas y propuestas de valor para el impulso y fomento del buen gobierno de la ciberseguridad. La efectiva incorporación de buenas prácticas por parte de la organización supuso una señal de madurez en ciberseguridad y ha contribuido tanto a una mejor gestión del riesgo como a la protección de sus objetivos y, de manera indirecta, de todos aquellos actores relacionados que pudiesen verse afectados por las actividades de la organización.
