ISACA Madrid Chapter celebró el II Congreso de Auditoría y GRC, con interesantes ponencias y mesas redondas en materia de ciberseguridad, metodología para el control interno de los procesos tecnológicos, revisiones y auditorías. Los expertos del sector ofrecieron su experiencia práctica y sus logros profesionales, con el fin de compartirlos e intercambiar conocimientos necesarios para hacer frente a los riesgos derivados de la evolución tecnológica que, según constataron en muchas de las intervenciones, se produce a un ritmo al que es complicado adaptarse.
La trasformación digital, sus riesgos y sus normativas
Tras la bienvenida por parte del presidente de ISACA Madrid Chapter, Ricardo Barrasa, y del anfitrión Ignacio Cea, director corporativo de Estrategia e Innovación Tecnológica de Bankia, la periodista especializada Mónica Valle, que actuó como maestra de ceremonias, presentó a Rafael Tesoro Carretero, Programme Officer – EU policies de la DG CONNECT, Comisión Europea, quien explicó cómo la Unión Europea actúa en materia de ciberseguridad y en competencias digitales avanzadas.
El experto explicó cómo la UE ha lanzado cuatro proyectos piloto para preparar la Red Europea de Competencia en Ciberseguridad, con una dotación de 63,5 millones de euros, y destacó la implicación de 160 empresas y compañías de todo el territorio como partners, y la de los 26 estados miembros comprometidos. Se espera que estos proyectos refuercen la capacidad de ciberseguridad y aborden los futuros desafíos para un mercado único digital europeo más seguro.
Tras él, Ramsés Gallego, Embajador de ISACA Barcelona, dejó claro que la reputación digital de las empresas debería ser una de las disciplinas claves en la gestión de la reputación de cualquier empresa o institución. Según explicó, “hoy por hoy no es una simple gestión reputacional, es una gestión de crisis” y destacó que hay compañías que tienen esta importante asignatura superada, como es el caso de Apple, “que gobierna muy bien sus riesgos reputacionales porque cuenta con una gran capacidad de influenciar en la opinión de un colectivo. La reputación hay que medirla de cualquier manera porque solo se puede mejorar lo que se conoce”.
Regulación, análisis predictivos y externalización
Francisco Pérez Bes, Secretario General de INCIBE, arrancó su intervención con firmeza al asegurar que “la ciberseguridad es un tema de Seguridad Nacional y hay que tomársela muy en serio». En su ponencia insistió en la necesidad de incluir la ciberseguridad como una cultura a todos los niveles en organizaciones y empresas, de hablar de la protección de la información en su conjunto y de que los profesionales deben ser conscientes de que en un mundo de riesgos cambiantes hay que estar alerta porque estos nunca se acaban de gestionar completamente.
Ana Belén Soriano, Socio de Risk Advisory, y Fernando Vega Campos, Gerente de Risk Advisory de Deloitte explicaron modelos de gestión de los riesgos de las empresas en función de los elementos a controlar, cuyo aumento complica el proceso. Se ha pasado de no tener modelo, a tener un modelo manual, luego GRC y ahora la automatización del proceso, que debe caminar hacia “una herramienta que recabe información de todos los procesos y los evalúe, para llegar a la monitorización y auditoria continua, o incluso llegar a preveer los incumplimientos o incidentes del futuro. Vega Campos explicó qué es Predictive Analytics y Machine Learning; el análisis predictivo que utiliza herramientas estadísticas, para analizar datos históricos y tratar de predecir qué va a ocurrir.
La externalización de las compañías, la gestión de riesgos de terceros y la auditoría de los proveedores de cloud preocupa y mucho entre los profesionales del sector. Hazel Diez, CISO de Santander Global Tech, José Ramón Monleón, CISO de Orange España, Elena Mora, Subdirectora Marco Regulatorio de Seguridad de Mapfre, Javier Rubio, Gerente de Gobierno y Continuidad de Negocio de Ferrovial, moderados por José Miguel Cardona, Socio de la División de Seguridad de la Información de Auren, dejaron clara la necesidad de conocer para controlar los riesgos que aportan los proveedores y terceros, y de que los profesionales de la ciberseguridad debe tener presencia en las negociaciones y contrataciones con esos terceros para limitar los riesgos desde el primer momento, y durante toda la relación con los terceros.
Normativas, modelos de gestión, análisis y auditoría
El congreso continuó con interesantes ponencias como “Evite posibles Brechas: Gestione los Riesgos de Proveedores de acuerdo con el RGPD” de Ignasi Riera, Privacy Consultant EMEA de OneTrust, quien de nuevo habló de los proveedores y la necesidad de auditarlos para evitar brechas de privacidad y aseguriarse del cumplimiento del reglamento de protección de datos. Alejandro Delgado, Director comercial y socio de Audisec, por su parte, trató los “Nuevos Modelos de Análisis de Riesgos en Ciberseguridad y Auditoría de Sistemas de Información” y explicó cómo racionalizar el esfuerzo de control y auditoría mediante la automatización.
Para finalizar la jornada los asistentes disfrutaron de la narración de la experiencia de la “Gestión de la incertidumbre” de Víctor García, piloto de combate, que convenció a todos de que trabajo en equipo, cuyo componente es la lealtad, y el no perder de vista el objetivo común, es la base del éxito, junto con una metodología clara que permita estar preparado para la adaptación al cambio y la toma de decisiones ante cualquier situational awareness (conciencia situacional).
