El 30 de mayo tuvo lugar en Madrid la celebración de la XXI Jornada Internacional de Seguridad de la Información de ISMS Forum, el congreso privado nacional de referencia para los sectores de la ciberseguridad y la protección de datos, que este año adoptó el título “Cyber Risk Appetite in the new Digital Revolution». Más de 800 profesionales se reunieron en torno a más de 60 ponencias, workshops y talleres, con la presencia de 83 ponentes de primer nivel que compartieron las claves para afrontar el nuevo escenario de ciberamenazas.
“Veremos a los mayores referentes del sector privado y expertos independientes, que se sumarán a los ya más de 725 expertos que han pasado hasta la fecha por el congreso y que han hecho posible que hoy la Jornada Internacional de Seguridad de la Información de ISMS Forum sea el mayor congreso internacional de seguridad de la información del sector privado que se organiza en España”, así comenzaba Gianluca D’Antonio, presidente de ISMS Forum, su discurso inaugural.
Durante la sesión de bienvenida, estuvo presente Miguel Ángel Ballesteros, Director General del Departamento de Seguridad Nacional (DSN) y Alberto Hernández, Director General del Instituto Nacional de Ciberseguridad (INCIBE). Ambos destacaron la necesaria apuesta público-privada en el marco de la Seguridad de la Información.
La segunda edición del Libro Blanco del CISO ya está disponible
Uno de los últimos proyectos llevados a cabo por la Asociación en colaboración con INCIBE ha sido la elaboración del Libro Blanco del CISO, un documento sin precedentes en España que constituye una primera aproximación para definir el estado de la figura del CISO, con el objetivo de poner en el mercado una guía de referencia para los directores de Seguridad de la Información, así como para las propias organizaciones en su definición organizativa.
Durante el transcurso del congreso, tuvo lugar la presentación de la segunda edición documento, que incluye una novedad importante: el informe sobre el rol del CISO a partir de los datos obtenidos de una encuesta realizada a 40 CISOs de diferentes empresas en España. Marcos Gómez, subdirector de Servicios de Ciberseguridad de INCIBE, y Gonzalo Asensio, CISO en Bankinter y miembro de la Junta Directiva de ISMS Forum, fueron los encargados de explicar las claves de esta nueva edición.
La cooperación entre gobiernos, clave para construir una ciberseguridad sólida
La jornada contó con la presencia de representantes de instituciones internacionales de la talla del gobierno británico, Comisión Europea (CE), la Agencia Europea de Ciber-defensa y el Servicio Europeo de Acción Exterior (SEAE). La primera ponencia que dio cuerda a este encuentro fue la de Peter Yapp, subdirector del Centro Nacional de Ciberseguridad (NCSC, sus siglas en inglés), hablando sobre lo que está haciendo el gobierno británico en la industria en términos de colaboración y en materia de ciberseguridad.
De ello también se habló en el panel de expertos en el que participaron Agnieszka Wierzbicka, Policy Officer and Delegated National Expert del Servicio Europeo de Acción Exterior (SEAE), y Salvador Llopis, Project Officer for Cyber Defence Research and Technology de la Agencia Europea de Ciber-defensa.
¿Qué hace a una compañía resiliente ante los ciberataques?
Según Eva Ignatuschtschenko, Policy Lead (Cyber Security Incentives & Regulation) del gobierno británico, “una organización con la calificación más alta ha demostrado haber tomado las medidas adecuadas para administrar los riesgos de seguridad cibernética de la organización y, por lo tanto, aumentar la resiliencia operativa”.
Por ello, la experta contó cuáles son los principales objetivos a alcanzar para lograr que una compañía sea verdaderamente resiliente ante los ciberataques: incentivar a las juntas directivas para que asuman la responsabilidad, proporcionar un modelo coherente para evaluar la resistencia cibernética a nivel organizativo en todos los sectores y tamaños, incentivar a las organizaciones para que traten la seguridad cibernética no como un problema de TI / seguridad, sino como un problema de gestión de riesgos y proporcionar una defensa antes y después de que ocurran los incidentes.
El Proyecto de Crisis Cibernéticas concluye con una “tendencia al alza” en concienciación
Tras el éxito de la primera y la segunda edición del proyecto de Gestión de Crisis Cibernéticas, se llevó a cabo la tercera edición de la mano del Departamento de Seguridad Nacional (DSN) y de ISMS Forum, con el apoyo y la colaboración de terceras entidades públicas y privadas.
La presentación de los resultados se realizó durante la jornada a cargo de Andrés Ruiz, responsable del Área de Ciberseguridad del DSN; Jesús Castaño, Responsable de la Sección de Innovación de la OCC, CNPIC; Eduardo Di Monte, CEO, Oylo; Carlos González, Active Resilience director, Oylo; Anna Domínguez, Gerente de culturaciberseguridad.com; y María Cumbrera, Privacy, Risk Management & Compliance Legal Advisor, Ecix Group.
En este sentido, los participantes explicaron que la principal novedad de esta tercera edición es que, se tome la decisión que se tome, no tiene por qué estar bien o mal, lo importante es que esté debidamente justificada. La finalidad del proyecto es crear concienciación sobre los riesgos existentes a todos los niveles, reforzar la comunicación y la coordinación (interna y externa) y, en definitiva, entrenar a las empresas en la gestión de ciber crisis.
“Todos somos vulnerables y el que crea que no lo es, más”
Román Ramírez, Gerente de Arquitectura y Operaciones de Ferrovial y Coorganizador de la RootedCON, fue otro de los ponentes destacados que centró su participación en los sesgos cognitivos más comunes a través de los cuales los seres humanos somos influenciados cuando nos intentan vender productos o servicios. Uno de los más usuales es el sesgo de arrastre, es decir, la tendencia a convencer al usuario final de hacer algo porque muchas personas lo hacen. Otro de los sesgos más peligrosos, según el experto, es el que está relacionado con la ilusión del control, esto es, convencernos de que podemos influir sobre los acontecimientos.
El Libro Blanco del DPO: el próximo documento de referencia elaborado por la asociación
ISMS Forum lanzará el primer Libro Blanco del DPO en España, un documento que persigue ser una guía para definir la posición de la figura del Delegado de Protección de Datos en las organizaciones. Uno de los aspectos en los que mayor foco ha puesto el grupo de trabajo es el Gobierno de la Privacidad. El documento responderá a cuestiones como dónde está ubicado el DPO en el organigrama, de qué área depende, a quién reporta, si tiene independencia financiera y con qué recursos y capacidades cuenta, entre otras cuestiones. Además, se enfocará en presentar diferentes situaciones y casos de estudio provenientes de las propias experiencias de sus autores.
La DPO Community lanzará la Guía para la Aplicación del Derecho a la Portabilidad
Esta comunidad, formada por Delegados de Protección de Datos, ha elaborado este informe de aplicación práctica que constituye un repositorio de casos simulados que pretenden ilustrar buenas prácticas en el ejercicio del Derecho a la Portabilidad. En su estructura, analiza el impacto de este derecho en el sector, los datos personales que incluye y su aplicabilidad, la información al interesado, plazos, medios y formato, así como las posibles limitaciones y/o responsabilidades del receptor.
Durante la presentación del documento en la Jornada Internacional, Susana Rey, DPO del Grupo Euskaltel, recalcó la importancia de la guía por su poder didáctico al facilitar ejemplos prácticos de cómo se aplicaría este derecho en diversos sectores, así como no hay que hacerlo.
José Luis Piñar: “Debemos tener en una mano el reglamento, y en la otra, la norma nacional”
En clave de privacidad, una de las intervenciones destacadas del día fue la de José Luis Piñar, ex director de la Agencia Española de Protección de Datos (AEPD) y catedrático de Derecho Administrativo y Vicerrector de Relaciones Internacionales en la Universidad San Pablo-CEU, cuya conferencia se centró en las evaluaciones de impacto y cómo deberían enfocarlas los delegados de protección de datos a partir del artículo 24 del Reglamento Europeo de Protección de Datos (RGPD), que el catedrático considera “el más importante” de la normativa europea.
Además, el ex director de la AEPD aprovechó para señalar que las evaluaciones de impacto suponen un ejercicio de “sinceridad y transparencia” hasta tener una fotografía clara y exacta del riesgo inherente, a partir de la cual se debe decidir qué medidas emplear para que ese riesgo se convierta en un riesgo residual, bajo o muy bajo.
La XXI Jornada Internacional de Seguridad de la Información fue la cita ineludible de profesionales, expertos, compañías e instituciones públicas para debatir sobre el presente y el futuro que supone la transformación digital, y los ciberriesgos a los que se enfrenta el sector empresarial.
