La ciberseguridad y la protección de datos en tiempos de pandemia

Más de 600 profesionales accedieron a la emisión simultanea de la primera edición del Foro Digital, Cyber Security & Data Protection Online Forum el pasado 28 de mayo organizado por ISMS Forum – Internation Information Security Community-. A lo largo de la jornada online se analizaron los desafíos futuros a los que se enfrenta la ciberseguridad y la protección de datos.

ISMS FORUM DESAFIOS CIBERSEGURIDAD

Con dos salas dedicadas a dominios específicos de ciberseguridad y protección de datos, la jornada abordó temas de actualidad tales como la futura Estrategia Digital Europea y el gobierno del dato, la continuidad de negocio ante incidentes de seguridad de terceros y su compliance de privacidad, o la ciber resiliencia activa para la gestión y respuestas de esos incidentes, entre otros asuntos de interés.

Gianluca D’Antonio y Carlos A. Saiz, presidente y vicepresidente de ISMS Forum respectivamente, fueron los encargados de presentar ambas salas. Durante la inauguración, pusieron en valor la Asociación, que ha sido capaz de abrirse camino en el entorno digital para seguir desarrollando su actividad ante la crisis del COVID-19, resaltando la importancia de reinventarse en condiciones adversas como las que estamos viviendo.

Una de las participaciones más destacadas del día fue la de Comisión Europea, que dio cuerda al programa de ponencias en ambos tracks. En el de ciberseguridad, intervino Kristina Kardum, DG Communications Networks, Content and Technology (EC) y, en el de privacidad, Paul Nemitz, Principal Advisor in the Directorate-General for Justice and Consumers (EC).

La digitalización: pros y contras en estos tiempos de crisis

Kardum dedicó su intervención a hablar de la futura Estrategia Digital Europea y el gobierno del dato, en la que explicó cuáles serán las prioridades digitales de la Unión Europea de ahora en adelante. “Hemos puesto énfasis en quién se va a beneficiar de esta estrategia y queríamos asegurarnos de que tanto los ciudadanos como las empresas podrán hacer uso de la tecnología para mejorar, crecer e innovar”, comentó.

Para ello, la experta señaló la necesidad de contar con una economía digital competitiva y justa, al tiempo que convivimos en una sociedad democrática, abierta y sostenible. “Queremos invertir en competencias digitales para todos los europeos y proteger a las personas de las ciberamenazas porque la ciberseguridad es una de las principales prioridades de la Comisión”, añadió.

Por su parte, Paul Nemitz habló de la Estrategia de Datos Europea y sus implicaciones en el contexto actual de crisis. “La negligencia en cuanto al cumplimiento en seguridad de datos está sujeta a multas muy altas y medidas estrictas que pueden llegar a paralizar un negocio”, explicó.

La necesidad de construir una organización sólida frente a la incertidumbre

Daniel Madrid, Director, Information Security Consulting Iberia Practice Leader de Gartner, participó también en la sala dedicada a ciberseguridad y dedicó su charla a hablar sobre el rol del CISO en el escenario de nueva normalidad que vendrá como consecuencia de la crisis que ha provocado el COVID-19. Desde el punto de vista del experto, en este momento nos encontramos en una fase de incertidumbre indefinida en la que no sabemos cómo se van a comportar los clientes, los mercados y los modelos de negocio.

Ante un escenario de estas características, el ponente destacó la importancia de acercarse al término acuñado como techquilibrium, que define el punto de equilibrio adecuado que toda compañía debería intentar alcanzar entre sus capacidades tradicionales y digitales para ser capaces de conseguir los objetivos estratégicos a pesar de estar en un entorno de alta incertidumbre.

techquilibrium, define el punto de equilibrio que las compañías deberían alcanzar entre sus capacidades tradicionales y digitales para lograr los objetivos estratégicos

Asimismo, Madrid explicó que tras varios research realizados desde Gartner, han concluido que existen tres atributos que separan a las organizaciones sólidas y preparadas, de las frágiles. Estos son, la triple A: anticipación, alineamiento y adaptabilidad.

Para todos ellos, desde Gartner recomiendan, respecto a la anticipación, adoptar una postura proactiva, acercarse al negocio, liderar cambios y buscar oportunidades. Desde el punto de vista del alineamiento, es importante transformar el rol del CISO dentro de la organización y ser habilitadores de transformación para la resiliencia a largo plazo. En el plano de la adaptabilidad, no está de más reconsiderar el rediseño de los programas de ciberseguridad a la hora de trabajar.

La ciberseguridad nacional en el contexto actual 

Una de las mesas redondas más interesantes de la jornada estuvo formada por representantes de las instituciones públicas tales como Mar López, Jefa de Ciberseguridad del Departamento de Seguridad Nacional (DSN), Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), Alberto Francoso, Jefe de Análisis del Servicio de Ciberseguridad y OCC del CNPIC, y Marcos Gómez, subdirector de INCIBE-CERT de INCIBE.

Los profesionales aportaron sus puntos de vista acerca del contexto actual y si este puede propiciar un cambio en la concepción de la ciberseguridad por parte de las organizaciones públicas y privadas, además del nivel de resiliencia del sector en estos momentos.

desafíos ciberseguridad

Asimismo, Alberto Francoso destacó que, desde el CNPIC, la necesidad de uso de las tecnologías en esta situación de crisis repleta de incertidumbre ha propiciado dudas en la parte de operadores críticos que les compete. Según el experto, “sí que han demandado cierta dirección estratégica para saber qué hacer y cómo abordar este trance”.

Por otro lado, hubo espacio para debatir sobre la nueva estrategia de ciberseguridad europea y qué nos gustaría desde España que se pusiera de relevancia. “Nos falta una legislación de ciberseguridad que nos ponga a todos unos requisitos mínimos. Necesitamos un ciberespacio más seguro y confiable, ese es el desafío que tenemos que seguir trabajando desde España y desde el resto de Europa”, señaló Marcos Gómez.

La privacidad en la gestión de terceros: la recomendación es “no contratar”

La primera entrevista de la sala de privacidad la protagonizó Francisco Torres, DPO del Banco Sabadell, y Alfonso J. Menchén, DPO de Iberdrola España, con Carlos A. Saiz, vicepresidente de ISMS Forum, como moderador. La conversación giró en torno a la privacidad en la gestión de terceros, qué importancia tiene y cómo se gestiona a un proveedor que -pese a ser beneficioso para una organización- no proporciona ninguna acreditación en cuanto a la privacidad de los datos.

“Nos podemos encontrar con muchas casuísticas a la hora de hablar con un proveedor que no ofrece garantías en privacidad. Si hablamos de un gran proveedor, la negociación es más difícil que al estar en igualdad de condiciones, donde sí puedes exigir contrapartidas. Desde el punto de vista del DPO, lo que recomendamos directamente es no contratar. Si por el motivo que sea, y que ha de estar justificado, es necesario exigir garantías adicionales, y si no fueran suficientes, es el responsable de la contratación el que debe asumir el riesgo de forma documentada”, comentó Menchén.

Taiwan, ¿un ejemplo a seguir como respuesta al COVID-19?

La ponencia “Digital tools and data protection in Taiwan’s response to COVID-19” fue la que puso el broche final a esta sala de privacidad, y vino de la mano del Dr. Nicholas Martin, Senior Researcher, Fraunhofer Institute for Systems and Innovation Research (ISI).

La tecnología ha sido un factor muy importante, se han monitorizado las cuarentenas digitalmente, se han vigilado los movimientos masivos, y se han utilizado los datos para ver si alguien había contraído el virus o provenía de otro país”, explicó el ponente.

En referencia al sistema de respuesta llevado a cabo por Taiwán, el experto comentó que “la estrategia de contención del COVID-19 del país se basó en un uso extensivo, pero medido y centrado en el ser humano de la tecnología de la información, e infracciones sustanciales, no ilimitadas, de la privacidad, pero con base legal; número limitado de individuos afectados, algunas salvaguardias; impedimento de cierres a gran escala y restricciones de la libertad civil”.

Todo esto, según el investigador, implica una gran aceptación social de tales medidas y nos lleva a preguntarnos cuál es el peso relativo que debe darse a las diferentes dimensiones de la protección de datos relacionadas con el consentimiento y la voluntad, frente a las salvaguardias institucionales.