Gestionando el (ciber)riesgo sistémico

ISACA Madrid Chapter celebró la 1ª jornada del IV Congreso de Auditoría & GRC, motivado por la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento, con el lema «Gestionando el (ciber)riesgo sistémico», y bautizados como «JuevexISACA».

ISCA Madrid celebra la I jornada del Congreso de Auditoría & GRC

 

Vanesa Gil, presidenta de ISACA Madrid Chapter, presentó las jornadas, con una exposición sobre la transformación digital, el uso de nuevas tecnologías y los riesgos que conlleva para la seguridad, privacidad y a la confianza de los clientes en las empresas y sus productos. La primera jornada se centró en los riesgos sistémicos (escenarios de muy baja probabilidad y muy alto impacto) desde la perspectiva de la ciberseguridad, los cisnes negros y las medidas para minimizarlos, garantizando la continuidad de negocio y la resiliencia.

Inició la jornada Emilio Granados Franco, Jefe de Riesgos Globales y Agenda Geopolítica de lWorld Economic Forum – Foro Económico Mundial, con su ponencia «Perspectiva de riesgos globales 2021: un futuro fracturado», en la que presentó el último Reporte de Riesgos del World Economic Forum, que se publica por la red de expertos del foro, una semana antes de la convención anual de Davos.

El informe cuenta con tres pilares esenciales (Encuesta de percepción, Investigación empírica y Especulación informada) y se estructura en seis capítulos (Visión sobre el presente, Error 404 (lo que parece tener más probabilidad de ocurrir ahora), Pandemials (cómo afectará la situación a jóvenes de entre 15 y 24 años), Dilema del poder medio, Mercados imperfectos, y una Retrospectiva.

«El horizonte de riesgos en el corto plazo es muy dispar, todos los riesgos se están acentuando en toda la actividad humana», dijo Emilio al exponer las respuestas sobre riesgos y amenazas a corto plazo (0-2 años): la pandemia, el empleo, la climatología, la ciberseguridad, la desigualdad digital, el estacionamiento de la economía, los ataques terroristas, la desilusión juvenil y la cohesión social. En cuanto a los riesgos digitales, el informe destaca los siguientes: las Barreras a la inclusividad digital, la División digital y las Sociedades desconectadas.

Las conclusiones que Emilio dejó encima de la mesa fueron: la necesidad de un Contexto, equidad y gobernanza, que las máquinas no reemplazarán a los humanos sino que trabajarán con ellos y no en su lugar y la fundamental necesidad de alfabetización digital.

Borja Álvaro, Socio de Risk Advisory de Deloitte, continuaba con su ponencia «Es el momento». Respecto a la pandemia del COVID, «Estamos en la tormenta perfecta que, jamás antes hemos vivido, cuyo impacto nos fue imposible prever y que, además, tiene unas características únicas: Imprevista, Incierta, Mundial y Universal», decía. Pero, la realidad es que no era tan imprevista (Estrategia de Seguridad Nacional (ESN) de 2017, que trata sobre epidemias y pandemias).

Borja señaló que «esta crisis no ha supuesto una crisis de continuidad de negocio pues, realmente, no ha afectado a los activos de las empresas. Los edificios estaban, las personas también, el negocio no ha parado, las personas seguían trabajando desde sus casas…». Se ha tratado más de una evolución del modelo de continuidad de negocio.

Jose Miguel Cardona, Socio de la División de Seguridad de la Información de Auren, moderó a continuación la mesa redonda «Las grandes amenazas que nos acechan», lanzando la primera pregunta: ¿Qué características debe tener un riesgo para que lo consideremos sistémico y cómo lo encajamos en el mundo ciber?

Soledad Antelada Toledano, Cybersecurity Engineer en National Energy Rersearch Scientific Computing Center (NERSC), abrió la mesa. «Un riesgo sistémico es todo aquello que lleve a la posibilidad de tirar abajo un sistema por completo, haciendo que colapsen además sistemas que están interconectados entre sí, a nivel global».

David Muñiz Villance, CISO de Talgo, comentó que las claves son el tiempo y las medidas compensatorias. Se trata del «efecto dominó» que, casi siempre se produce por: Vulnerabilidades, Usuarios administradores y/o permisos y Personas que requieren de concienciación.

Debemos dominar el «miedo de riesgo, o miedo del pánico», el conocido por el «qué pasa sí…», como riesgo sistémico, decía David.

Jose Francisco Pereiro Seco, Cyber and Technology Risk Emerging Technology Lead en BPN Paribas, definió el riesgo sistémico como la situación en la que le número de activos afectados supera el umbral y produce un efecto en cascada. Lo que le preocupaba, decía, son las infraestructuras críticas y los servicios cloud (el posible «Cloudgate», lo definió).

Jorge Uyá Gil, Chief Operating Officer en Entelgy Innotec Security, además de las infraestructuras críticas y el cloud, apuntaba a los grandes proveedores de servicios de TI. «Tenemos una excesiva dependencia de servicios de TI de terceros que entendemos siempre van a funcionar. Pero, si no funcionan… ¿qué pasa?».

¿Cómo pueden prevenir las organizaciones a los «cisnes negro»?

«La certeza en sí es que no hay certeza, pues, tarde o temprano vas a sufrir un incidente mayor o menor y las consecuencias dependerán de como estés preparado», decía Soledad. El efecto sorpresa y el impacto depende de esa preparación y, para ello, lo más necesario y clave es contar con auditorías continuas.

«Tenemos mal acostumbradas a las empresas. Cuando ocurre algo nos lo cargamos todo al hombro y tiramos para adelante, sacando todo como se puede y, además, luego se dice aquello de qué lentas se han hecho las cosas», decía David. Desde su punto de vista cuando un cisne negro aparece es que has sobrepasado tu capacidad, y entonces «la probabilidad la puedes atajar pero tienes que ganar tiempo para atajar el impacto».

Jorge puso el ejemplo de Netflix y su iniciativa «The Monkey Army» o «The Monkey Chaos». Este es un software desarrollado por ellos que está continuamente tirando abajo sus componentes, servidores y servicios en Amazon Web Services (AWS), pero garantizando que el servicio general está continuamente funcionando, aunque haya piezas que fallen.

Es un importante cambio de mentalidad pues lo que proponen es que «la infraestructura funcione, aunque las cosas fallen. Una última pregunta de Jose Miguel a la mesa fue si ¿el futuro del análisis de riesgos, podrá estar basado en la Inteligencia Artificial y el Big Data?».