ISACA Madrid Chapter celebró la 2ª jornada del IV Congreso de Auditoría & GRC, motivado por la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento, con el lema «Gestionando el (ciber)riesgo sistémico», donde se analizaron las nuevas amenazas, la gestión de los ciberriesgos sistémicos, las terceras partes como vectores de grandes riesgos, la resiliencia operacional, los cisnes negros, la búsqueda de eficiencias tras haber demostrado ser resilientes durante la situación actual, etc.
Vanesa Gil, presidenta de ISACA Madrid Chapter, inició la jornada presentando la ponencia Keynote: «Securing ecosystems in an era of rapid transformation» en la que Chris Dimitriadis, (ISACA Board of Directors) explicó que «en la Estrategia de Ciberseguridad de la Unión Europea, de Diciembre de 2020, la Comisión y la Unión identifican la introducción de riesgos derivados de las nuevas tecnologías, cuyos beneficios reconocen, pero proponen el modelo basado en ecosistemas de nuevas tecnologías, y hay que asegurarlo entero, no sistemas aislados».
Para este experto «El mundo se ha tornado más digital. No se trata de proteger solo datos aislados, sino aquellos que están y se manejan en el ecosistema digital y poner el énfasis en asegurar el mismo y la cadena de suministro». Dimitriatis insisitó en que «ya no existe el perímetro y no existirá más, y estamos hablando de datos, servicios, sistemas y partes críticas del mismo; del ecosistema de todo ello» y destacó la siguiente generación de ataques a la cadena de suministro con un incremento del 430% de ciberataques.
Gobierno de la cadena de valor
Continuó la jornada Joaquín Castillón, Associate Partner EY con la ponencia «El Gobierno integral de la cadena de valor», en la que habló de la ciberseguridad en la cadena de suministro y de cómo la interdependencia más profunda de proveedores y terceros en la arquitectura 5G expandirá la superficie de ataque en la red. Castillón aseguró que entre el 33% y el 47% de los ciberincidentes (dependiendo del estudio), se deben a brechas de seguridad de terceros y que por ello el modelo de gestión de riesgos tecnológicos y de ciberseguridad de proveedores, debe ser una pieza más del modelo de gobierno integral de terceros.
Ante la pregunta de ¿cómo podemos gestionar la ciberseguridad en la cadena de valor?, para Castillón la clave, según su opinión, sería «establecer el marco de gobierno de riesgos IT y ciber de forma integral, pero granular, en toda la cadena de valor, desde el proveedor hasta el cliente». Así, tras plantear el modelo por etapas para conseguirlo, concluyó con las claves para establecer un sistema de «Ciberseguridad End To End, con gestión de riesgos integral, con la selección de proveedores basada en su nivel de seguridad, estando atentos a la evolución del riesgo, con un modelo basado en las necesidades de negocio (TPRM) y en la objetividad».
Los proveedores, el gran riesgo
La mesa redonda «Grandes riesgos, vector proveedores», moderada por Juan Antonio Calles (CEO de Zerolynx, arrancó con los ejemplos de riego sistémico derivado de la dependencia con proveedores que explicaron los participantes y continuó con la evaluación del nivel de conciencia empresarial respecto a la gestión de los riesgos de terceros.
Jorge Pérez Fernández (Gerente de Auditoría interna de Mutua Madrileña) indicó que el sector seguros sí la había porque se trata de un sector «con una fuerte y obligatoria regulación y un crítico deber de cumplimiento». Para Enrique Salgado Becher (Global IT Manager de Cabify), sin embargo, «en las pymes y empresas de mediano tamaño no hay una concienciación de ciberseguridad y ésta se sigue entendiendo como un coste extra en lugar de como una inversión a no ser que pertenezcan a un sector regulado y lo necesiten».
Antonio Ramos (CEO y Socio Fundador de LEET Security), aportó datos del estudio anual de LEET Security y el Club de Excelencia en la Gestión, respecto a la «Ciberseguridad en la Cadena de Suministro», que se realiza entre 150 grandes y pequeñas empresas de todo tipo, y hay un tercio de ellas que no realizan ningún control sobre terceros. Según explicó Ramos, «el nivel de concienciación sobre la necesidad de asegurar el riesgo de la cadena de suministro es algo que aprendemos a base de incidentes y de regulación (porque lo pide EIOPA, NIS, EBA…). El 50% de los incidentes que tienen lugar en las organizaciones viene derivado de un fallo de terceros. ¿De qué sirve elevar mi nivel de seguridad si el de mis proveedores no se eleva conmigo?, planteaba Ramos.
Herminio de Campo Cueva (Director general del Centro de Cooperación Interbancaria – CCI), explicó que «en la banca tenemos la concienciación en un alto nivel y la obligación normativa derivada de supervisores como la EBA (Autoridad Bancaria Europea). Cuando hay un ciberincidente, todo el mundo piensa en dos cosas o activos atacados: el dinero y los datos».
Responsabilidad y aseguradoras
Ante la pregunta de si hay un ciberataque al proveedor, ¿quién es el responsable? y ¿qué pasa con los ciberseguros? Enrique Salgado fue categórico al aclarar que “el seguro de ciberriesgo no se hace cargo del incidente, puesto que no es debido a la empresa cliente que lo contrata. Los ciberseguros son útiles en casos de ciberincidentes, pero no cubren el impacto en la cadena de valor, sino solo a la empresa con coberturas que hayan sufrido, debidas al incidente».
Antonio Ramos explicó que las pólizas de ciberriesgo están para cubrir riesgos residuales y no para cubrir riesgos principales pues, de lo contrario, serían infinitas y con un coste inasumible. Las aseguradoras se encuentran en una fase de análisis y reflexión, referente al volumen de incidentes, coberturas y rentabilidad, que se está materializando en un endurecimiento de las condiciones de las pólizas y en un incremento del importe de dichas coberturas.
Sobre nuevas situaciones que se están produciendo este último año no vividas hasta ahora, como una gran volumen de casos de 0-day (Zero-Day o ataque de día cero) a grandes cuentas (Microsoft, Shopify…) que están provocando muy importantes fugas de información Ramos confirmó que «este años se han producido incidentes y fugas de información impensables hace unos años. Somos muchos más vulnerables de lo que pensábamos».
La mesa también habló de cómo la normativa NIS establece que cada operador del sector esencial es responsable de la actuación de sus proveedores y en RGPD también establece responsabilidades similares, se apuntó lo fácil y barato que es para un hacker atacar «porque al final es gratis hacerlo y hay bastante impunidad, y mostró su preocupación por la concentración de servicios en tres o cuatro proveedores cloud (nube)».
«Para los bancos las entidades supervisoras son el Banco de España o el Banco Central Europeo, para las aseguradoras está la Dirección General de Seguros, pero en el caso de las TIC, ¿quién le va a decir a Google que su servicio cloud no es bueno y no cumple?. Por otro lado, el cloud ha nacido global no local», contestaba Antonio.
Si quieres acceder al resumen de la primera jornada del encuentro pincha aquí