ISACA Madrid Chapter ha celebrado la 3ª y última jornada del IV Congreso de Auditoría & GRC, que abrió Vanesa Gil (presidenta de ISACA Madrid Chapter), presentando a David Barroso (CEO y Cofundador de CounterCraft), comenzó la jornada con su ponencia "El síndrome de la rana hervida", que insistió en la necesidad de ser resilientes ante el volumen de vulnerabilidades y los ciberincidentes, que crece exponencialmente, es imparable y se han constatado en los casos más recientes como el del SEPE, SolarWinds, Microsoft Exchange, F5, Cisco... y "nadie se libra", según Barroso.
Este experto explicó que “estamos evolucionando con los cambios que se producen, pero no nos estamos dando cuenta. Es la tormenta perfecta con todo los que temíamos llegase; ataques a la cadena de suministro, ransomware profesionalizado y espionaje por gobiernos” y para solucionarlo es necesario un importante cambio de mentalidad, “seguimos pensando en listas (checklist), mientras que los ciberdelincuentes hace tiempo que ya piensan en grafos, y esa es la diferencia vital", dijo Barroso.
También habló de la desaparición del concepto de perímetro. “Las personas y los dispositivos no están dentro y son dispares. Todo ha cambiado por lo hay que cambiar de mentalidad. Los ciberincidentes van a ocurrir y lo harán continuamente, y debemos priorizar los importantes y automatizar los que podemos gestionar, centrarnos en la detección, dejar de gestionar incidentes para gestionar adversarios y dejar de pensar en checklists y pensar en grafos”.
Continuidad de negocio
Israel Hernández (Socio responsable del sector financiero de Business Security Solutions de PwC, en su ponencia "Resiliencia operativa, mucho más allá de la Continuidad de Negocio" explicó cómo se había comportado frente a la crisis del COVID el modelo del Sistema de Gestión de Continuidad de Negocio (SGCN), basado en el ciclo de mejora continua PDCA y apuntaba tres realidades para replantear el actual modelo de Continuidad de negocio; los rinocerontes grises, como el COVID y su persistencia, los incidentes con proveedores como vector adicional de entrada de ataques y los ciberataques focalizados y dirigidos.
Hernandez enumeró las lecciones aprendidas con el COVID en la gestión de continuidad de negocio “debe tener un horizonte temporal superior a una semana o quince días, se ha dado nuevos escenarios e indisponibilidades donde existen limitaciones a la movilidad y debe existir coordinación con proveedores, alineación y consistencia entre la continuidad TI y la continuidad de negocio”.
Respecto al futuro, Hernández explicó el significado del concepto de Antifragile “un cambio de paradigma en el que utilicemos mecanismos y sistemas automatizados de aprendizaje continuo para la mitigación del impacto. Así ocurre con The Chaos Monkey, un mecanismo utilizado por Netflix, mediante el cual existe un artefacto tecnológico de estrés continuo que se encuentra constantemente, y de forma automatizada, sacudiendo y provocando fallos inesperados y aleatorios, tirando servicios y sistemas, realizando acciones para "autoprobar" o "autosabotear" todo continuamente”.
De la resiliencia a la eficiencia
Soraya Sabio García (Responsable de Desarrollo de Negocio de Audea), presentó a los ponentes de la mesa redonda "De la resiliencia a la eficiencia" y planteó a los participantes si en términos operativos la pandemia les había cambiado la forma de trabajar en su organización.
Jorge Blanco Alcover (Head of Solutions Portfolio. Corporate Security de BBVA), respondía que había un antes y un después de la pandemia. Ya existía un camino recorrido en transformación digital pero esta situación lo ha acelerado todo y nos ha obligado a utilizar, de forma masiva, herramientas colaborativas, servicios cloud, herramientas en remoto, herramientas de teletrabajo, etc., y, afortunadamente sin impacto en resiliencia tecnológica, finalizaba comentando Jorge.
Alberto Pinedo Lapeña (National Technology Officer de Microsoft que cobró más relevancia la protección, poniendo foco en los responsables de ciberseguridad, y en la situación de incremento de colectivos vulnerables derivados de lo que denominó "polipandemia".“Se ha producido una cultura de asumir que hay que respetar el tiempo del que está al otro lado para la vida cotidiana y personal y en eso hemos avanzado” explicó.
Olga Sánchez (CRISC, Security Governance Director de CaixaBank), por su parte explicó que “veníamos de una transformación de procesos hacia la digitalización, vino la pandemia y el plan de expansión que teniamos lo hemos hecho super rápida y eficientemente”.
Marc Soler (Consultor de Negocio de Digital Risk en Grupo SIA) también abundó en que la pandemia ha sido un catalizador y agilizador de cuestiones como el teletrabajo que no se terminaban de implantar hasta ese momento. “El hecho de reducir tiempos no productivos, que se perdían en estaciones y aeropuertos ha hecho nuestro tiempo más efectivo. Ha sido una oportunidad de eficientar nuestra manera de trabajar y nuestros procesos, que ha venido para quedarse”.
Blanco Alcover, insistió en que el trabajo remoto basado en entornos colaborativos ha permitido mantener la actividad y “si, estamos siendo más productivos que nunca por las horas que pasamos ante la pantalla, y hay que aprender a desconectar. Están sobreviviendo muchas compañías que tenían esto implando”. Alberto Pinedo resaltó que hay un componente de fatiga digital “que nos ha ayudado a repensar, a evitarla e incluir herramientas que ayuden a no tenerla. Cuando las cosas funcionan es porque hay tres factores que están funcionando: el talento, la tecnología y la tolerancia. Si eres capaz de unir esas tres piezas y ponerlas como base del modelo de negocio, todo irá bien pues la tecnología es un medio, pero no es el medio que sustenta todo”.
Olga Sánchez explicó las dificultades de tener que interactuar con entornos (educación o sanitario) no tan digitalizados que “se han puesto las pilas. Todo el mundo quiere digitalizar su empresa por lo que ha pasado. La educación es uno delos ejemplos. La única forma mantener niveles de seguridad razonables es ser eficiente”.
Para conseguirlo, los ponentes de la mesa hablaron de la necesidad de aumentar la capacidad de detención de riesgos desde fuera, cambiar el foco a la hora de proteger, porque la seguridad parte de que todo está interconectado; todo el mundo tiene un dispositivo en casa conectado con el trabajo, se están procesando 8 billones de señales diarios y por ello hay que automatizar al máximo la respuesta a una situación crítica.
Si necesitas el contenido completo de la jornada, lo tienes aquí:
