Primera jornada del IV Congreso de Auditoría & GRC de ISACA Madrid

Gestionando el (ciber)riesgo sistémico

Noticia

ISACA Madrid Chapter celebró la 1ª jornada del IV Congreso de Auditoría & GRC, motivado por la creciente sensibilidad de las compañías en materia de Gobierno, Riesgo y Cumplimiento, con el lema "Gestionando el (ciber)riesgo sistémico", y que este año tendrá lugar también los próximos Jueves 11 y 18; los "JuevexISACA".

AUD GRC I

Vanesa Gil (presidenta de ISACA Madrid Chapter), presentó las jornadas, con una exposición sobre la transformación digital, el uso de nuevas tecnologías y los riesgos que conlleva para la seguridad, privacidad y a la confianza de los clientes en las empresas y sus productos. La primera jornada se centró en los riesgos sistémicos (escenarios de muy baja probabilidad y muy alto impacto) desde la perspectiva de la ciberseguridad, los cisnes negros y las medidas para minimizarlos, garantizando la continuidad de negocio y la resiliencia.

Inició la jornada Emilio Granados Franco (Jefe de Riesgos Globales y Agenda Geopolítica del

World  Economic Forum - Foro Económico Mundial) con su ponencia "Perspectiva de riesgos

globales 2021: un futuro fracturado", en la que presentó el último Reporte de Riesgos (The

Global Risk Report: http://reports.weforum.org/global-risks-report-2021/) del

World Economic Forum, que se publica por la red de expertos del foro, una semana antes de la convención anual de Davos.

El informe cuenta con tres pilares esenciales (Encuesta de percepción, Investigación empírica y Especulación informada) y se estructura en seis capítulos (Visión sobre el presente, Error 404 (lo que parece tener más probabilidad de ocurrir ahora), Pandemials (cómo afectará la situación a jóvenes de entre 15 y 24 años), Dilema del poder medio, Mercados imperfectos, y una Retrospectiva.

"El horizonte de riesgos en el corto plazo es muy dispar, todos los riesgos se están acentuando en toda la actividad humana", decía Emilio al exponer las respuestas sobre riesgos y amenazas a corto plazo (0-2 años): la pandemia, el empleo, la climatología, la ciberseguridad, la desigualdad digital, el estacionamiento de la economía, los ataques terroristas, la desilusión juvenil y la cohesión social. En cuanto a los riesgos digitales, el informe destaca los siguientes: las Barreras a la inclusividad digital, la División digital y las Sociedades desconectadas.

Las conclusiones que Emilio dejaba encima de la mesa eran las siguientes: la necesidad de un Contexto, equidad y gobernanza, que las máquinas no reemplazarán a los humanos sino que trabajarán con ellos y no en su lugar y la fundamental necesidad de alfabetización digital.

Es el momento de…

Borja Álvaro (Socio de Risk Advisory de Deloitte) continuaba con su ponencia "Es el momento". Respecto a la pandemia del COVID, "Estamos en la tormenta perfecta que, jamás antes hemos vivido, cuyo impacto nos fue imposible prever y que, además, tiene unas características únicas: Imprevista, Incierta, Mundial y Universal", decía. Pero, la realidad es que no era tan imprevista (Estrategia de Seguridad Nacional (ESN) de 2017, que trata sobre epidemias y pandemias).

Borja decía que "esta crisis no ha supuesto una crisis de continuidad de negocio pues, realmente, no ha afectado a los activos de las empresas. Los edificios estaban, las personas también, el negocio no ha parado, las personas seguían trabajando desde sus casas...". Se ha tratado más de una evolución del modelo de continuidad de negocio.

Jose Miguel Cardona (Socio de la División de Seguridad de la Información de Auren) moderó a continuación la mesa redonda "Las grandes amenazas que nos acechan", lanzando la primera pregunta: ¿Qué características debe tener un riesgo para que lo consideremos sistémico y cómo lo encajamos en el mundo ciber?

Soledad Antelada Toledano (Cybersecurity Engineer en National Energy Rersearch Scientific Computing Center (NERSC)) abría la mesa. "Un riesgo sistémico es todo aquello que lleve a la posibilidad de tirar abajo un sistema por completo, haciendo que colapsen además sistemas que están interconectados entre sí, a nivel global".

Un ejemplo claro es el de Solarwinds donde la explotación de una vulnerabilidad y la inclusión de un malware en una actualización de los sistemas de una empresa que accede a otra que le compra, afectó a millones de usuarios.

David Muñiz Villance (CISO de Talgo), comentaba que las claves son el tiempo y las medidas compensatorias. Se trata del "efecto dominó" que, casi siempre se produce por: Vulnerabilidades, Usuarios administradores y/o permisos y Personas que requieren de concienciación.

Debemos dominar el "miedo de riesgo, o miedo del pánico", el conocido por el "qué pasa sí...", como riesgo sistémico, decía David.

Jose Francisco Pereiro Seco (Cyber and Technology Risk Emerging Technology Lead en BPN Paribas) definía el riesgo sistémico como la situación en la que le número de activos afectados supera el umbral y produce un efecto en cascada. Lo que le preocupaba, decía, son las infraestructuras críticas  y los servicios cloud (el posible "Cloudgate", lo llamó).

Jorge Uyá Gil (Chief Operating Officer en Entelgy Innotec Security), además de las infraestructuras críticas y el cloud, apuntaba a los grandes proveedores de servicios de TI. "Tenemos una excesiva dependencia de servicios de TI de terceros que entendemos siempre van a funcionar. Pero, si no funcionan... ¿qué pasa?".

¿Cómo pueden prevenir las organizaciones a los "cisnes negro"?

"La certeza en sí es que no hay certeza, pues, tarde o temprano vas a sufrir un incidente mayor o menor y las consecuencias dependerán de como estés preparado", decía Soledad. El efecto sorpresa y el impacto depende de esa preparación y, para ello, lo más necesario y clave es contar con auditorías continuas.

"Tenemos mal acostumbradas a las empresas. Cuando ocurre algo nos lo cargamos todo al hombro y tiramos para adelante, sacando todo como se puede y, además, luego se dice aquello de qué lentas se han hecho las cosas", decía David. Desde su punto de vista cuando un cisne negro aparece es que has sobrepasado tu capacidad, y entonces “la probabilidad la puedes atajar pero tienes que ganar tiempo para atajar el impacto”.

Jorge ponía el ejemplo de Netflix  y su iniciativa "The Monkey Army" o "The Monkey Chaos". Este es un software desarrollado por ellos que está continuamente tirando abajo sus componentes, servidores y servicios en Amazon Web Services (AWS), pero garantizando que el servicio general está continuamente funcionando, aunque haya piezas que fallen.

Es un importante cambio de mentalidad pues lo que proponen es que "la infraestructura funcione, aunque las cosas fallen. Una última pregunta de Jose Miguel a la mesa fue si ¿el futuro del análisis de riesgos, podrá estar basado en la Inteligencia Artificial y el Big Data?

A David, de momento y aunque se ha hecho mucho, le sonaba a ciencia ficción, mientras que Soledad rebatía que ya hay iniciativas en marcha, trabajando en supercomputación, Redes Neuronales y Machine Learning, aplicados a la detección de amenazas y los sistemas de detección de intrusos. Sin embargo la realidad es que aún está al alcance de pocas empresas. Requiere de inmediatez (trabajar en tiempo real) y gestión (tratamiento y análisis de ingentes volúmenes de datos (Big Data) por segundo).

Las dos próximas jornadas de este IV Congreso de Auditoría y GRC tendrán lugar de nuevo  en formato ONLINE los días 11 y 18 de marzo, bajo el lema "Gestionando en (ciber)riesgo sistémico".

11 de marzo

18:00-   Bienvenida         Vanesa Gil, Presidenta de ISACA Madrid

18:05-    Keynote: "Securing ecosystems in an era of rapid transformation". Chris Dimitriadis, CISA, CISM, CRISC - Chair (2015‑2017), ISACA Board of Directors

18:20-   Ponencia             Joaquín Castillón, Associate Partner de EY

18:40-   Reflexiones...

18:50-   Mesa redonda: "Grandes riesgos, vector proveedores"

  • Herminio del Campo Cueva, Director General del Centro de Cooperación Interbancaria (CCI)
  • Jorge Pérez, Gerente de Auditoría Interna en Mutua Madrileña
  • Antonio Ramos, CEO y socio fundador de LEET Security
  • Enrique Salgado, Global IT Manager de Cabify
  • Modera: Juan Antonio Calles, CEO de Zerolynx

20:00-   Fin

Inscripción gratuita para prensa