Cyber Security Forum Marbella, con la familia de la ciberseguridad

Es sabido que los desafíos compartidos unen, quizá por ello entre los profesionales de la ciberseguridad suele haber un ambiente muy abierto y positivo. Sean cuales sean las circunstancias propias de cada organización, todas ellas afrontan retos muy similares cuando se trata de ciberseguridad. Como en los Encuentros de ITDM Group, los foros de responsables de seguridad tienen algo de terapia de grupo, de reunión familiar en la que se comparten penas y alegrías.

Si la terapia de grupo tiene el mar al fondo y el sol arriba, reconozcámoslo, todo sienta mucho mejor. Especialmente después unas semanas de frío y viento. Es uno de los aciertos del Cyber Security Forum Marbella: son sesiones de trabajo, pero en un ambiente distendido que favorece el networking. Dos jornadas en las que hay tiempo para una presentación en profundidad, una mesa redonda de participación abierta, dos talleres y dos espacios de entrevistas One2One, además de múltiples oportunidades para hablar cara a cara de ciberseguridad.

 

Un modelo exitoso de gestión del riesgo

La primera presentación del foro corrió a cargo de Carlos García, Third Party Cyber Risk Management de Tendam. El experto explicó cómo con más de 100 proveedores activos, es difícil gestionar un ecosistema que crece más rápido de lo que se puede controlar. Para ello establecieron un sistema de gestión basado en el riesgo, bajo el marco de la ISO 27001 y NIST, con un modelo funcional en todos los países en los que tienen presencia.

El experto destacó cinco claves para el éxito de este modelo: el patrocinio real de la alta dirección; la centralización del sistema sin caer en el exceso burocrático; la clasificación por criticidad desde el inicio; la integración del modelo dentro del Sistema de Gestión de Seguridad de la Información; y el esfuerzo por centrarse no solo en los procesos, sino en la construcción de cultura en torno a la gestión del riesgo.

Teniendo en cuenta que “si no podemos medir algo, es imposible mejorarlo”, García señaló que intenta medir el riesgo en euros. Con su modelo de gestión del riesgo, pasaron “de reaccionar a los incidentes a adelantarnos a ellos”. Entre otras cosas, lograron una reducción de los incidentes asociados, así como del tiempo medio de evaluación, y hubo una mejora de la madurez de los proveedores críticos.

Josep Bardallo, CISO de Grupo Argal, Viktor Kijaško, especialista en resiliencia tecnológica de DHL, y Ulises Pereyra, Head of Cybersecurity de Nestlé, en la mesa redonda “Brechas inevitables: estrategias para gestionar el ataque”.

Enfrentándose a las inevitables brechas

En el principal panel de debate del evento, bajo el título “Brechas inevitables: estrategias para gestionar el ataque”, Josep Bardallo, CISO de Grupo Argal, moderó las intervenciones de Viktor Kijaško, especialista en resiliencia tecnológica de DHL, y Ulises Pereyra, Head of Cybersecurity de Nestlé. La sesión se vio además enriquecida por las preguntas y comentarios de la audiencia.

En la sesión se destacó que, a la hora de recuperarse tras recibir un ataque, es importante tener claros conceptos como el tiempo de parada que se puede aguantar, qué sistemas críticos de TI soportan los procesos clave para el negocio, cuál es la secuencia de recuperación y cuál la organización en los momentos de crisis. También está adquiriendo una importancia creciente la inteligencia de amenazas.

Para lograr todo ello y tener calma y foco en los momentos críticos, una de las claves es simular escenarios de crisis con el comité de dirección, incluso con la estructura de equipos de respuesta a incidentes bien definida. Si bien no es posible entrenar todas las situaciones, dado que la incertidumbre es uno de los elementos de un ciberataque, las organizaciones identifican, y entrenan, los escenarios más probables.

En todo caso, los expertos recordaron que estos escenarios se tienen que revisar, igual que el Análisis de Impacto al Negocio (BIA), que tiene que ir adaptándose, “estar vivo”, precisamente para poder afrontar los cambios en las amenazas. Así mismo, se destacó la importancia de alinear la estrategia específica de ciberseguridad con la de recuperación y resiliencia general de la compañía.

Las reuniones On2One permitieron a los participantes conocer mejor tanto las propuestas tecnológicas como las necesidades corporativas.

 

Terapias de grupo de ciberseguridad

Este panel de debate, que se desarrolló en el primer día del evento, supuso una primera puesta común de grupo, teniendo en cuenta la amplia participación de los asistentes, todos ellos en puestos de liderazgo en el ámbito de la ciberseguridad y la tecnología. Pero la verdadera “terapia de grupo” tuvo lugar en la mañana del jueves 19 de febrero, con los dos talleres paralelos.

En uno de ellos, Alberto Manchado, director de Sistemas e IT de Prensa Ibérica, habló de “Cómo convertir la gestión del riesgo en una ventaja competitiva”. Y, junto a él, todos los asistentes a su taller compartieron cómo la digitalización ha transformado sus modelos de negocio. Y el modo en que trabajan en la gestión del riesgo para favorecer el desarrollo corporativo.

Durante la sesión paralela, a cargo de Pedro de Acuña, responsable de Sistemas y Seguridad de Cash Converters, y bajo el título “Arquitectura preventiva: cómo reducir el riesgo antes del ataque”, los participantes también expusieron el modo en que se enfrentan al riesgo cibernético en su día a día. El perfil de la organización, las presiones normativas o el trabajo de formación fueron algunos de los elementos que se compartieron con el grupo.

Después de una jornada bastante intensa, hubo un momento para el esparcimiento, de la mano de Carlos Fortuna, un “ilusionista corporativo” que ofreció un número de magia y mentalismo muy divertido y adaptado al mensaje de importancia de la colaboración y el trabajo conjunto de CloserStill Media. Y, antes del almuerzo de despedida, todavía hubo espacio para la entrega de premios Cyber-Awards, de la que destacaremos el otorgado al CISO del año entre los asistentes: Jefferson Palacios, CISO de la Sagrada Familia.