Esa fue una de las conclusiones de la XXI Jornada Internacional de Seguridad de la Información de ISMS Forum, el congreso privado nacional de referencia para los sectores de la ciberseguridad y la protección de datos, que este año adoptó el título “Cyber Risk Appetite in the new Digital Revolution».
Fue el pasado jueves, en Madrid, con la asistencia de 800 profesionales, que pudieron elegir entre más de 60 ponencias y talleres, con la presencia de 83 ponentes que compartieron las claves para afrontar el nuevo escenario de ciberamenazas.
Los expertos recordaron que la importancia de establecer este tipo de protocolos reside en limitar los perjuicios y las responsabilidades que pueden derivarse para las compañías como consecuencia de un ciberataque, ya sea desde un plano penal o civil.
Además, tanto Juan Palomino y Ángela Uría, socio y abogada del despacho Pérez-Llorca, así como de Andrea Sánchez, abogada de Derecho de Propiedad Intelectual, Industrial y Tecnología del mismo bufete, hicieron especial hincapié en la necesidad de que este tipo de protocolos sean sencillos, comprensibles y fácilmente ejecutables.
Los ciberataques más habituales, explicaron Palomino y Uría, son el llamado secuestro informático donde queda bloqueado el sistema de la empresa a cambio de una cantidad económica importante y el fraude del CEO, en los que se produce una suplantación de la identidad de terceros para provocar transferencias de dinero a cuentas bancarias de los atacantes.
Para hacerles frente, explicaron los letrados, dentro del recién estrenado «Foro Pérez-Llorca Compliance al Día», es necesario constituir comités de crisis, dentro de las compañías, encargados de velar por el cumplimiento del protocolo y de llevarlo a la práctica.
Y describieron los requisitos esenciales con los que debe contar el referido comité, desde la atribución de facultades de decisión hasta la composición multidisciplinar del mismo.
Andrea Sánchez, experta en materia de Protección de Datos, por su parte, comentó la importancia de identificar las brechas de seguridad que puedan haber afectado a datos de carácter personal en un ciberataque.
Explicó las las circunstancias en las que las compañías deberán notificar a la Agencia Española de Protección de Datos las referidas brechas y la información que deberá ser proporcionada a la misma y la obligación de notificar este tipo de situaciones a los usuarios afectados y las excepciones aplicables a cada caso.
DIRECTOR GENERAL DEL DEPARTAMENTO DE SEGURIDAD NACIONAL
A la inauguración del evento asistieron Miguel Ángel Ballesteros, director general del Departamento de Seguridad Nacional (DSN) y Alberto Hernández, director general del Instituto Nacional de Ciberseguridad (INCIBE). Ambos destacaron la necesaria apuesta público-privada en el marco de la Seguridad de la Información.
“Varios son los años que el DSN lleva colaborando con ISMS Forum para avanzar en materia de ciberseguridad, especialmente con la participación de los ejercicios de gestión de crisis y, en general, con actuaciones dirigidas a mejorar y crear cultura de ciberseguridad. Por cierto, un mandato de la nueva Estrategia de Ciberseguridad Nacional”, explicó Ballesteros.
Una estrategia que, según el Director General del DSN, se adecúa a las exigencias de la Directiva NIS del Parlamento Europeo y del Consejo, apunta a la necesidad de movilizar los recursos de inversión necesarios e involucra al sector privado y ciudadano en una llamada a la corresponsabilidad.
“Para avanzar en la ciberseguridad, sin duda, debemos estar todos comprometidos. Tenemos que salir de nuestra zona de confort y pensar desde otros planos, solo así seremos capaces de crear una fuerte y real cultura de la ciberseguridad.”
Por su parte, el director general de INCIBE aprovechó también la oportunidad para involucrar a la ciudadanía. “Creemos que la ciberseguridad debe construirse de forma conjunta, tanto desde el sector público como desde el privado, contando con la sociedad civil”:”
Desde su punto de vista “un ejemplo es la colaboración que mantenemos con ISMS Forum, y que se materializa en numerosas acciones como la realización de los ciberejercicios, el propio desarrollo del Libro Blanco del CISO, así como numerosos temas que tenemos encima de la mesa para llevar a cabo en el futuro».
El CISO es el acrónimo de «Chief Information Security Officer», o responsable principal –algunos lo llaman director– de seguridad de la información de la empresa.
La persona responsable de planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.
LIBRO BLANCO DEL CISO YA DISPONIBLE
Uno de los últimos proyectos llevados a cabo por la Asociación en colaboración con INCIBE ha sido, precisamente, la elaboración del Libro Blanco del CISO, un documento sin precedentes en España que constituye una primera aproximación para definir el estado de esta figura, con el objetivo de poner en el mercado una guía de referencia para los directores de Seguridad de la Información, así como para las propias organizaciones en su definición organizativa.
Durante el transcurso del congreso, tuvo lugar la presentación de la segunda edición documento, que incluye una novedad importante: el informe sobre el rol del CISO a partir de los datos obtenidos de una encuesta realizada a 40 CISOs de diferentes empresas en España.
Marcos Gómez, subdirector de Servicios de Ciberseguridad de INCIBE, y Gonzalo Asensio, CISO en Bankinter y miembro de la Junta Directiva de ISMS Forum, fueron los encargados de explicar las claves de esta nueva edición.
ALD/Confilegal