Congreso CiberTodos20 de ISACA Madrid Chapter

La Ciberseguridad 360, basada en el framework NIST CSF

El 1 de octubre de 2020, y coincidiendo con el comienzo del Mes Europeo de la Ciberseguridad (The European Cybersecurity Month, ECSM, CyberSecMonth, “ThinkB4UClick” de ENISA, la Agencia Europea de Ciberseguridad), comenzó también el Congreso CiberTodos de ISACA Madrid Chapter.

Este año 2020, debido al COVID19, 100% online, extendiéndose durante todos los jueves de octubre (de 18:00 a 20:00, hora española), focalizándose en el framework NIST CFS y, tratando cada uno de los cinco pilares que lo sustentan, en cada una de estas jornadas.

• Identificar.
• Proteger.
• Detectar.
• Responder.
• Recuperar.

Como todos los eventos que organiza ISACA Madrid Chapter, este congreso CiberTodos20, y en particular esta primera jornada (al igual que el pasado “III Congreso de Auditoría & GRC” –AUDGRC20-, que también organizaron y tuvo lugar 100% online en mayo), fue un rotundo éxito…

…Por poder de convocatoria (¡más de 1.300 asistentes online!), por jornada abierta a todo el público, por una excepcional organización, por las temáticas tratadas, por los debates generados, por la situación excepcional en la que tiene lugar (que impacta muy directamente en la ciberseguridad) y por la elevadísima calidad de l@s ponentes (primer@s espadas de referencia)…

En esta primera jornada nos regalaron sus aportaciones e importantísimos granitos de arena ponentes, excepcionales y de primera línea como digo, de la talla de…

• Rosa Díaz Moles (@rdiazmoles), Directora General de INCIBE.

• Miguel Ángel Ballesteros Martín, Director General del Departamento de Seguridad Nacional (@DSN).

• Susana González Ruisánchez (@SuDigitalLawyer), Consultora de riesgos, Abogado especialista en privacidad, estrategia digital, compliance y ciberseguridad.

• Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (@CCNCERT).

• Francisco Palomo Pérez, Comandante de la Fuerza de Operaciones en el Ciberespacio (FOCE) del Mando Conjunto del Ciberespacio (MCCE, del Estado Mayor de Defensa, EMAD).

• Pedro Janices, Fundador y responsable de la unidad académica de la Fundación Capa 8 (@FundacionCapa8) y Asesor en la Dirección de Investigaciones de Ciberdelitos del Ministerio de Seguridad de la República Argentina.

• Como moderadores, entrevistadores y dinamizadores de esta primera jornada,

• Ricardo Barrasa García, Presidente de ISACA Madrid Chapter (@ISACAMadrid)

• Carlos Otto, Periodista tecnológico, El Confidencial (@elconfidencial) y El Enemigo Anónimo (LinkedIN: El Enemigo Anónimo / Twitter: @EnemigoAnonimo_ / YouTube: elenemigoanonimo).

• Casimiro Nevado, Inspector de la Policía Nacional (@policia), Coordinador de C1b3rWall (@C1b3rwall) y de la macro-formación en ciberseguridad Cyb3rWall Academy.

La primera jornada a priori se basaba en el pilar inicial del NIST CFS, la “identificación“, pero se trataron éste y muchos otros asuntos de gran interés.

Entre todos ellos, un tema que, obviamente, tenía que salir a la palestra y ser debatido, era el de la pandemia provocada por el COVID, el Estado de Alarma, el periodo e Confinamiento, la Desescalada y la “Nueva Normalidad” (si es que existe como tal ;-)), y como todo ello ha afectado (y afectará) a nuestras conductas, a nuestros hábitos (corporativos, laborales y personales), a nuestra forma de usar la herramientas digitales, etc., respecto a nuestra madurez y circunstancias relacionadas con la ciberseguridad.

Se habló de muchas cosas interesantes. De momento, aquí os dejamos una pincelada de algunas de ellas hasta próximos artículos en los que desarrollaremos más los detalles de cada una de ellas, de las participaciones, de las ponencias, entrevistas y debates en mesa redonda.

Entre ellas la importancia que tiene, y la especial relevancia que ha tomado en esta época del Coronavirus, la colaboración público-privada, el aplicar y adaptarse al NIST CSF, al ENS (Estrategia Nacional de Seguridad) y a un modelo de Resiliencia o Ciberresiliencia, de forma flexible y personalizada a la idiosincrasia de cada empresa, de los controles y de la defensa proactiva de alerta temprana, de los phishing (o suplantación de identidad), ciberataques, bulos, la manipulación, la desinformación, FakeNews y DeepFake que aprovechan esta situación…

En la entrevista personal al General Miguel Angel Ballesteros, se nos dieron pautas, recomendaciones y consejos, ya no solo de ciberseguridad, sino de vida ;-), muy enfocados a la juventud; mientras que nos habló del ciberterrorismo, los ciberataques, de las guerras híbridas, el ciberespionaje, la ciberinteligencia, etc.

Y, por supuesto, de cómo el COVID y sus colaterales ha afectado a todo, tanto a empresas como a particulares, y en todo. El cambio de paradigma que ha supuesto, la necesidad crítica de adaptación “instantánea” a un modelo masivo y universal de teletrabajo, la necesidad de protección de dispositivos (corporativos y especialmente personales o particulares usados con urgencia para trabajar en remoto), de protección de las comunicaciones, de protección de los servicios en la nube, la gestión correcta y segura de accesos e identidad…

Además de todo ello, cómo ha afectado la situación al volumen e incremento de aparición de nuevas ciberamenazas o al aumento de las ya existentes, ciberincidentes, ciberataques… con datos de Interpol, del DSN (Departamento de Seguridad Nacional), CCN (Centro Criptológico Nacional), de INCIBE (Instituto Nacional de Ciberseguridad), de la Policía Nacional y la Guardia Civil…

Todos ellos coincidieron en que la confianza, la Ingeniería Social, los memes, bulos y desinformaciones (o FakeNews), el phishing (o suplantación de identidad a través de correo electrónico, y en especial ahora por SMS –Smishing– y por voz vídeo y llamadas –Vishing-), así como el uso indebido y fraudulento de canales como WhatsApp y Telegram… fueron los reyes del “circo”.

Además, también apuntaron a otros desagradables “reflorecimientos”, quizá más focalizados o incluso como ataques dirigidos e empresas como el ransomware, el robo de datos o fuga de datos (data leak), el blanqueo de dinero mediante el uso de criptomonedas, el minado de criptomonedas… estuvieron también en el radar del día a día.

Como no, se habló de la archiconocida App RadarCOVID. Aquí surgió el inevitable, y por otro lado enriquecedor, debate sobre la privacidad y la necesidad.

Y, en resumen, si alguna conclusión tuviésemos que sacar de la pandemia, respecto a como estábamos de preparad@s, cómo nos ha afectado, y qué lecciones aprendidas nos podemos llevar, algunas respuestas fueron muy acertadas en la línea de…

• “Ocurrió lo que ya sabíamos y para lo que no quisimos prepararnos con antelación“.
• “Tuvo que ocurrir esto para que, por fin, invirtiésemos en ciberseguridad, más y mejor“.
• “Quedó evidenciado que es clave y crítico abordar la concienciación y la capacitación en ciberseguridad, incluso más que contar con herramientas porque al final el factor humano es clave“.
• “Fue una oportunidad de testar nuestros sistemas y controles, aprender y mejorar medidas de protección y prevención“.
• “El bien común debería estar por encima de la privacidad, máxime en estas situaciones y cuando, a diario, la cedemos gratuitamente a cualquiera en el uso de cualquier servicio y App“.

De todos estos temas, y muchos más y en mucho más detalle, se trató en esta 1ª Jornada del Congreso CiberTodos20 de ISACA Madrid Chapter.

Os contaremos más en breve en próximos artículos, pero si queréis ver los resúmenes de cada una de las charlas que tuvieron lugar, podéis verlas aquí:

• https://engage.isaca.org/madridchapter/eventos/cibertodos.
• https://us02web.zoom.us/rec/share/0LeVe_fqsuY5sOP_eQIrxgeWw_YJDk6LAwVIVQ5CfNnFeqMFhTPlNCr0LIbU2IyG.bWUrrRVFZWBYYnCY.