ISACA Madrid Event 2022

El evento anual, exclusivo para asociados de ISACA Madrid

El pasado jueves 22 de junio, tras un largo periodo “online” debido a la pandemia, ISACA Madrid celebró su segundo evento híbrido (el primero correspondió a la jornada sobre la actualización del Esquema Nacional de Seguridad (ENS)), con asistentes online y presenciales.

En este caso se trató del ISACA Madrid Event que tuvo lugar en el Hotel Puerta América de Madrid y, al mismo tiempo, fue retransmitido online, con más de 200 asistentes, asociados de ISACA Madrid.

La agenda fue muy interesante e intensa, contando con ponencias individuales de mucha talla, mesas redondas, exposición de alguno de los trabajos de las Comisiones de ISACA, así como participación de los asistentes con sus preguntas y aportaciones.

Vanesa Gil Laredo (Presidenta de ISACA Madrid) agradeció su presencia y dio la bienvenida a participantes y asistentes, introduciendo la agenda de la jornada y cada uno de sus contenidos.

Para arrancar con el congreso, Vanesa presentó y dio paso a Joaquín Pérez Catalán (Director del Departamento de Relaciones Internacionales de la Agencia Española de Protección de Datos – AEPD) y su charla inaugural “ Estado de situación de la Protección de Datos en España y Portugal“.

Joaquín comenzaba explicando los orígenes de la protección de datos, situándonos en el contexto referente al “de dónde venimos“. En ese sentido, decía que ya desde la época de los romanos había tratamiento masivo de datos, aunque aún no había normas al respecto de la protección de los datos.

A continuación expuso algunos ejemplos de los primeros tratamientos incorrectos de datos, comenzando por explicar que “la mayor felonía en materia de protección de datos tuvo lugar en Alemania durante la Segunda Guerra Mundial, cuando el gobierno de Hitler obtuvo información sobre la religión profesada por los ciudadanos ya que, al empadronarse, éste era uno de los datos que debían aportar (sus creencias religiosas) para que, supuestamente, parte de sus impuestos se destinasen a dichas confesiones religiones… Uno de los primeros casos conocidos de utilización del dato, de la información, para un fin distinto al supuesto (IBM y el Holocausto)“.

Joaquín nos expuso una esquema cronológico detallado de la evolución de las normativas en lo que a protección de datos respecta, destacando los siguientes:

• 1980 – Artículo “The Right to Privacy“, de Warren and Brandeis, en la revista Harvard Law Review.
• 1948 – Declaración Universal de los Derechos Humanos de la ONU.
• 1970 – Primera Ley de Protección de Datos Personales, Lander de Hesse, en Alemania (luego vinieron las de Suecia en 1973, Alemania Federal en 1977, Francia en 1978 y Reino Unido en 1984).
• 1978 – Constitución Española, con su artículo 18.4, como artículo limitante y base de la protección de datos en España, aunque la primera ley al respecto es posterior, del año 1992 (LORTAD).
• 1981 – Convenio 108 del Consejo de Europa.
• 1990 – Convenio Schengen, con la adhesión de España en 1991.
• 1992 – LORTAD – Ley Orgánica 5/92.
• 1995 – Directiva UE 95/46.
• 1999 – LOPD – Ley Orgánica 15/1999.
• 2000 – Carta de los Derechos Humanos.
• 2016 – Directivas y reglamentos generales de protección de datos.
• 2018 – Convenio 108+ del Consejo de Europa.
• 2018 – LOPDPGDD – Ley Orgánica 3/2018.

Joaquín se preguntaba en voz alta, “¿Por qué vino la Ley de Protección de Datos ya en 1992 y no con la Constitución de 1978?“, a la cual se auto-respondía y nos explicaba que “la ley vino por un asunto de archivos policiales que debían comenzar a ser compartidos entre diferentes policías de diferentes países, debido a la desaparición de fronteras en la Unión Europea“.

Tras ponernos varios ejemplos de un uso indebido de los datos, como:

• Las actividades del traceo de la App de rastreo Radar COVID, que pretendía guardar una base de datos centralizada de contactos de las personas infectadas.
• El uso de cheques restaurante, queriendo dar un valor añadido al informar sobre quién comía con quien (traceado del cheque).
• Las actividades de la App de LaLiga, con grabaciones realizadas desde su App instalada en móviles particulares junto con la geolocalización, con el objetivo de detectar locales cuando emiten partidos de forma fraudulenta.
• Los datos y el tratamiento de información por parte de aseguradoras, conociendo información como la agresividad del usuario a la hora de escribir en las Redes Sociales, etc.

Joaquín nos hablaba también del derecho sobre las decisiones automatizadas de la Inteligencia Artificial (IA) y el Machine Learning (ML) dentro del esquema del Reglamento General de Protección de Datos (RGPD / GDPR), explicándolo con cinco claros ejemplos de diferentes tipos de búsquedas en Google:

• En una búsqueda de “ugly car” el sistema de IA de Google, efectivamente, devuelve el resultado de fotos de coches feos.
• En una búsqueda de “beautiful car” el sistema de IA de Google, efectivamente, devuelve el resultado de fotos de coches bonitos.
• En una búsqueda de “happy black woman” el sistema de IA de Google, efectivamente, devuelve el resultado de fotos de mujeres negras felices.
• En una búsqueda de “happy asian woman” el sistema de IA de Google, efectivamente, devuelve el resultado de fotos de mujeres asiáticas felices.
• Pero, en el caso de la búsqueda de “happy white woman” el sistema de IA de Google no devuelve el resultado de fotos de mujeres blancas felices… sino que muestra mujeres blancas junto con hombres negros en la mayoría de los casos… como queriendo decir, interpretaba Joaquín “si usted es una mujer blanca y quiere ser feliz, ponga un hombre negro en su vida“.

Y, en relación a esto, Joaquín finalizaba hablando de los “derechos sobre las decisiones automatizadas“, que están especialmente pensados para sistemas que toman decisiones que nos afectan, no estando validados, ni sobre los que se haya realizado un chequeo de sesgos.

“Si nuestros datos van a ser sometidos a un sistema que toma decisiones sobre nosotros, tenemos derecho a saberlo, tenemos derecho a impugnar esa decisión automatizada y tenemos el derecho a conocer con qué variables esa inteligencia está tomando las decisiones que toma“.

Tras la ponencia de Joaquín, Vanesa le agradeció su interesante intervención y dio paso a la ponencia “Gobernanza, Riesgos y Cumplimiento: Enfoque actual” por parte de Manuel Ballester (Vicepresidente de la Academia Mexicana de la Ciencia de Sistemas).

“En la Gobernanza hay que comenzar por el final (hacia dónde va), con unos objetivos claros predefinidos, porque el mundo nos ha cambiado y nos está obligando a tomar decisiones basadas en el contexto“, comenzó diciendo Manuel.

En ese escenario, continuaba Manuel, la realidad es que, desde el inicio, siempre se estuvo analizando el objeto (gobernar la tecnología) y no el contexto. En una evolución posterior el foco fue el Governance of IT, centrado en el factor humano, en las personas. Y, finalmente se agregó el concepto del Corporate Governance, porque quienes gobernaban las tecnologías, estaban apartadas, siendo necesario incorporarlas en el Consejo de Administración.

Pero, el buen gobierno, ¿para qué sirve? “La finalidad de la gobernanza es hacer las cosas una sola vez y bien“, se respondía Manuel. Esto conlleva un cambio de paradigma desde el punto de vista de que además de apuntar hacia unos buenos resultados financieros, debemos apuntar a la contribución a la sociedad.

Manuel traía a su ponencia la frase de Kennedy “El éxito tiene muchos padres, pero el fracaso es huérfano” en relación a que debemos enfrentarnos al fracaso aprendiendo de los errores y conseguir el éxito, la excelencia, que son necesarios para construir una sociedad íntegra, viable y sustentable.

Desde el punto de vista de Manuel, los retos globales a los que os enfrentamos en materia de gobernanza, son los siguientes:

• Debilidad de la gobernanza en países en desarrollo con menos leyes, normativas y estándares.
• Existe un gran índice de percepción de la corrupción en países en desarrollo.
• Los países en desarrollo son más débiles en gobernanza y cumplimiento, siendo éstos dos aspectos fundamentales.

Y, en cuanto a las oportunidades, limitaciones y retos en las organizaciones, Manuel destacaba los siguientes:

• Dependencia del tipo de organizaciones, donde aparecen temas jurídicos y transnacionales, derivados del uso de la nube, lugar de almacenamiento de los datos, etc. (empresas tech, fintech, virtuales, híbridas, etc.)
• La falta de propósito y necesidades en las organizaciones, con expectativas basadas en lo financiero, en el enriquecimiento y no en valores y aporte a la sociedad y alcances estáticos y no dinámicos.
• La existencia de importantes cambios sociales, que nos obligan a ser más flexibles, a adaptarnos a una demanda muy cambiante y a la aportación de valor a la sociedad quizá diferente al valor a largo plazo al que estábamos acostumbrados.
• La sociedad y las organizaciones están pidiendo transparencia en las decisiones y que se generen entornos de confianza real, mediante la correcta gestión de las expectativas entre partes interesadas.
• Los cambios tecnológicos que suponen un cambio muy importante, especialmente en cuanto a su adopción (o no) y uso (o no), pero especialmente en cuando a su obsolescencia.

En lo que a la jerarquía de las obligaciones e impacto en la gobernanza en las organizaciones se refiere, Manuel hacía referencia a un estudio realizado por varias universidades donde se define un modelo top-down para determinar qué es lo que deberíamos hacer y el cómo, de forma priorizada y ordenada:

1. Regulaciones Éticas Internacionales, basadas en los derechos fundamentales
2. Leyes Nacionales y Regulaciones.
3. Normas y Códigos por tipos de organizaciones.
4. Mejores prácticas y Estándares como las ISO, COBIT, etc.).
5. Políticas Internas de las organizaciones.

Sin embargo, las organizaciones no funcionan de este modo, sino en modo bottom-up, puesto que se basan en los riesgos y, por lo tanto, su modelo de estructura de obligaciones es el siguiente:

• Anticorrupción y lavado de activos.
• Incumplimientos con consecuencias penales.
• Incumplimientos generales.
• Ética empresarial auto-impuesta.

Enlazando con los dos modelos anteriores Manuel nos explicaba cómo se debe implantar la gobernanza en las organizaciones mediante seis aspectos fundamentales (fuente de la OCDE -Organización para la Cooperación y el Desarrollo Económico- y las Naciones Unidas):

• Elementos corporativos, que nos protejan (riesgos y cumplimiento, responsabilidad social, género diversidad e inclusión y gobierno corporativo).
• Resiliencia para poder sobrevivir ante situaciones adversas (gestión de riesgos, continuidad del negocio y resiliencia organizacional).
• Relaciones entre organizaciones (relaciones colaborativas, subcontratación, compras sostenibles).
• Seguridad y salud en el trabajo.
• Transformación digital (digitalización, ciberseguridad, gobierno y gestión de las TIC).
• Actividades sostenibles (finanzas sostenibles).

Y, para finalizar su intervención, a colación de dicha estructura de consecución de la gobernanza en las organizaciones Manuel nos habló de las normas ISO relacionadas, dándonos detalles concretos de alguna de ellas como la norma ISO 37000 de Gobernanza en las Organizaciones (Gobierno Corporativo), la ISO 31000 de Gestión de Riesgos, ISO 37301 de Gestión del Compliance, así como de otras relacionadas como las ISO para la Gobernanza Corporativa de TI, Continuidad de Negocio, Gestión de Crisis, etc.

Al finalizar la ponencia de Manuel, Vanesa abrió la primera mesa redonda de la jornada, con el título “Reflexión a tres bandas: Evolución de los modelos de Control, Riesgo y Cumplimiento“, presentando a sus contertulios y actuando como moderadora del debate:

• Irene Palacios Herranz (Head of Audit Digital Solutions Iberia en Enel Group).
• Antonio Martínez (CISO de Metro de Madrid).
• Erik de Pablo Martínez (Consultor en Ciberseguridad y Auditoría de Sistemas).

“¿Cuáles son los aspectos  que han aportado a la evolución de los modelos de riesgo, gobierno y cumplimiento?” fue la primera pregunta que Vanesa puso encima de la para abrir la tertulia.

El primero en contestar fue Antonio, quien destacaba que hemos pasado de un modelo de tres silos inconexos a un modelo integrado donde se trabaja conjuntamente, basado en el concepto de riesgo.

Según su punto de vista, esto ha resultado muy positivo y ha favorecido aportaciones interesantes y necesarias a las tres líneas de defensa, consiguiendo así que, entre ellas, también se comience a trabajar conjuntamente y de forma sistemática en toda la organización, lo cual ha permitido la optimización de costes, procesos y ha redundado en una mejor gestión.

Erik decía que debemos diferenciar entre el GRC Global y el GRC Tecnológico, puesto que los modelos de GRC de las compañías y organizaciones son modelos globales, muy poco o nada centrados en TI. Según su percepción, ambos nunca han ido parejos y siguen sin irlo.

En ese contexto, existe una fuerte evolución, impulsada por las regulaciones y los cambios en las normativas, lo cual es muy positivo, aunque también sea necesario diferencias su aplicación en dependencia de los sectores empresariales (finanzas, telecomunicaciones, retail, etc.) y los ámbitos de actuación.

“La ciberseguridad ha sido el factor fundamental para que el GRC en TI haya evolucionado“, finalizaba respondiendo Erik.

En opinión de Irene, el principal factor ha sido el poder controlas y analizar los modelos y que un único modelo pueda ser útil para varias de las líneas de defensa, con los mismos controles.

La segunda pregunta que Vanesa lanzó a la mesa de debate era referente a “¿Cuáles han sido los cambios en la evolución de los modelos de gobierno y de gestión de riesgos, así como qué ha sido lo que los ha provocado?“

Irene continuaba respondiendo a Vanesa, trayendo a la mesa varios aspectos. El principal motivo de esta evolución desde su punto de vista han sido las regulaciones de protección de datos.

La pandemia, sin duda, ha sido un detonador y acelerador esencial en la evolución de la Transformación Digital, que ha obligado a la consecución y obligatoriedad de un modelo de GRC ágil y robusto.

Derivado de todo ello, quizá de forma especial, los riesgos derivados de las nuevas tecnologías en un contexto como el vivido, hayan aportado a dicho evolutivo, haciendo que las sociedades adopten posturas con elevadas exigencias en gestión de riesgos que antes no tenían o que no evidenciaban y demandaban tan acuciadamente, finalizaba respondiendo Irene.

El cambio más significativo que Antonio entendía que se ha producido, hace referencia a los riesgos, pero no por sí mismos sino por cómo se han pasado a tratar, de una forma reactiva a una forma proactiva.

Así, seguía argumentando Antonio, “la normativa y la regulación han dado un giro significativo, visualizando la situación existente y actuando en función de lo que se observa, para cambiar lo que es necesario cambiar“.

Otro factor que, finalizando de responder, ponía encima de la mesa Antonio, era el de la responsabilidad penal que, desde su punto de vista, también ha aportado de forma importante.

Erik decía ver pocos cambios y demasiadas adecuaciones a las tecnologías. En este sentido proponía poner foco en determinados aspectos tecnológicos como, entre otros, pero especialmente en el IoT (Internet of Things, Internet de las Cosas) y en la IA (Inteligencia Artificial), pues nadie sabe qué ni cómo hacer con ella en este momento.

Enlazando con ese tipo de tecnologías, evidenciaba que las redes neuronales no dan resultados conocidos ni previstos, por lo que se hace difícil, siendo capaces de predecir, establecer controles y gestionar riesgos en ellas.

En definitiva, la reflexión que nos compartía Erik se refería a que, a día de hoy, todo este tipo de tecnologías (la nube, el IoT, la IA, el ML, las redes neuronales, la computación cuántica, etc.) ya cuentan con análisis de riesgos pero que es ahora cuando se están comenzando a actualizar en el mundo tecnológico.

“Los modelos de gobierno y de gestión de riesgos, ¿evolucionan al ritmo adecuado? ¿Qué sería mejorable?“, preguntaba Vanesa a sus compañeros de mesa.

Erik decía no ver ni tener evidencias de que las áreas de auditoría de sistemas tuviesen el pero que deberían tener, mientras que Antonio afirmaba que existe y debe de existir una sintonía entre los requisitos de negocio y aspectos de riesgo que están desacoplados y deben acoplarse.

Por su parte, Irene decía que evolucionan en la medida en que son proporcionados por la regulación en la protección de datos y que esto lo convierte en un modelo flexible que se puede adaptar ágilmente a la Transformación Digital.

“Quizá, en la implementación del modelo, cueste concienciar de la importancia de los controles, presupuestos, etc. Esto, en definitiva, se refiere, como factor clave y determinante, a las personas“, finalizaba respondiendo Irene.

“¿Se consideran todos los riesgos?” continuaba preguntando Vanesa en la mesa redonda “ Reflexión a tres bandas: Evolución de los modelos de Control, Riesgo y Cumplimiento “.

Irene decía que “desde una perspectiva amplia y de alto nivel, me da la impresión de que vamos a bandadas, a empujones… detectando el riesgo y yendo a por él… quizá muy debido a temas presupuestarios, de inversión, financieros, etc.“

Erik creía que en cloud hay una aproximación “bastante justita“, mientras que a la cadena de valor no le prestamos atención y no se le hace ni caso y los riesgos OT de la industria los tenemos bastante descuidados.

Desde el punto de vista de Antonio, aún queda mucho camino por recorrer y, en todo ese camino, deberemos tener muy en cuenta aspectos fundamentales como los penales, los éticos, los tecnológicos, la vulneración de conducta, etc.

Al finalizar la mesa de debate con algunas preguntas y reflexiones adicionales, Vanesa presentó a César López García (Director General de la Fundación GoodJob) y a Beatriz Dueñas (Directora de Desarrollo de Proyectos de la Fundación GoodJob), dando así paso a la presentación de la Fundación GoodJob, una magnífica iniciativa a modo de asociación sin ánimo de lucro, dedicada a la integración laboral y social de personas con discapacidad y en riesgo de exclusión social.

César comenzaba destacando el componente tecnológico de la iniciativa y haciendo una llamada a la acción con el objetivo de ser examinados y auditados, para producir un posible acercamiento de los asociados con el fin de colaborar con la fundación.

El objetivo de la fundación es el incremento de las competencias profesionales y personales de personas discapacitadas para su integración laboral, por lo que el acercamiento a la empresas consiste en conocer su área de actuación, si cuentan con personal con discapacidades en su plantilla y en que roles, si están planteando incorporarlo, que necesidades tienen al respecto, etc.

En ese sentido, César destacaba que la ley obliga a las empresas con más de 50 trabajadores a contar con, al menos, un 2% de personal discapacitado en su plantilla, aunque existe mucho estigma y estereotipo.

“Nos apalancamos en la actividad de los servicios de ciberseguridad para meternos en la cadena de suministro y en la cadena de valor de la ciberseguridad y conseguir que personas con discapacidad sin experiencia previa, puedan trabajar en el entorno de la ciberseguridad“, nos explicaba César.

El modelo de trabajo de GoodJob puede aplicarse a cualquier sector de actividad, aunque ahora mismo el sector laboral apunta mucho al tecnológico. Por ese motivo la asociación comenzó realizando planes formativos IMPACT de base tecnológica, de 8 semanas, y con unas capacitaciones muy concretas, como el programa INCLUDE (programa de ciberseguridad) y otros como los programas CLOUD, REDES, DATA (éste con dos semanas y más especialista en determinadas herramientas), etc.

Los objetivos de estos programas formativos IMPACT, son los siguientes:

• Dar acceso al mercado del sector tecnológico a personas con alguna discapacidad.
• Responder a la demanda de profesionales formados.
• Favorecer el cumplimiento de la Ley General de Discapacidad.
• Mejorar la empleabilidad del colectivo de personas discapacitadas en el sector tecnológico.

A continuación, César nos explicó en detalle en qué consistía el programa IMPACT#INCLUDE:

• Formación de 120 profesionales, anualmente.
• Destinado a personas discapacitadas sin formación ni experiencia en ciberseguridad.
• Selección directa de participantes o desde otros programas IMPACT como CERO.
• Capacitación a cargo de voluntarios, profesionales del sector.
• Aportación gratuita de herramientas tecnológicas por parte de fabricantes como Cisco, Fortinet, Microsoft, Palo Alto, etc.
• Apoyo especialista para la capacitación y el empleo.

Esto se traduce en una articulación del mismo en tres fases:

• Fase de capacitación muy exigente y de impacto, de 8 semanas, destinada al entrenamiento para la resolución de problemas y no a una formación completa en ciberseguridad.
• Integración laboral mediante la contratación a través de GoodJob, de al menos una de las personas de la formación, sin coste para la empresa.
• Contratación directa por parte de la empresa.

En esta sensacional iniciativa participan empresas y voluntarios de muy importante relevancia en el sector de la ciberseguridad. César hacía una especial mención y muestra de agradecimiento a Román Ramírez, como director académico de los programas de base tecnológica de la fundación y aval, así como a RootedCON y la Revista SIC desde donde se impulsó y aceleró esta iniciativa.

A continuación César nos presentaba el elenco de empresas colaboradoras, empresas tecnológicas y apoyo institucional de la fundación.

Un dato de interés sobre los resultados, la efectividad y la calidad de la iniciativa, es que el 92,7% de los participantes consiguen un empleo y el 85% de esos participantes que consiguen empleo lo hacen en el sector de la ciberseguridad.

Para finalizar, César volvía a hacer esa llamada a la acción proponiendo la participación y colaboración de los asistentes, allá donde entendiesen que podrían aportar, como formadores, como tutores de evaluación, como tutores de refuerzo, como conferenciantes en “charlas inspiradoras“, etc. A tal fin, nos facilitaba los datos de contacto de la fundación GoodJob:

• Rocío Lago (Coordinadora de voluntariado).
• Teléfono: 605 62 85 31.
• Email: desarrollodeproyectos@goodjob.es.
• Web: www.fundaciongoodjob.org.

Para continuar con la jornada, Eduardo Solís (Responsable de Eventos de la Junta Directiva de ISACA Madrid) tomaba el testigo de Vanesa como maestro de ceremonia y presentaba a Guillermo Martin Vidal (Sub-Director del Servicio de Auditoría Interna de Tecnología y Seguridad de MAPFRE), quien nos habló en su exposición de la “Automatización de los controles de Auditoría TI y de Seguridad en el Grupo MAPFRE“.

Guillermo comenzó explicándonos la postura y posicionamiento estratégico de MAPFRE como Data-Driven:

• Analítica avanzada mediante Inteligencia Artificial (IA) y Machine Learning (ML).
• Visualización de datos mediante un modelo de easy data.
• SmartApps para lograr una analítica integrada.
• Gobierno, calidad y seguridad del dato.
• Valor e inversión.
• Transformación de los procesos de negocio.

Aterrizando en la automatización, Guillermo nos exponía el modelo de automatización inteligente de MAPFRE, dependiente de la madurez, el riesgo y el nivel de autonomía en la toma de decisiones:

• RPA (Robot Process Automation), como la automatización de tareas repetitivas a través de un robot con conocimiento estructurado de reglas, sin autonomía.
• La Inteligencia Cognitiva, con la combinación de soluciones para conseguir las primeras decisiones semi automatizadas, a través de entrenamiento (lenguaje natural, machine learning, deep learning).
• La Inteligencia Artificial (IA), para la toma de decisiones totalmente automatizadas y autónomas, punto en el que aun no se está.

Continuando con su exposición, Guillermo preguntaba y respondía “¿Por qué necesitamos automatizar?“:

• Por la existencia de entornos VUCA (volatilidad, incertidumbre, complejidad y ambigüedad).
• Por el incremento exponencial de la demanda (presión regulatoria, digitalización, ciberriesgos).
• Por la limitación de recursos.
• Por la magnitud de los controles sobre la población, que requieren análisis sobre poblaciones completas.
• Para adoptar un enfoque y posicionamiento proactivo (frente a uno reactivo), que nos permita anticiparnos a los riesgos.
• Para el aumento de la eficiencia, mediante la reducción de errores, la liberación y reasignación de recursos, etc.

Guillermo nos explicó también la evolución interna de MAPFRE en la automatización de tareas, desde 2013 hasta 2022, con el inicio de las auditorías y las guías de gestión de bastionado, el piloto de NESSUS para mejorar la eficiencia en las revisiones de bastionado, el desarrollo de scripts para automatizar determinadas rutinas, algunos pequeños automatismos en Oracle, la centralización de Data Centers y el proyecto PECA, la industrialización del  alcance de los scripts de auditoría, el inicio de auditorías de operaciones automatizadas, despliegue del modelo de automatización en Estados Unidos y LATAM, exploración de los primeros modelos de Inteligencia Artificial y el Proyecto MIAT en 2022.

Alineado con esa evolución, Guillermo nos exponía algunos de los casos de uso, poniéndonos ejemplos detallados de cada uno de ellos:

Generación automática de evidencias de service manager

• Extracción automática de cambios y de incidencias en producción.

Análisis de permisos en directorios de red compartidos

• Identificación de todos los directorios de red compartidos.
• Carga de listado de directorios en script de análisis.
• Ejecución de scripts para detección de directorios no protegidos y detección de información sensible.

Automatización de análisis SAP

• Extracción de información de transacciones.
• Análisis automatizado de la información.
• Representación de datos obtenidos.

Identificación automática de riesgos en observaciones de auditoría

• Detección automática de riesgos asociados a una observación de auditoría.

Revisiones de bastionado

• Extracción de ficheros de configuración en varios sistemas operativos y plataformas.
• Scripts de análisis de información.
• Representación de resultados de los datos obtenidos.

Revisiones de usuarios

• Identificación de aplicaciones críticas.
• Extracción de usuarios de aplicaciones, información del Directorio Activo, altas, bajas y modificaciones de usuarios.
• Almacenamiento de datos en auditoría.
• Análisis de datos.
• Presentación de dashboards de resultados.

Análisis recurrente de Directorio Activo

• Extracción de información del Directorio Activo.
• Análisis de indicadores.
• Representación dinámica de resultados.

Y, para finalizar, Guillermo nos compartía los principales retos y oportunidades en materia de automatización:

• Necesidad de talento cualificado.
• Capacidad para industrializar.
• Consecución de un equilibrio entre la automatización y los conocimientos.
• Engagement y partnership (reutilización).
• Capacidad para el mantenimiento y actualización de los procesos.
• Tratar la automatización como un proyecto en toda regla, con todas sus características.
• Involucrar a los auditores de negocio.
• Explorar nuevas tecnologías.

A continuación, Eduardo presentaba y daba paso a Pedro Pablo López Bernal (Presidente de Contiuam) y su ponencia “Ciber-Resiliencia y Auditoría en Tecnologías del Siglo XXI“. 

Pedro Pablo comenzaba diciendo que el cambio de siglo ha supuesto una disrupción que aun no hemos conseguido digerir y que, muestra de ello eran todas las presentaciones que estaban teniendo lugar en el evento, así como que la CiberResiliencia es la evolución de seguridad informática, seguridad de la información, ciberseguridad y ciberresiliencia y resiliencia global a la que llegaremos en algún momento. Igualmente, en el caso de la auditoría.

Inicialmente, Pedro Pablo lanzaba unas preguntas a modo de reflexiones:

• ¿Auditoría a todos los niveles: gobierno, gestión y operativo, o no?
• ¿Auditoría dinámica, sistemática y periódica de procesos, o no?
• ¿Estandarizado de soluciones y herramientas de auditoría, o no?
• ¿Auditar la cultura, capacitación de las personas a los tres niveles (Gobierno, Gestión y Operación) de la Ciberseguridad, o no?
• ¿Debe exigirse la existencia de CISO y CDO competentes acorde al Acuerdo de Esquema de Certificación, integrados en el Comité Global (al igual que el DPO), o no?
• ¿Auditorías tipo ISAE34 o SOC II la base de cualquier certificación y calificación?
• ¿Es posible dar fiabilidad sin auditoría y prueba de controles?
• ¿Gestión proactiva de evidencias digitales y su cadena de custodia, o no? ¿Con Blockchain, o no?
• ¿Una entidad soberana de la persona ayuda a una mejor auditoría, o no?
• ¿Debe incluirse por diseño, defecto y definición la auditoría y todos los atributos necesarios desde la concepción de un proceso, o no?
• ¿Puede la IA ayudar a una auditoría más eficiente, inteligente y estandarizada, o no?

Durante la pandemia del COVID, Continuam lanzó el foro Resiluim para el aseguramiento y la consecución de la resiliencia organizacional y social sostenible, a través del manifiesto ROSS 3.0 del colectivo de profesionales de la continuidad de negocio.

Pedro Pablo traía a su charla el término de longanimidad como la estrecha relación, inherente a las personas, entre la perseverancia y constancia de ánimo frente a los obstáculos y las adversidades (benignidad, clemencia, generosidad).

En esos términos Pedro Pablo hablaba del alcance de la continuidad de negocio como la disciplina para aumentar la capacidad de una organización a tolerar, situaciones límite con flexibilidad, sobreponiéndose a ellas de forma resiliente, tratando de conseguirlo a través de un enfoque holístico: integral, vertical y global.

Volviendo a tratar el modelo ROSS 3.0 de Continuam, Pedro Pablo nos explicaba los cinco pilares de la metodología de resiliencia y ciber-resiliencia:

• Prevención y predicción.
• Protección global.
• Reacción y respuesta.
• Restauración y reconstrucción.
• Auditoría.

Y, para finalizar con su intervención, a modo de resumen, Pedro Pablo, hacía hincapié en los siguientes aspectos:

• Haz lo que debas hacer y no hagas lo que no debas hacer.
• Ser y hacer fácil, flexible y resiliente.
• El ADN es la cooperación y la colaboración.
• Debemos tener la actitud para estar listos y preparados para responder.
• Visión holística 360 que nos permita realizar un análisis global de los riesgos, escenarios e impacto, así como las consecuencias y las lecciones aprendidas.

Después de la presentación de Pedro Pablo, fue el momento para la presentación de algunos de los trabajos de las comisiones. En concreto, Eduardo presentó el trabajo realizado sobre la “Cuantificación de Riesgos por Ransomware“, de la Comisión de Auditoría y Riesgos de ISACA Madrid, formada por los siguientes integrantes:

• Luca Lumini (Coordinador de la Comisión y Senior Manager – Cyber Governance, Risk, Audit and Compliance).
• Roberto Heker (Socio en NextVision).
• Patxi Hernández (Cyber Security Senior Manager en BBVA).
• Adolfo Ranero Serrano (GRC Senior Consultant. CISA, CRISC).

Luca comenzaba presentando el trabajo de la comisión y sus resultados, al mismo tiempo que agradecía su participación al equipo y a todas las personas que habían participado con esta comisión a lo largo de todo el año (más de veinte).

La comisión sigue en pie y continuará trabajando durante el próximo año con muchas ideas e iniciativas que han surgido, así como la incorporación abierta a otras personas que quieran colaborar en ella.            

Tras este primer documento de estudio de la “Cuantificación del Riesgo por Ransonware” en proceso de publicación, la comisión continuará trabajando en un documento de “Buenas Prácticas para la Gestión del Riesgo de Terceros” que ya están en curso, y un “Informe sobre la Gestión del Riesgo Cloud“.

Roberto tomaba el testigo de la presentación inicial de Luca, concretando que el principal objetivo de la comisión ha sido, no solo el de compartir con la comunidad de profesionales, sino que sea un elemento que llegue y ayude al C-Level.

En este sentido parecía de vital importancia el poder determinar una fórmula para el cálculo del riesgo que puede suponer un incidente de ransomware.

A continuación, Roberto daba paso a Patxi quien comenzaba indicando que no existía un estudio y documento de estas características y su objetivo era el de dotar de una herramienta de decisión para los CISOs y la Alta Dirección.

Aterrizando más estos objetivos, Patxi hablaba de:

• La identificación de las dimensiones de interés
• El diseño de los indicadores clave del riesgo (KRIs).
• El cálculo del impacto para el negocio en lo que a costes asociados a un incidente de ransomware se refiere. Éstos pueden ser reales y tangibles (cantidades millonarias de rescate del cibersecuestro y/o sanciones por incumplimientos regulatorios), o intangibles (como la imagen de marca, desconfianza, efectos colaterales directos e indirectos, impacto social y socio-económico, tiempo invertido en la recuperación por parte de todas las áreas, etc.).

Roberto nos introducía el concepto de VAR (Value at Risk o la Valoración por Riesgo), muy empleado en la industria financiera, definiéndolo como la “estimación de la mínima pérdida esperada en un periodo de tiempo acotado, con un determinado nivel de probabilidad“.

Así, es posible adoptar una metodología de cálculo que deberá operar con variables o tener en cuenta factores como los siguientes:

• La probabilidad de ocurrencia basada en el histórico de ocurrencias ya acaecidas.
• La probabilidad de ocurrencia futura, como una estimación.
• La multiplicidad de impactos (imagen, reputación, legal, operativo, etc.).
• El valor del activo afectado/atacado.
• La evolución en el tiempo.

Expuesta esta metodología de cálculo Adolfo presentaba las fórmulas simplificadas para la cuantificación o cálculo del riesgo, comenzando con el planteamiento en el estudio de la definición de unas nuevas dimensiones para el análisis de riesgos.

Hasta ahora estábamos acostumbrados a realizar análisis de riesgos y definir KRIs en las dimensiones CID (Confidencialidad, Integridad y Disponibilidad), o CIDAT (Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad).

En el estudio realizado se definen tres nuevas dimensiones de más alto nivel:

• Negocio (N, procesos de negocio).
• Reputacional (R).
• Legal (L).

Así, para el cálculo del Impacto Total en el Negocio (ITN) se puede tomar una función del Impacto en Negocio (IN), el Impacto Reputacional (IR) y el Impacto Legal (IL), ponderados en cada caso por el valor económico de cada proceso de negocio y del tiempo que transcurre desde la ocurrencia del incidente:

INT = f (IN, IR, IL)

Dentro de estas tres dimensiones, se han definido determinados parámetros propios de evaluación (y sus cuantificaciones) a aplicar en todos los procesos de negocio existentes, continuaba explicando Adolfo, que se pueden estructurar del siguiente modo:

Negocio

• Criticidad.
• Dependencia tecnológica.
• Impacto por ausencia del proceso.
• Posibilidad de sustitución del proceso.
• Tenencia, o no, de una póliza de ciberseguridad.

Reputacional

• Superficie de exposición.
• Eficiencia de MarCom.
• Contactos en medios de comunicación.
• Rapidez de acceso a contactos.

Legal

• Superficie legal de exposición.
• Eficiencia de Dpto. Legal y DPO.
• Contactos en autoridades oficiales.
• Rapidez de acceso a contactos.
• Tenencia, o no, de póliza de ciberseguridad y, además, otras pólizas con coberturas legales.

Y, como última de las intervenciones del evento, Eduardo presentaba la última mesa redonda sobre la “Tendencias en Ciberseguridad y GRC“, con los siguientes contertulios y en la que él mismo actuó como moderador:

• Eduardo Ballesteros (Consultor independiente y Coordinador CGIT y COBIT de ISACA Madrid Chapter).
• Maria José Carmona (DPO y Responsable de auditoría de Mediaset España y Coordinadora CISA).
• Pablo González Melgar (Consultor independiente y Coordinador CISM).
• Arantxa Sánchez (Directora de Riesgos Tecnológicos).

“¿Cómo resumiríais la situación actual de la ciberseguridad?“, fue la primera pregunta que Eduardo hizo a sus compañeros de tertulia.

Eduardo Ballesteros respondió en primer lugar, indicando que, desde su punto de vista, nos encontramos ante una situación extremadamente compleja. La razón es que a la situación del crimen organizado en la ciberseguridad se le han sumado dos factores atípicos como son la pandemia y la situación geopolítica con motivo de la guerra entre Rusia y Ucrania.

Si las previsiones económicas eran optimistas por estar saliendo de la pandemia, el cuadro macro-económico tampoco está acompañando y las ideas expansionistas en presupuestos se han diluido y se está realizando poca inversión.

Para María José, el teletrabajo ha sido una palanca de Transformación Digital para revisar la seguridad, invertir y asegurar el nuevo perímetro corporativo, que ya nada tiene que ver con el antiguo.

La regulación en Europa y en España obliga a invertir en ciberseguridad y en proveedores Cloud, lo cual es un paso. Estamos yendo por el buen camino, pero aún falta mucho por recorrer.

La respuesta de Arantxa era que la Unión Europea está apostando por la ciberseguridad europea, los equipos ciber y los CISO están trabajando duro, que estamos construyendo el futuro en lugar de estar apagando fuegos como antes y que ya tenemos la tecnología que debemos usar.

“La pandemia ha acelerado la Transformación Digital y, según un estudio de Deloitte a 100 empresas, en los momentos de pre y post y pandemia y el modelo de teletrabajo, los ciberincidentes de phishing y ransomware se han incrementado en un 25%“, respondía Pablo.

Y continuaba diciendo que el presupuesto de seguridad en las organizaciones se ha estancado en un 8% ó 9%, aunque el gobierno de TI ha salido reforzado de la pandemia, pero la ciberseguridad y el gobierno de la ciberseguridad (el área del CISO) no tanto.

En ese contexto en el que parece que estamos evolucionando adecuadamente, Eduardo preguntaba “¿Por qué seguimos cayendo en la trampa del phishing?“

Eduardo B. respondía que, efectivamente, los ataques de phishing están aumentando y que éstos se centran principalmente en el robo de credenciales corporativas y accesos o penetración en las organizaciones para completar otros tipos de amenazas como el ransomware.

Desde su punto de vista, existen diferentes motivos para que sigamos picando ante el phishing:

• La novedad de la multicanalidad ya que los casos de phishing también llegan por otros canales adicionales a los del correo electrónico, como pueden ser los SMSs (SMShing), las llamadas telefónicas (Vishing), la lectura de QRs (QRShing) el Spear Phishing, etc.
• La instauración de una costumbre y falsa percepción de bajo riesgo, como lo evidencia la pérdida de interés y la falsa confianza que se produce, incluso pasados 60 días tras haber sufrido un incidente.
• La incapacidad e imposibilidad de parchear la vulnerabilidad humana (curiosidad, necesidad, prisa, egocentrismo, egolatría, etc.).
• El que sigamos tratando de concienciar, pues esto adolece de la potenciación y consecución de una cultura de seguridad real con programas de formación específicos y ad hoc. “A día de hoy solo tenemos cultura del riesgo, no cultura de seguridad“, finalizaba respondiendo Eduardo B.

“Caemos, picamos, y volveremos a picar porque vamos muy rápido y no solo es necesaria una formación y una concienciación“, respondía María José.

Pablo, en su turno de respuesta decía: “Conocemos los ataques y los ciberataques, conocemos los ataques dirigidos, conocemos los vectores de ataque, conocemos los objetivos o targets del ataque y, por lo tanto, el objetivo no debe ser estático sino dinámico“.

En este caso, en el de las personas, la eficiencia del control (de los planes de concienciación sobre las personas) no funciona y o aplica porque no evoluciona. Se hace necesario evolucionar el control que acompaña a cada tipo de ataque.

Eduardo preguntaba si “¿Los empleados conocen la política de seguridad?“

Para Arantxa se hace necesario diferenciar entre la política del Consejo de Administración y e PUA que debe llegar al usuario.

Una vez les llegue a los usuarios, éstos deben comprometerse con la política que se les traslada y deben ser conscientes de las acciones que realizan al respecto de ella.

En opinión de María José, depende de la empresa, de su volumen y de su madurez al respecto de los empleados y del Consejo de Administración.

Desde esa perspectiva, dicha política tiene que llegar sí o sí al empleado como usuario final y ésta la debe entender y trabajar con ella siempre en la mente.

Dado todo este escenario, Eduardo preguntaba a cerca de “¿Quién debe dar ejemplo (Diligencia Debida) dentro de la organización?“.

Pablo indicaba que tenemos normativas que aportan al funcionamiento de las tres líneas de defensa y el modelo de gobernanza, que también tenemos los estándares de medidas de seguridad y el enfoque de riesgos.

Todo lo que tiene que ver con las medidas, atañe a la proporcionalidad y en análisis de riesgo.

El cumplimiento está en la mano del CISO, que debe mitigar los riesgos residuales, siendo la monitorización y la diligencia debida, factores dependientes de los recursos.

“Me puedo hacer responsable de lo que empieza y termina en mí, pero no si hay terceros (internos y/o externos)“, contestaba Pablo.

La concienciación no se consigue con el miedo, con un régimen sancionador. Debe existir un enfoque Top-Down.

Desde el punto de vista de Eduardo B., los ataques tienen tanto impacto como para que el Consejo de Administración reaccione. El nivel de gobernanza está bajo en seguridad y el no saber a dónde vas, te asegura equivocarte.

“La Transformación Digital consiste en apalancar el negocio en la tecnología“, finalizaba de responder Eduardo B.

Para el cierre de esta ronda de respuestas, Arantxa comentaba que, ante un evento de alto impacto, el resultado es una pérdida de confianza. Esto hace necesario, sí o sí, que la Alta Dirección debe estar implicada.

En esa situación habrá que valorar qué se está dispuesto a asumir y, dependiendo del nivel de apetito al riesgo y de tolerancia aceptado, el Consejo de Administración deberá determinar si para ellos es un OK o un KO.

La mesa de debate continuó con algunas preguntas más y la compartición de opiniones, impresiones y experiencias. Para finalizar, Eduardo agradeció su participación a los contertulios y dio paso a Vanesa.

Por su parte, Vanesa, antes de dar por finalizada la jornada, nos comunicó una (“triste“) noticia… Este sería el último evento de Joris Vredeling como Coordinador General de ISACA Madrid.

Tras más de diez años, Joris deja ISACA Madrid para continuar con ISACA pero incorporándose a ISACA Internacional como European Chapter Advocate.

Vanesa, en su nombre propio, en el de la Junta Directiva, y en el de todos los asociados, hizo por tanto una despedida especial, entrañable y más que merecida para Joris, reconociendo y agradeciendo su predisposición en todo momento, su calidad humana, sus ideas innovadoras, el buen ambiente que siempre genera a su alrededor y el excelente trabajo realizado durante todos estos años como coordinador general de ISACA Madrid, a lo que todos los asistentes, estando 100% de acuerdo, respondieron con un contundente, sonoro y prolongado aplauso, poniéndose en pie al unísono.

Además de agradecerle su labor, se le felicitó y se le transmitió la alegría de todos los componentes del capítulo por esta excelente oportunidad profesional, aunque se le echará mucho de menos y se le despidió con una fantástica frase que lo resume todo: “Joris, no te vayas” ;-).