Detalles de la quinta y última jornada del Congreso CiberTodos20 de ISACA Madrid: “La ciberseguridad es una labor de todos”

En artículos anteriores os hemos hablado del Congreso CiberTodos20 de ISACA Madrid Chapter,

Ricardo Barrasa, Presidente de ISACA Madrid Chapter (@ISACAMadrid), comenzó dando la bienvenida a la jornada, resumiendo los excelentes datos de la jornada anterior, la 4ª y agradeciéndolos a tod@s l@s presentes.

En esta 5ª y última jornada de CiberTodos20 hay más de 2.600 inscripciones y, de forma simultánea, estamos con otro evento de ISACA a nivel de toda Latinoamérica. Desde España, estamos asistiendo cerca del 50% y el resto es, en su inmensa mayoría de países de habla hispana como México y Colombia, -comentó Ricardo-.

Las valoraciones de las jornadas anteriores, también son magníficas. La valoración media que hacéis nos sitúa, tanto en la última jornada como en las anteriores, ¡por encima del 9 sobre 10!. ¡Muchas gracias!

¡Así que, nuevamente, gracias! -decía Ricardo-. ¡Gracias a tod@s!

  • A tod@s l@s asistentes, asociados y no asociados. “A estos últimos, animaros a que os asociéis y recordaros que para sacar las certificaciones de ISACA no es necesario estar asociados“, -comentó Ricardo-.
  • A todos los capítulos de ISACA en Latinoamérica. en total, estamos colaborando con 27 capítulos de ISACA.
  • A nuestros patrocinadores, EY, Entelgy Innotec Security, Grupo SIA y Auren.

Tras los datos y los agradecimientos, Ricardo dio entrada a esta 5ª jornada, haciendo una rápida presentación de los contenidos de la misma y ponentes, en sus tres tradicionales bloques como en sesiones anteriores:

La apertura Institucional, corrió en este caso a cargo de Moisés Benamor, Jefe de Instituciones Representativas de la Organización de los Estados Americanos (OEA).

La entrevista a Félix Muñoz (Director General de Entelgy Innotec Security) por parte de Carlos Otto (Periodista de tecnología, economía, reportajes y emprendimiento en El Confidencial y responsable de El Enemigo Anónimo).

Y, la Mesa Redonda “Responsabilidad del CEO frente a los ciberataques: el binomio técnico-empresarial“, en la que participaron Alberto Hernández Moreno (CISO de Citibanamex y ex-CEO de INCIBE), Vicente Moret (Letrado de las Cortes Generales y Of Counsel de Andersen Tax & Legal), Iker Osorio (CISO de Cetelem), Arantxa Sánchez (Directora de Riesgos Tecnológicos de RSI) y, como moderador de la mesa, Jesús Sánchez (CEO de Audea Seguridad de la Información).

Arrancó por tanto esta 4ª Jornada con la exposición de Moisés Benamor que nos dio su visión del estado de la ciberseguridad en Latinoamérica, cómo la pandemia provocada por COVID ha repercutido enormemente, que se ha estado haciendo y qué líneas de actuación hay en marcha.

Comenzó argumentando que la ciberseguridad es, y tiene que ser -recalcó-, una tendencia global. Insistió en la importancia que tiene por ejemplo en los procesos electorales que llegarán a ser 100% digitales. Esto seguro que supondrá en breve, -comentó Moisés-, numerosos intentos de ciberataques que se convertirán en realidad en dichos procesos.

Habló también de la importancia del sector privado. Y no solo eso, sino también del sector público y de la extrema importancia que tiene la colaboración público-privada e la lucha contra la ciberdelincuencia. Tanto el sector público como el privado, -decía Benamor-, deben estar en la protección y en la generación de un marco normativo que lo garantice.

Desde su experiencia, entiende que tenemos infinidad de retos por delante. Si ir más lejos, -incidió-, “en Latinoamérica no hay ahora un marco normativo en el que el sector privado tenga relevancia en las políticas de ciberseguridad, ni en procesos de innovación“… y esto es un problema, -aseguró-.

La tecnología es indispensable en política” y “la ciberseguridad es esencial para la democracia“, -dictaminó, lapidariamente, y con mucha razón, Moisés-.

Siguiendo con el objeto de la colaboración público-privada, Moisés identificaba tres retos:

  • La identificación y el control de las eventuales injerencias e interferencias por parte de gobiernos.
  • La monitorización y reparación de brechas de seguridad en los sistemas de las Administraciones Públicas. Hablaba en términos de “Universalización Digital“.
  • Debe existir un espacio de conocimientos para la clase política (que usan smartphones, tablets, plataformas públicas…) para que ésta llegue a estar correctamente “concientizada“.

Moisés finalizaba su intervención diciendo se deben establecer procesos de innovación que deriven en recursos, educación, concienciación y capacitación en ciberseguridad.

Continuó Carlos Otto (Periodista tecnológico de El Confidencial, @elconfidencial y responsable de El Enemigo Anónimo, El Enemigo Anónimo en LinkedIN, @EnemigoAnonimo_ en Twitter y elenemigoanonimo en YouTube) manteniendo una conversación bastante amena, más que una entrevista, con a Félix Muñoz (Director General de Entelgy Innotec Security).

Félix comenzó diciendo, a la pregunta de Carlos sobre cómo se definía, que se consideraba “una persona bastante normal“. “Me relaciono con todo tipo de gente, tengo una familia excepcional…

Carlos preguntaba, Tu profesión ¿fue por vocación?

Félix respondía “Cuando era pequeño ni se sabía ni se había oído hablar aún de ciberseguridad, y poco de informática, la verdad, aunque ya comencé a trastear con mi Spectrum y mi AMSTRAD de 128K por aquel entonces… pero a mí lo que me gustaba era el fútbol 😉“.

¿Qué le dirías al Félix de 10 años?, le continuaba preguntando Carlos, como es habitual en sus entrevistas.

Félix dijo de inmediato “Sigue siendo niño. No pierdas la inocencia. No quieras crecer rápido. No quieras tener ya responsabilidades“.

A la pregunta de Carlos sobre qué libro, película o serie nos recomendaría, Félix dijo que no era mucho de series porque no seguía demasiado ese tipo de actualidad y, por lo tanto, veía las películas y series que le recomendaban. “Tampoco tengo demasiado tiempo para ver serías pero las últimas que he visto, porque me las han recomendado, y también recomiendo serían Mr Robot que creo que está muy bien hecha y documentada; Breaking Bad, o Soprano“.

¿Qué es lo que te gusta, o lo que más te gusta, de tu trabajo, Félix?, preguntó Carlos. A lo que Félix contestó que se sentía una persona afortunada y privilegiada. También nos dijo que se consideraba una persona inquieta y que le encantaba mejorar continuamente, analizar las relaciones con los clientes, valorar nuevas y mejores formas de expandir e internacionalizarse, y llevar por todo el mundo la Marca España.

Si vas a trabajar en algo, que te guste, y que te guste mucho, porque vas a invertir en ello muchas (muchísimas) horas de tu vida“, -concluyó diciendo Félix-.

Carlos continuó recordando que este año Entelgy Innotec Security cumplía la mayoría de edad y preguntándole a Félix Muñoz como fueron los inicios.

Félix comentaba que, en aquel momento, por 2002, la clave fue que “vivía con mis padres y no tenía obligaciones“. En ese momento, continuaba diciendo, “estaba trabajando en una consultora pero no me gustaba mucho, era todo bastante generalista y sin especialización … pero yo quería hacer algo diferente“.

Así que, al final “me decidí y me lancé a la piscina, los primeros clientes confiaron en mí“… “eso sí, tenía 26 años y aprendí a cuenta de leches como yo digo, pero la realidad es que así es como aprendes y, sobre todo, escuchando mucho a la gente y equivocándote“, -nos contó Félix-.

¿Qué es lo que más difícil te resultó?

Lo más complicado fue salir al exterior. La internacionalización. Creo que el principal inconveniente es la diferencia de culturas y, para tener éxito, debes asociarte con gente local” -decía Félix-. Primero arrancamos en Chile y ahora también estamos en México, Perú y Argentina, -añadió-.

Como otra de las preguntas obligadas en todas sus entrevistas durante estas jornadas, Carlos le preguntaba a Félix sobre la Pandemia de COVID y cómo entendía él que había repercutido en la ciberseguridad.

Félix respondía que, obviamente, había supuesto una enorme aceleración de todo lo relacionado con la protección y la ciberseguridad. Además, entendía que estamos ante un nuevo modelo y necesidades que han venido para quedarse. “Ya no hay perímetro“, aseguraba, y decía que había dos hitos importantes en torno a todo ello: la disponibilidad (el teletrabajo) y la ciberseguridad.

También aseguró desde su experiencia que no hay dos empresas iguales y que, por eso precisamente ambas no tendrán los mismos problemas, ni las mismas necesidades de ciberseguridad y que, por lo tanto, no todas las empresas estaban respondiendo del mismo modo, como era de esperar. “cada una tiene sus capacidades, su madurez y su presupuesto para ciberseguridad“, -acabó diciendo Félix-.

Continuó asegurando que la madurez es lo que marca la velocidad y que falta un largo camino por recorrer, especialmente en el lado de las pymes y micropymes, a quienes debemos ayudar. Sin embargo, la buena noticia es que antes la coordinación de ciberincidentes era totalmente imposible y parece que ahora eso ya está superado (al menos en parte), -decía-.

Respecto a esto, Félix lanzó varias reflexiones en cuanto a las pymes y la ciberseguridad:

  • Según el último informe de The Cocktail Analysis para Google, el 28% de las pymes no se sentían ni se sienten amenazadas, ciberamenazadas o en peligro potencial.
  • También piensan en reactivo y no en proactivo en términos de protección y de ciberseguridad.
  • Por último, creen que solamente con estar protegidos (con un mero antivirus por ejemplo), ya están a salvo y o tendrán ciberincidentes.
  • Las pymes no tienen cultura de ciberseguridad“.
  • “No cuentan internamente con personas responsables de la ciberseguridad“.
  • Por norma general, no cumplen con la RGPD/GDPR, o si la cumplen, creen que con eso ya basta
  • Pero deben buscar asesoramiento, porque sí pueden hacer cosas importantes con poco presupuesto (backup, servicios adecuados a sus capacidades, concienciación…)… Deben valorar entre la importancia y la inversión“.
  • Hay unos básicos… Un antivirus, concienciación de empleados… que, además pueden incluso no tener costes, o no demasiados“.

Carlos le planteaba a Félix que le convenciese para estar convenientemente concienciado.

Félix respondía: “No hay más que mirar las noticias para saber que debemos estar concienciados y, al mismo tiempo, confirmar que estas amenazas, estas ciberamenazas, están ahí, a la orden del día, y que son capaces de paralizar tu negocio. Eso es coste adicional que debes valorar“.

Carlos continuaba conversando con Félix y, a raíz de la pregunta anterior le planteaba si el modelo de gestión, o gestionado, está dejando de serlo para dar paso al modelo de suscripción.

Pues la verdad es que en este tema he cambiado de opinión con el tiempo y especialmente después de la pandemia del COVID. El modelo de suscripción se ha incrementado enormemente“, -respondía Félix-.

Y, para finalizar, una reflexión en torno al segmento de las pymes y a su ciberseguridad: “Con muy poquito, parece que no, pero se puede hacer mucho”, -finalizaba aconsejándonos Félix Muñoz-.

Inmediatamente después de esta interesante entrevista, arranco la no menos interesante mesa redonda, con el titular “Responsabilidad del CEO frente a los ciberataques: el binomio técnico-empresarial” y l@s siguientes participantes:

Jesús arrancaba la mesa redonda comentando dos anécdotas.

La primera de ellas, relacionada con una brecha de datos que se detectó en una organización en la que se estaba trabajando y que, de inmediato, fue comunicada al CISO (Chief Information Security Officer) mientras se comenzaba a trabajar en ella. Pasados unas pocas horas de trabajo, se pregunta sobre el importe que iba a suponer dicha actuación e, ipso facto, se paraliza todo de forma definitiva y no se comunica la brecha existente.

Jesús nos comentaba además otro caso (sin dar más datos) en el que, del mismo modo, una brecha de información fue comunicada internamente al Consejo de Administración y, a día de hoy, no se ha intervenido en ella, desde hace años.

Relacionado con todo esto, “¿Pensáis que los Consejos de Administración tienen información sobre los riesgos, o ciberriesgos que corren y están formados para entenderlos y entender sus repercusiones?“, pregunto Jesús a sus compañeros/s de mesa.  

Deben de tenerlo, pero creo que se les desborda con demasiada información“, -comenzó contestando Arantxa-.

Y continuó diciendo que el rol del Consejo es la continuidad del negocio, la continuidad de la compañía, aunque, sin embargo, a veces queremos informarles sobre riesgos y ciberriesgos, pero sobrevaloramos sus capacidades de entenderlos. “Creo que debemos explicar dichos ciberriesgos y dar soluciones, al mismo tiempo“, -terminaba diciendo Arantxa-.

Nuestra labor debería ser evidenciar esos ciberriesgos pero también dar soluciones y tranquilidad más que dar problemas y quebraderos de cabeza. También es cierto que cada vez lo ven y lo entienden más y mejor “, -concluyo Arantxa en su primera intervención-.

Por su parte, Alberto comentó que, desde su punto de vista, dependía de las organizaciones. En mi opinión, -decía-, “es una buena oportunidad de los CISOs para hacer llegar bien esa información. Depende de nuestra habilidad el que sea fácilmente entendible y esto es muy importante“, -expuso Alberto-.

Alberto finalizaba su primera intervención comentando que “los integrantes de los consejos de administración saben muchísimo de riesgos y de gestión de riesgos pero debemos hacerles conscientes y ayudarles a equiparar ese mismo conocimiento, experiencia y modo de trabajar en el lado del CIBER-riesgo y de la gestión de CIBER-riesgos“.

Para Iker Osorio, generalmente suelen estar concienciados, pero, aún así, o no siendo así, los CISOS son los que deben comunicar de forma sencilla y concisa. Además de esto -apuntaba Iker-, “los riesgos cambian en el tiempo, pero los Consejos de Administración no deben estar formados ni formarse en ello, porque no es su rol, y para eso estamos nosotros, los CISOs, ayudando a ello“.

En ese acompañamiento, continuaba comentando Iker, “debemos ayudarles, debemos hacerles conscientes de la existencia de buenos sistemas de recuperación de la información, también debemos trasladarles tranquilidad, pero solo cuando lo requiera así como preocupación y asesoramiento en otros casos… al final, nuestra labor para con ellos es ayudarles a que tomen las decisiones que tienen que tomar“.

La primera intervención de Vicente Moret el respecto de esta primera pregunta, tuvo mucho peso específico e impacto en la conversación, ya que nos trajo noticias nuevas, calentitas y de primera mano.

Vicente comenzó hablando de frameworks o marcos, normativas, regulaciones, etc. en Europa en materia de protección de datos. Pero, entre todo ello, lo más importante fue la exposición que nos hizo de la hoja de ruta europea en lo que a la Estrategia Digital de la UE se refería.

Según nos comentó, de esto se iban a derivar en breve dos “subproductos“, como lo llamó:

  • El Borrador del Reglamento Europeo de Resiliencia, que regulará en estas materias a empresas con más de 10 trabajadores y/o 2M€ de facturación, donde se determina que el Consejo de Administración de una compañía es el responsable y para gestionar todo esto y hacer cumplir con la normativa, debe contar con un experto.
  • La parte de la nueva Directiva NIS donde se define la figura del CISO y nuevas sus responsabilidades, que comenzarán a incluir roles legales. De este modo, los CISOs pasan a ser los primeros responsables de la estrategia de ciberseguridad, de la comunicación de ciberincidentes, y son el canal directo con el Consejo de Administración, encargándose del empoderamiento de las auditorías internas, independientemente de TI.

Estás son dos novedades que se han acelerado debido a la pandemia del COVID, que están a punto de “salir de cocinas“, y que cambiarán el panorama de forma considerable, -dijo Vicente, mientras el resto de contertulianos asentía-. “Por otro lado está ya en marcha la nueva Directiva NIS, la conocida como NIS2“, -terminó diciendo Vicente-.

La pregunta, tanto del moderador, como del resto de compañeros/a de mesa, era obligada tras su intervención: “¿En ese marco regulatorio, los CISOs van a ser los responsables al 100%?

Vicente les contestaba que en esa nueva normativa o revisión, “el CISO pasa a ser el máximo responsable y que, además, si alguien decide no notificar ni actuar, el CISO lo podrá hacer de forma independiente, y estar cubierto“.

Además, -continuó comentando Vicente-, la idea es que, en las pequeñas empresas, pymes, el rol del DPO (Data Protection Officer) y el rol del CISO se diluyan o confluyan en uno solo identificándose en una misma persona.

Sin embargo, la nueva normativa especifica claramente que ambos roles, DPO y CISO, deben estar representados por distintas personas dentro de la organización más grande. Por un lado deberá estar quien ostente un perfil más de carácter “legal“, representado por el DPO, mientras la parte “técnica” será representada por el CISO.

En esta revisión de la normativa, “se obligará específicamente a que el CISO tenga todos los recursos que necesita a su alcance… Tecnología, Personas, Procedimientos…“, -continuó explicándonos Vicente-.

Alguno de los compañer@s de mesa se reía y jocosamente comentaba “habrá que pedir aumentos de suelto, ¿no?, debido  estas nievas responsabilidades… al fin y al cabo, vamos a poder ir a la cárcel en un pispas” 😉

A lo que Vicente contestaba diciendo que “el CISO es el delegado de la autoridad dentro de la organización“, y apuntillaba, de forma irónica y jocosa aquello de “vais a necesitar un buen abogado al lado” 😉

Continuando con la conversación, Alberto decía celebrar una 2ª Directiva NIS, puesto que la 1ª, en estas fechas, dejaba ya muchas cosas en el aire y, en especial, las competencias del CISO.

Cuando tuvo lugar, la anterior Trasposición de la NIS nos llevó muchísimo tiempo, así que, la verdad es que celebro no estar allí ni tener que participar en esta ocasión“, acabó comentando Alberto de forma jocosa.

Dada su nueva posición en México, Alberto continuó explicándonos que allí estaba regulado desde Noviembre de 2018 en el sector financiero, siendo el máximo responsable el CEO, pero exigiendo la existencia de un CISO que trabaje y colabore estrechamente, reportándole y no reportando al CIO, como podría ser lo habitual.

Jesús continuaba con temas encima de la mesa, planteando la siguiente pregunta: “En este marco, ¿cómo podemos hacer en España con tanta variedad de tipos de empresas y, especialmente, con un tejido tan amplio de pymes, pequeñas empresas y micropymes?

Comenzó respondiendo Alberto. “Veo México muy parecido a España en este asunto y dos paradigmas

  1. La víctima es la que sufre el ciberataque, pero no es el culpable… parece que cuando tienes un problema de este tipo, además todos te miran y lo hacen con mala cara o desconfianza…
  2. Las víctimas podemos ser todos“. Y continuó comentando que esto aún no le ha quedado claro a todo el mundo. El problema, -decía Alberto-, puede no ser de la organización, puede venir de proveedores, partners, e incluso clientes y usuarios… “Tengamos en cuenta el nivel del ciberfraude digital y los cientos de miles de campañas de phishing, vishing, smishing… contra nuestros clientes

Por su parte, Iker comentaba que “la protección de una compañía depende de su tamaño y de la relevancia de TI en el negocio“.

Vicente continuó comentando algunas más de las novedades que se avecinan desde Europa, también en este sentido. “La UE ya ha marcado por donde comenzará: 1º) Finanzas, 2º) Sectores Críticos, 3º) Sanidad, 4º)Administraciones Públicas. “, -dijo-. “Europa marca la franja de corte actual, no obligando por debajo de este criterio, a pymes con menos de 2’5M€ de facturación y menos de 10 empleados“, -concluyó-.

Arantxa planteaba por su parte el tema de la protección al consumidor y, en base a ello, dejar que las compañías sean las que valoren en función de sus superficies de exposición, porque “al fin y al cabo, la compañía siempre es la responsable“, -concluía-.

Vicente continuaba afirmando que estaba 100% de acuerdo con Arantxa y complementándolo indicando que esto iba a ser una nueva ventaja competitiva de una organización frente a otra.

De este debate y de esta nueva regulación que está por llegar en breve, surgía una nueva duda… “¿cuándo somos (o seremos) responsables?“, que Jesús lanzaba a sus compañeros/a en la mesa.

Arantxa arrancaba complementando su anterior intervención en términos de que la empresa siempre es responsable. Sobre ello, continuaba comentando Vicente que debemos ir a un modelo proactivo de mitigación de riesgos. Además, desde el punto de vista legal comentaba que “estamos obligados a dar explicaciones y, si es grave, en el juzgado. Esto puede salir en las noticias como que se ha hecho todo lo posible para mitigar el ciberincidente pero ha sido imposible… no eludir, pero sí mitigar

La postura de Iker era esto es una responsabilidad de todos y que además se trataba de una corresponsabilidad de los Comités de Dirección de las empresas.

El punto de vista de Alberto, coincidiendo en parte con Vicente, era que nuestra responsabilidad lo es cuando podemos demostrar que hicimos algo, todo lo posible. Después, -continuaba comentando Alberto-, podremos valorar cuánto se hizo y si fue poco o mucho. Y finalizó diciendo que también hay que tener en cuenta a partners, socios, colaboradores, proveedores, clientes, usuarios… y, en definitiva, a todos los involucrados.

¿Y cómo se gestionarán las sanciones en este nuevo marco?“, -preguntó Jesús-.

Por alusiones y por contar con el mayor conocimiento de estas novedades que nos estaba desvelando en primicia en la mesa, respondió Vicente. “Se comenzará con una normativa jurídica <<flexible>> y sin sanciones si no afecta a clientes, pero se habla de hasta 500K€ y parece obligatorio porque necesitamos la amenaza de una sanción para reaccionar. En esto habrá dos reglamentos. Uno de ellos será el que ya está en Marcha de Resiliencia de las Entidades Financieras“, -finalizó diciendo Vicente-.

Y, para cerrar la mesas por parte de los/la panelistas/a, Jesús les pidió unas breves conclusiones antes de pasar a la ronda de preguntas.

Arantxa Sánchez

  • Yo me quedaría con la siguiente reflexión, dijo: “Y si me pasase algo, si tuviese un ciberincidente… sería capaz de recuperarme“.
  • También comentó que vendrán situaciones complejas con nuevos riesgos y ciberriesgos que se materializarán, como ha sido el caso de la pandemia del COVID. “Nuestro compromiso y obligación es atajarlos y conseguir que la ciberseguridad sea una parte más del negocio
  • Debemos pasar del modelo de Terceras Partes, al modelo de Join Venture“, -finalizó diciendo Arantxa-.

Vicente Moret

  • Insistió en la “importancia de las personas en todo esto” y, dado que ya hay (y habrá más) tecnologías excelentes, podemos manejarlo, -dijo-, y además, “debemos concienciar a quien tiene el poder“.

Iker Osorio

  • Propuso la necesidad de una comunicación más estrecha, continua, y mejor entre el CISO, el CEO y la Junta de Administración.
  • Planteó la necesidad de transformarnos al modelo de riesgos y de negocio.
  • Insistió en que “la responsabilidad, debe ser co-responsabilidad, compartida, de todos, pero especialmente de la Dirección con las Áreas de Ciberseguridadincluyendo a también a terceras partes… proveedores, socios, colaboradores…“.

Alberto Hernández

  • Insistió en lo fundamental que es la regulación.
  • Los CISOs debemos dejar de mirarnos al ombligo y hablar con el Consejo que, al fin y al cabo, saben muchísimo de riesgo“… de este modo, y solo de este modo, “podremos ayudarles a tomar las decisiones de tienen que tomar“.

Para finalizar, se realizó una ronda de preguntas (las que hubo tiempo material de plantear) que l@s asistentes dejaron en el chat:

  • “¿El CISO tiene que hablar de ROI (Retorno de la Inversión)?”. Contestó Alberto afirmativamente. “Sí, claro… sobre qué va a costar, qué beneficio reporta y qué confianza genera… al final, la seguridad debe mejorar la confianza“.
  • ¿Cómo afecta la nueva NIS (NIS2) a las Apps?“. Por alusiones y por mayor conocimiento de esta nueva normativa o revisión de la NIS actual, contestó Vicente… literalmente… “¡Una gran pregunta ;-)! Las Apps están reguladas dentro del ENS (Esquema Nacional de Seguridad). Se tendrán que lanzar (nuevas) certificaciones de productos y servicios (poco a poco, pero de todos) y Europa vendrá con la NIS2. Las Apps están incluidas en sectores críticos, así que se verán afectadas sí o sí“, -comentó Vicente-.
  • ¿Cómo se mide la corresponsabilidad de terceros?“. La respuesta fue a cargo de Iker. “Por supuesto, debemos evaluar los servicios de terceros y verificar la función que están realizando, con métricas concretas“. “Pero también debemos estar en la 2ª y 3ª líneas de defensa, mirando muy de cerca los niveles de auditoría de terceros.“.
  • Relacionado con todo esto, “¿Es suficiente con una evaluación de riesgos anual?“. La respuesta, de nuevo, la respondió Iker. “Por supuesto que no. Debe ser diaria y continua para mejorar a diario“. Tanto Alberto como Arantxa estuvieron 100% de acuerdo y agregaron que además debía ser una tarea dinámica.

Y así finalizó esta 5ª y última Jornada de CiberTodos20.

Como despedida y colofón final, Ricardo nos comentó varias sorpresas:

Para presentar dicha iniciativa, dicha fundación, y explicarnos un poco más su objetivos, se conectó y participó de la mesa Pablo Melchor, Co-Fundador y Presidente de la fundación.

Él nos explicó sus objetivos trasladándonos que se trataba de una Ayuda Efectiva y real para la identificación de proyectos que más vidas permitan salvar y que más ayuda permitan entregar.

Con ello, la Fundación Ayuda Efectiva, lo que pretende es redirigir el 100% de las donaciones a los que, en realidad, más las necesitan, de forma eficiente.

ISACA Madrid Chapter participa colaborando en esta fundación con una donación inicial de 1.000€.

  • Tras este caramelo y aliento, la segunda sorpresa, aunque “anunciada”, no fue tan agradable. Ricardo Barrasa, actual Presidente de ISACA Madrid Chapter (@ISACAMadrid), se despedía del cargo tras 6 años en él, al finalizar este evento CiberTodos.

Tras 6 años ya tocaba cambiar de aires“, -dijo Ricardo-. Nos comentó que habría una nueva asamblea dentro de 1 mes, en la que, a priori, saldrá nombrada como nueva Presidenta Vanessa Gil Laredo.

ISACA Madrid es un capítulo de referencia dentro de ISACA, comentaba Ricardo que, durante mucho tiempo ha conseguido influenciar a empresas y Administraciones para que valoren y se certifiquen.

Nos seguiremos viendo en otras juntas y asambleas“, -concluía diciendo Ricardo-, mientras agradecía la labor de siempre a su equipo más directo, a la Junta y a toda la gran familia de ISACA Madrid, por el trabajo de estos 5 últimos jueves de octubre, el mes de la ciberseguridad, donde el objetivo es concienciar y aprender, y por todos estos 6 últimos años, -dijo-. “¡Hemos sido casi 1.500 personas conectadas en cada jornada, lo cual es un hito y es de agradecer!“. “En las próximas semanas habrá más eventos pro ya no serán abiertos para todo el mundo, sino exclusivos para asociados“, -concluís diciendo Ricardo-.

Eduardo Solís, como parte de los miembros de la Junta de ISACA Madrid, tomó la palabra para, como no podía ser de otro modo, agradecer a Ricardo todos estos años de dedicación altruista. “Ha sido un grandísimo honor y, Ricardo, con tu ayuda esto ha tomado una dirección excepcional“, -concluyó comentando Eduardo para pasar a cerrar haciendo un resumen de estas 5 jornadas de CiberTodos20-.

Antes de dar por concluido el evento, y el congreso, y dejarlas últimas pautas a l@s asistentes, intervino Joris Vredeling, Coordinador de Eventos y Proyectos de ISACA Madrid Chapter y Director Gerente de Máxima Gestiones y Congresos (MGC).

Al igual que Eduardo, Joris agradeció a Ricardo todos estos años de dedicación y trabajo en ISACA Madrid, mientras recordaba algunas pretéritas situaciones y anécdotas. “Recuerdo“, -decía Joris-, “cómo hicimos el “transfer” del anterior presidente saliente, Antonio Ramos, al nuevo entrante en aquel momento, Ricardo“… “en una cafetería cercana a la Paz, pasándole Antonio las credenciales a Ricardo“.

También recuerdo“, -continuaba comentando Joris-, “el viaje a Chicago hace dos años, donde, por exigencias del guión, no tuvimos más remedo que compartir habitación y, al contrario de ser un inconveniente, fue una oportunidad que nos ayudó a conocernos mejor“.

Por todo ello, al igual que decía Eduardo, mil gracias Ricardo“, -concluyó Joris-.

Tod@s vosotr@s… Ricardo, Eduardo, Pablo, Antonio, tod@s l@s miembros de la Junta, colaboradores, etc., que estáis aquí de forma totalmente altruista, recibiendo llamadas a deshoras cuando os lo permite vuestra familia, siendo perseguidos dentro de vuestras jornadas laborales con temas que no tiene que ver con ellas, y que trabajáis tanto como el/la que más, tenéis mucho mérito y merecéis nuestro aprecio, agradecimiento y admiración. Mil gracias por ello“, -decía Joris-.

Y, para finalizar, antes de comenzar con resolución de dudas personales, otras explicaciones, las indicaciones sobre la encuesta, los CPEs, etc., también quiero agradeceros a vosotr@s, miembros de ISACA Madrid Chapter, de otros capítulos asistentes al evento, vuestro interés y participación“, -Comentó Joris-.

En particular“, -continuó diciendo Joris-, “quiero hacer una especial mención a Iñigo Ladrón Morales. Una persona, asociado de ISACA Madrid, que ha seguido el Congreso CiberTodos20 durante todas sus jornadas, haciéndose eco y compartiendo todo lo ocurrido en cada una de ellas, retransmitiendo en directo en Redes Sociales (en Twitter y en LinkedIN), haciendo capturas de pantalla, etiquetando, escribiendo artículos y posts al respecto en Derecho de la Red. Por todo ello, muchas gracias Iñigo y, como hemos hablado, tendremos que ver esa incorporación y líneas de colaboración.

Respecto a este último párrafo y apartado… aparte de un poco de rubor… ¡Mil gracias Joris! (me sonrojé ;-)). Como hemos hablado, “te tomo la palabra y quedo a vuestra disponibilidad para lo que podáis requerir de mí desde ISACA Madrid. Será un gran honor poder trabajar con tan grandes profesionales

¡Gracias Joris, gracias Eduardo, gracias Ricardo!

…Ah, y respecto a las cervezas en Bilbao, ¡por supuesto Joris! Eso está hecho en cuanto nos levanten los confinamientos y te puedas acercar… ¡prometo además, gran chuleta con guarnición, bacalao al pilpil y lo que se tercie! 😉

De todos estos temas se habló en esta 5ª Jornada del Congreso CiberTodos20 de ISACA Madrid Chapter, pero, si queréis, podéis ver la grabación completa en este enlace: https://www.youtube.com/watch?v=SvvjL5BOApA.