Detalles de la cuarta jornada del Congreso CiberTodos20 de ISACA Madrid: «La clave de la capacidad de respuesta está en la colaboración y la cooperación entre empresas, pero también ahora hogar y proveedores»

En artículos anteriores os hemos hablado del Congreso CiberTodos20 de ISACA Madrid Chapter,

Eduardo Solís, miembro de la Juna Directiva de ISACA Madrid Chapter (@ISACAMadrid) y Líder de Servicios de Consultoría en Entelgy Innotec Security, comenzó dando la bienvenida a la jornada y resumiendo los excelentes datos de la jornada anterior, la 3ª.

El poder de convocatoria y la asistencia a este CiberTodos20 está siendo fantástica. Si en la 1ª jornada estuvimos 1.350 asistentes, en la 2ª jornada 1.150, y en la 3ª 1.200, hoy hay algo más de 1.200 personas inscritas. ¡A ver si superamos el record de ISACA Internacional y superamos las 1.700!, comentó Eduardo en su introducción.

De entre [email protected] [email protected] asistentes, el 50% es de España, pero el otro 50% de fuera de España, especialmente de países de Latinoamérica (de todos ellos) y de algunos otros países de habla no hispana.

Por otro lado, las valoraciones de las jornadas anteriores, también son estupendas. La valoración media que hacéis nos sitúa, tanto en la última jornada como en las anteriores, ¡por encima del 9 sobre 10!. ¡Muchas gracias!

¡Así que, nuevamente, gracias! -decía Eduardo-. ¡Gracias a [email protected]?

Tras los datos y los agradecimientos, Eduardo dio entrada a esta 4ª jornada, haciendo una rápida presentación de los contenidos de la misma y ponentes, en sus tres tradicionales bloques como en sesiones anteriores:

La apertura Institucional, corrió en este caso a cargo de Manuel Rodríguez Vico, Risk and Continuity Manager del European Parliament.

La entrevista a Alejandro Marín (CEO y Fundador de ForoCoches.com) por parte de Carlos Otto (Periodista de tecnología, economía, reportajes y emprendimiento en El Confidencial y responsable de El Enemigo Anónimo). Y, la Mesa Redonda « Gobernando a golpe de timón: ¿cómo han gestionado los Comités de Crisis la situación actual?«, en la que participaron Mauricio Castaños (Regional CISO North LATAM de MAPFRE México), Olga Forne (CISO del Grupo Mediapro), Marc Soler (Consultor Digital Risk en Grupo SIA), Pedro Pablo L.B. (Presidente de Continuam Instituto de Continuidad de Negocio), Mario Ureña (Presidente de Secure Information Technologies) y, como moderadora, Macarena Rodríguez (Presidente del Business Continuity Institute (BCI)).

Arrancó por tanto esta 4ª Jornada con la exposición de Manuel Rodríguez Vico que nos vino a explicar lo qué se había hecho y cómo se había hecho en Europa (el Parlamento, la Comisión y el Consejo) durante el estado de crisis del inicio de la pandemia del COVID y el consiguiente confinamiento.

En primer lugar nos explicó el modelo organizativo de nuestra Europa, dejándonos más que clara la inmensa complejidad de administración y gestión de todo el entramado de organismos y relaciones entre ellos, partiendo de las tres piezas fundamentales, el Parlamento que legisla, la Comisión Europea como tal que gobierna y el Consejo que es quien representa a cada uno de los países de la Unión… entre muchas otras áreas, delegaciones, oficinas, comisiones, servicios, comités…

A toda esa complejidad, además, hay que sumarle por supuesto el que las sedes estén dispersas no concentradas en un mismo edificio, pero tampoco dentro de un mismo distrito, ni de una misma cuidad y, en ocasiones, incluso en países distintos… Bruselas, Estrasburgo, Luxemburgo…

Es decir, oficinas y sedes, y sus respectivas infraestructuras, totalmente deslocalizadas y dispersas, con más de 120-130 delegaciones y diferentes tipos de personal (diputados, políticos, administración, servicios, lobistas…) en todas ellas con sus dispositivos, sistemas a los que se conectan, necesidades de toda índole… y un volumen de movimiento de personas en las instituciones superior a los 150K al año.

Y, todo esto, al decretarse el/los Estado de Alarma, y el/los confinamiento, había que manejarlo (aunque inicialmente solo fuese a «vista de pájaro«, -decía Manuel-) desde el área de Gestión de Crisis del Departamento de Seguridad que ahora depende de la Secretaría General. En todo ello, un papel fundamental lo tuvo el Departamento de Continuidad, que ahora también incluye la Gestión de Riesgos y la Gestión de Crisis.

«La 1ª lección aprendida de todo lo que tuvimos que hacer es que debes mirar alrededor y ver tu cadena de dependencias, teniendo muy claro que en la primera etapa, hay que PROTEGER«, decía Manuel Rodríguez.

  • El 23 de Febrero hubo ya un movimiento de «detección temprana» de la crisis que se avecinaba.
  • El 2 de Marzo el Parlamento tomó la decisión de suspender todas las actividades no esenciales, todo lo que no se considerase una actividad legislativa.
  • El 15 de Marzo, cuando entraron en vigor las medidas más drásticas con confinamientos y estados de alarma, se mandó a todo el personal, al 100%, a sus casas, a trabajar desde ellas si era posible.

Tras esta 1ª Etapa de Protección, comenzó la 2ª etapa que consistió en la Gestión de la Continuidad, en la que los funcionarios, las comisiones, el área legislativa se fueron a su casa y tuvieron que trabajar desde ella. El primer problema que se encontraron fue la necesidad de ejercer el voto telemático o en diferido, pero de una forma más que masiva.

«La 2ª lección aprendida fue el que se debe trabajar con una visión transversal de la continuidad y de la gestión de crisis«, concluyó Manuel Rodríguez Vico.

Continuó Carlos Otto (Periodista tecnológico de El Confidencial, @elconfidencial y responsable de El Enemigo Anónimo, El Enemigo Anónimo en LinkedIN, @EnemigoAnonimo_ en Twitter y elenemigoanonimo en YouTube) conversando unos minutos con Alejandro Marín (Fundador de ForoCoches.com).

El lugar elegido para la conversación, aunque sin mucho que ver con los temas a tratar ni los roles, predilecciones, ni aficiones de ninguno de ambos dos, curioso, un ring de boxeo ;-)… y así comenzó Alex, diciendo… «nunca he boxeado, pero esta chulo el sitio. soy más de hockey, gimnasio, calistenia y deporte en general» 😉

Respecto a su intervención o no en los foros de ForoCoches.com, Alejandro aseguraba que siempre se había mantenido en la sombra y que nunca ha participado en ninguno de los foros, ni siquiera con un nick o un pseudónimo para camuflarse, pero que sí los solía consultar.

«¿Como fueron los inicios?«, le comenzó preguntando Carlos.

Alex contestaba «Al principio, mi padre se levantaba a las 6:00 am y veía que yo me quedaba en casa, ahí delante del ordenador, o que seguía porque había estado toda la noche. Mi padre y mi madre decían aquello de <<a ver si te buscas un trabajo de verdad>>«.

«Cuando el tema comenzó a generar los primeros ingresos, allá por 1.999, mi madre decía, <<déjale al chico a ver qué hace con esto>>«, aseguró riéndose Alejandro.

«¿Qué le dirías al Alex de 10 años?«, le preguntó Carlos.

Alex dijo, sin pensarlo «Compra Bitcoins a 0,10, el precio que estaban al principio y véndelos cuando lleguen a estar a 19K$, aunque no te lo creas«.

Al ser cuestionado a cerca de una recomendación sobre un libro, una película, una sería… Alejando dijo: » no soy de serias largas y de varias temporadas porque me dan pereza y canso enseguida«. Pero nos recomendó Sherlock y nos apuntó que ahora estaba viendo muchos vídeos y contenidos para aprender sobre nutrición… «soy más de documentarme y aprender sobre lo que me gusta«.

Una duda que está ahí y que Carlos le planteó a Alex fue «¿Cómo es que ForoCoches ha sobrevivido a los Blogs, a las Redes Sociales, e incluso a otros Foros?«

Alejandro aseguraba que era debido a que es cuna «comunicación directa, anónima y sin límites«. En realidad, además, «ForoCoches tuvo un tiempo a Tuenti por delante, pero Tuenti ha desaparecido y ForoCoches no«.

«¿Cómo se gestiona en ForoCoches la desinformación, la manipulación y las informaciones falsas o no veraces?«

«Es muy fácil. No se hace nada (salvo casos límite), porque se auto-regula y auto-controla. Los usuarios de ForoCoches tienen un perfil distinto, son experimentados y no se creen todo lo que leen. Por eso, siempre se plantean la duda y buscan o preguntan por las fuentes» –comentaba Alejando-… y la verdad es un buen mecanismo, y sería el ideal, el contar con esa conciencia crítica y con esa madurez en muchos otros medios y canales, de forma generalizada.

Y añadió, «Algunos usuarios incluso se juegan la cuenta de ForoCoches, porque están seguros de que lo que están diciendo es cierto y lo han comprobado previamente» 🙂 Este es un filtro auto-regulador genial para asegurar la veracidad de la información.

En cualquier caso, «estamos en contacto con la Policía Nacional y con la Guardia Civil cuando hay situaciones complicadas y cuando alguien comienza a difundir fakes, porque esto, además de repercutir en los usuarios, puede generar otros efectos colaterales legales«.

«¿De verdad seguimos creyéndonos que Internet es anónimo?«, continuó preguntándole Carlos a Alex.

«Sí, pero cada vez más se va igualando el conocimiento y las consecuencias de su uso. En 2.000-2.005 igual sí, pero ahora la gente ya es consciente de que <<si la lías, te pillan sí o sí>>«, -contestó Alex-.

«¿Y, en lo personal, que haces para mantenerte ciberseguro?«

Respecto a la ciberseguridad en ForoCoches, «no se realizan pagos, ni compras, ni ventas, no existen detalles personales de usuarios… aunque sí que es cierto que hemos recibido algún ciberataque de denegación de servicios (DDoS), pero usamos servicios y plataformas de protección«.

En lo personal, «uso VPNs, no me conecto a cualquier WiFi pública (ni a la del hotel / y esto es curioso, porque antes todos buscábamos una ahora casi que deberíamos huir de ellas ;-)), utilizo diferentes contraseñas y las cambio habitualmente«.

«¿Qué es lo que más te gusta de tu trabajo?» A lo que Marín contestaba: «sin duda, la libertad. Nunca he trabajado para nadie desde los 19«.

Continuaron hablando de ForoCoches y Carlos le planteó la posibilidad de venderlo. «Tendría que ser por un precio insultante. Ya me ofrecieron (grupos de medios) varios millones e ir a Madrid para ser directivo, pero no«, -dijo Alex-.

Siguiendo esa misma conversación, Alejandro comentaba que, si así fuese algún día y vendiese, no se retiraría. No se retiraría tras una hipotética venta. Trataría de aprovechar y vivir más la vida, pero seguiría trabajando en el sector, «probablemente me metería en algún proyecto digital para adultos, porque suele ir por delante y los demás le suelen seguir«, explicó Alex. «En estos momentos, hay que ser muy muy especialista, hay que tener una actividad de nicho, porque ahora está más complicado que en el año 2.000Ahora se requiere más inversión, somos menos de garaje y necesitamos un buen colchón para tirarnos a la piscina«.

Para finalizar la jornada, tuvo lugar el debate de la mesa redonda «Gobernando a golpe de timón: ¿cómo han gestionado los Comités de Crisis la situación actual?«

Con [email protected] siguientes panelistas:

Macarena comenzó exponiendo la situación del COVID y cómo nos tuvimos que adaptar a ella, indicando que antes, el modelo de teletrabajo solo (y no en muchos casos) estaba planteado en los BCPs / PCNs (Business Continuity Plan / Plan de Continuidad de Negocio), pero que ahora se había tenido que aplicar a todos los trabajadores. En este sentido, planteaba a sus contertulios como les había afectado esto.

«Aunque os parezca raro, nosotros sí que teníamos identificada y contemplada una pandemia en nuestro BCP, pero, efectivamente, no el que TODO el personal pasase e un día para otro al modelo de teletrabajo«, -comenzó contestando Mauricio Castaños-.

«Lo que hemos tenido que hacer es llevar el Perímetro hasta el Endpoint. Ha sido duro pero nos ha apoyado la tecnología y, sobre todo la concienciación«, -finalizó Mauricio-.

Por su parte, Olga Forne comentó que ahora, y como resultado de esta situación, se había dado mucha más visibilidad a la seguridad, a la ciberseguridad; haciendo que ahora estuviese, tuviese que estar, en todas partes, hasta en el hogar, desde un punto de vista corporativo.

Pedro Pablo López comentaba que «la superficie de exposición corporativa se había llevado hasta el hogar, generando una nueva brecha pues ahora se trabajaba en otro entorno de trabajo no securizado y además se utilizaban dispositivos personales y corporativos (además de otros elementos con la WiFi, el 4G…), indistintamente, tanto para tareas del trabajo como del ocio«.

El modelo que podría venir a subsanar ese gap, según palabras de Pedro Pablo, sería el de la cooperación y colaboración entre empresas y hogar, involucrando seriamente a los operadores y proveedores de comunicaciones para que aseguren todos los mecanismos y canales.

Sobre la Capacidad de Respuesta y sobre si ésta marcaba la diferencia entre sobrevivir o sucumbir, en relación a si las empresas estaban preparadas, surgía el siguiente debate planteado por Macarena.

«No, no lo están«, -contestó rotundamente Olga-. «En todo caso esto solo pasaría en empresas grandes, expertas y con recursos, Las empresas pequeñas y medianas que no tienen esas capacidades, tienen que contar con sus proveedores.«, -acabó señalando-.

Mario opinaba lo mismo, «No, no estamos preparados«. Pero, sin embargo, además de la opción de la que hablaba Mario, de la prevención, hay otras herramientas que podemos y debemos usar… «también debemos estar preparados para responder«… «es una pena, pero los equipos de crisis no tienen colaboración con otras áreas, están solas«.

Además, Mario comentaba que se deben preparar concienzudamente varias áreas como las de Análisis Forense Digital, Recolección de Datos, Custodia, Legales

La respuesta de Mauricio estuvo más focalizada al caso de las aseguradoras donde «debemos buscar la cooperación entre nosotras, entre las empresas del sector asegurador, y trabajar conjuntamente en un mismo framework de ciberseguridad«, -propuso-.

Marc planteó la necesidad de coexistencia de dos procesos que entendía necesarios, el de la Continuidad, y el de la Seguridad. Su opinión de basaba en «la convivencia, colaboración y respuesta conjunta ante situaciones de crisis de estas dos columnas que están obligadas a entenderse«.

Y fue aún más allá, afirmando que «debemos romper silos porque en momentos de crisis no estamos para tonterías«.

«Debemos ordenar y planificar con anterioridad para poder responder y recuperar a tiempo y en óptimas condiciones«.

«El Plan de Continuidad de Negocio, debe ser real, y no de cartón-piedra, porque sino, en el primer incendio, de nos quemará y se hará cenizas«, -equiparó Marc-.

En muchas ocasiones, el problema reside en que «las empresas no se creen que vayan a suceder estos <<imposibles>>«. Y, en casi todas las ocasiones el hacer una prueba completa de resistencia, tirando sistemas por completo y estando sin servicio y sin generar ingresos durante un buen tiempo… no es plato de buen gusto y no se hace… «las pruebas se hacen, pero para certificarse, no porque sea necesario» -finalizó diciendo Olga-.

Pedro fue muy claro y directo: «yo lo veo así«

  1. Identificar.
  2. Medidas de Seguridad, Integrales.
  3. Capacitar… «que no es lo mismo que formar, es más, es entrenar… por ejemplo, lo que hacemos con los bomberos, los sanitarios…«, -aclaró Pedro-.
  4. Responder. Y, ante esto, tenemos normas ISO, tenemos el Mando y control (quién), debemos manejar la información (activa y pasiva o forense), debemos colaborar con orden y coordinadamente… -finalizó diciendo Pedro Pablo-.
  5. Responder (aplicar planes).
  6. Aprender y superar.

«En nuestro caso, en Continuam, abrimos el Foro Resiliam para coordinar internamente entre todas las áreas de nuestra empresa«.

«Súmate, multiplica. La suma de todos es la que nos hace resilientes«, finalizó diciendo Pedro.

Además de todo lo comentado, es importante agregar que «este debe ser un proceso vivo que mantener en el tiempo«, «No es el <<ya lo tengo>> y me pongo la medallita, la estrellita y lo guardo» -planteó Mauricio-. Además, «para todo ello, es necesario, crítico, el respaldo de la alta dirección«

Pero, se planteo la duda de «¿cómo se prueba el Plan de Continuidad?«

«Hay miles de microempresas in áreas, ya no de seguridad, sino ni de sistemas… ¡imagínate su Plan de Continuidad!«, -decía Mario-. «Las empresas grandes que trabajamos con pequeñas, deberíamos ayudarles» -planteaba Olga-. Mientras que Marc apuntaba que «El Plan de Continuidad de Negocio debe contemplar a terceros con los que trabajamos o colaboramos«

Y, una pregunta peliaguda… «¿Por qué no suele haber transparencia tras un episodio de crisis, especialmente en las empresas de habla hispana?«, -preguntaba Macarena-.

«Tenemos casos recientes de empresas que lo han comunicado y esto les ha ayudado, tanto en esa crisis como en su reputación e imagen, siendo felicitadas tanto por clientes como por partners, etc., aunque es cierto que no todo el mundo lo interpretó bien«, -contestó Mario-.

Continuaron comentando que deben existir y existen unos principios de comunicación en momentos de crisis y que se debe comunicar. Es más, es obligatorio comunicar y hacerlo a diferentes entidades, en determinadas ocasiones, tipificadas… por ejemplo, hablemos de la ISO 22371

En este sentido, siguiendo el modelo de normativas y certificaciones, Mario proponía:

  • Transparencia.
  • Necesidad de conocer de forma adaptada, personalizada e inteligente. No todo el mundo debe ser transparente en todo y para todos. Hay que tener en cuenta que algunas informaciones más que ayudar, pueden perjudicar, dando aún más datos a los atacantes.
  • Tengamos en cuenta que estamos hablando de transparencia para con seres humanos… debemos tener empatía con los clientes.
  • La comunicación de una crisis, debe de ser muy cuidada y debe estar muy bien preparada y consensuada.
  • Debemos hablar desde una sola voz, no con varios «voceros» en paralelo y hay que tener mucho cuidado con las Redes Sociales, por lo que decimos en ellas y por gestionar las respuestas de otros que hablen del tema en ellas.
  • Las comunicaciones solo deben producirse cuando han sido revisadas y están autorizadas por el Equipo de Gestión de Crisis.
  • Debe existir lo que yo llamo «Concienciación Situacional«, que significa dar la información precisa y autorizada de la situación.
  • Además, ejercer un alto grado de colaboración y cooperación, tanto interna en la empresa como sectorial.

«En España contamos con el Instituto de Continuidad«, -comentaba Pedro-. Además, decía, «se trata de hacer un triaje, muy rápido y a medida, y por varios frentes el mismo tiempo… como en el caso de INCIBE, CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), los Ciberejercicios… en España«.

Marc apuntaba además la obligatoriedad de comunicar que nos marca la RGPD/GDPR, en el caso de brechas de datos y que además los afectados por la misma sean también informados.

Para finalizar, surgió el debate entre Resiliencia, Ciberresiliencia y Continuidad de Negocio.

La Continuidad de Negocio, consistiría, básicamente, en «sobrevivir».

La Resiliencia y la Ciberresiliencia deben estar presentes de forma continua y a posteriori de un ciberincidente, pero no es lo mismo que la Continuidad de Negocio. En mismo NIST 160 nos habla de los Sistemas Resilientes.

El debate concluyó con la coincidencia por parte de [email protected] [email protected] panelistas, de que se estaba haciendo cada vez más necesario contar con el rol o la figura del CRO (Chief Resilience Officer).

De todos estos temas se habló en esta 4ª Jornada del Congreso CiberTodos20 de ISACA Madrid Chapter, pero, si queréis, podéis ver la grabación completa en este enlace: https://www.youtube.com/watch?v=chVbTSupEUg&t.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR