La ciberdelincuencia supone hoy la tercera economía mundial, solo superada por Estados Unidos y China. Y está trabajando para ganar posiciones. Según advirtió anteayer Sam Hector, Cibersecurity Global Strategy Leader de IBM, los criminales están trabajando en nueva tendencia: robar información cifrada. Y aunque esta sea hoy imposible de leer, lo hacen con la confianza de que en cuatro o cinco años sí podrán hacerlo, y poner esos datos cifrados a disposición de la tercera economía mundial.
Bajo estas premisas, no es de extrañar que la convocatoria del ISMS Fórum, de la que Escudo Digital es media partner, haya sido un rotundo éxito.1.300 asistentes, 140 ponentes, 100 sponsors y más de 500 colaboradores han acudido a un evento que, tras esperar las largas colas que daban paso al mismo, presentaba un lleno hasta la bandera.
De banderas y operaciones militares habló precisamente uno de los encargados de abrir el evento, el jefe de RR.II. y Cooperación del Mando Conjunto del Ciberespacio (MCCE), Enrique Pérez de Tena. El también capitán de Fragata advirtió del protagonismo que ha tomado la ciberseguridad en un escenario en el que ya no existe distinción entre las personas reales y digitales.
“Somos personas híbridas. Cualquier cosa que hagamos en la vida real va a tener repercusión en la vida digital, y viceversa”, dijo tras explicar que el 5G “ha complicado enormemente el campo de batalla”. “Ahora hay que proteger todos los puertos conectados, y el enemigo solo debe encontrar fallos en uno”, apuntó.
El mando del MCCE explicó que las operaciones en el ciberespacio pueden hoy prevenir guerras, reducir su coste y ayudar a ganarlas e insistió en que el control del ciberespacio es imprescindible para poder operar en el resto de los ámbitos. “Quien domine el ciberespacio y limite la libertad de acción de oponente, dominará la contienda”, concluyó.
Los CEO, nuevos responsables de cualquier fallo en ciberseguridad
Otro de los platos fuertes del día en el ISMS Forum fue la presentación de Cyber Reporting Initiative, un proyecto que pretende analizar el grado de madurez de los consejos de administración españoles en la adopción de un marco de GRC (Gobernanza, Riesgo y Cumplimiento) en materia de ciberseguridad.
Y es que la entrada en vigor de nuevas normativas en Estados Unidos y Europa ha cambiado para siempre el mundo de la ciberseguridad. Ahora, tanto la SEC (la CNMV americana) como la directiva NIS2 hacen responsable de cualquier fallo en ciberseguridad a los consejos de administración de las compañías.
Esto, que puede ser una buena noticia para los CISO, no lo es tanto para los CEO. El responsable de ciberseguridad (CISO) gana peso para defender su trabajo, mientras que el consejero delegado (CEO) debe añadir otra tarea más a sus quehaceres, puesto que se convierte, por imperativo legal, en el responsable de que la seguridad funcione a las mil maravillas en un escenario donde se siguen incrementando exponencialmente los ciberataques.
Para lograr que todo funcione así, el Foro Nacional de Ciberseguridad publicó en julio de 2023 el Código de Buen Gobierno de la Ciberseguridad, que contiene 13 principios y 25 recomendaciones en tres bloques: estrategia y organización; gestión; y supervisión y revisión continua.
De vigilar su cumplimiento en España se encargará Cyber Reporting Initiative, un proyecto presentado en el ISMS Forum por Pedro López, director del Máster de Protección de Datos y Seguridad de la Información de la Universidad Complutense de Madrid. Lo hará a través de entrevistas en profundidad a todos los CISOS del Ibex 35.
Con esta investigación, que remite 56 preguntas a cada entrevistado, se pretende generar un informe sobre el cumplimiento del código, y también recopilar información cualitativa sobre las recomendaciones más controvertidas en materia de ciberseguridad.
“Los CEO se involucran más”
En el debate que siguió a la presentación de la iniciativa, CISOS de relevantes compañías coincidieron en resaltar que la nueva legislación ha logrado un mayor nivel de compromiso con la seguridad. “La SEC ha cambiado las reglas del juego. En Estados Unidos, si dices que un parámetro es 27, más te vale que sea 27”, dijo Juan Cobo, CISO global de Ferrovial.
Raúl Castaño, CISO de Redeia, explicó que ahora la ciberseguridad “entra en la agenda de los directivos”. “Piden una ‘foto de los riesgos’ y los CISO intentamos traducir los riesgos más técnicos, y poco a poco lo van entendiendo. Ahora los CEO se involucran más”, dijo.
Jesús Escoredo, CISO de Indra, afirmó que los consejeros delegados son hoy “más partícipes”, y que preguntan y se interesan por la ciberseguridad. “La labor de un CISO es transmitirles la cultura de la ciberseguridad. No se trata de dar térmios que no entiendan, sino de ser capaces de ‘calmar al paciente’ con el diagnóstico, como haría un buen cirujano”, añadió.
Cómo combatir el fraude
Otra de las mesas redondas del día trató del alcance del fraude y de las formas de combatirlo. Javier Pérez, Head of Cibersecurity de Fujitsu, relató como las tecnologías biométricas que en 2020 costaban un dineral hoy están al alcance de los ciberdelincuentes con un par de clics.
Algo más optimista fue Juan Manuel Zarzuelo, socio responsable de Identidad Digital de KPMG, quien recordó que la IA también identifica deepfakes de forma muy fiable. “Además -dijo- se está generando una cultura popular para destapar los bulos o fakes”. Por su parte, Enrique Martín , director de Ventas y desarrollo de negocio de Samsung, aseveró que el fraude debe combatirse con tecnología, entrenamiento y simulación.
La Carta de Derechos Digitales
En el ISMS Forum también se trataron temas éticos, como la aplicación de la Carta de Derechos Digitales en la era de la inteligencia artificial. Esta publicación española de 2021, que ha servido de inspiración a posteriores legislaciones y debates en Europa, Latinoamérica y la ONU, se enfrenta hoy al reto de aterrizarla en plano auge de herramientas como ChatGPT y Copilot.
Para Miguel López Subías, de la Asociación de Usuarios de Internet, es necesario trabajar en la transparencia y en la gobernanza de la IA. “Necesitamos saber cuándo se emplea una IA y cómo se ha entrenado, y también hay que aplicar tecnologías que protejan a los ciudadanos del spam y las fake news”, dijo.
Javier Miranda, director de Empleo, Talento y PRL de DigitalES, abogó por la importancia de educar en el uso de la inteligencia artificial desde edades muy tempranas y recordó que para el correcto desarrollo de esta herramienta se necesitan perfiles especializados no solo en tecnología, sino también en ética, filosofía o filología.
Por último, Gary Robertson, del Grupo de Inteligencia Artificial del ISMS Forum, advirtió sobre la necesidad de ser realista sobre la capacidad de proyectar transparencia en el uso de la inteligencia artificial. “El proveedor puede implementar sistemas de transparencia, pero es el usuario final el que tiene que informar de que ha usado IA”, dijo.