Más allá del incremento y la complejidad de ataques, los profesionales de la ciberseguridad han expuesto en CISOVERSO DAY otras preocupaciones como la ineficaz regulación actual en materia de ciberseguridad, la ciberseguridad como una nueva burbuja laboral ante la ausencia de profesionales, la falta de formación y experiencia y la necesidad de reciclarse constantemente ante las oportunidades económicas detrás del Blockchain o los NFT.
La regulación legal en materia de ciberseguridad es uno de los grandes retos que afrontan los CISO, las compañías y los usuarios, según destacaron los expertos en seguridad digital. Como señaló Ofelia Tejerina, presidenta de la Asociación de Internautas, “la legislación se hace en caliente. El legislador legisla rápido y legisla mal. No es clara la normativa y nos encontramos con que el sector privado de las empresas, en concreto las aseguradoras, va a ir sacando adelante muchas cosas que el legislador no es capaz. Analizar los contratos de seguro te da una pista de por dónde va el sector.”
Sobre esta misma cuestión se pronunció Borja Adsuara, experto en derecho, estrategia y comunicación digital, que añadió, además, que normas como “el RGPD son de imposible cumplimiento y cómo parece que persiguen más un objetivo sancionador y recaudatorio que de protección. ¿Cómo es posible que la ley de protección de datos sancione a una PYME por incumplimiento y no sea sancionable la administración pública si aparecen por ejemplo historias clínicas de pacientes de un hospital público en la basura?”.
Según concluyeron los expertos durante la mesa redonda centrada en Blockchain, el futuro va a ser descentralizado gracias a esta tecnología, que ya hoy permite no sólo aplicaciones en el ámbito monetario sino la trazabilidad de mercancías o el pago por minuto de la nómina. “A Blockchain le va a pasar como al cloud: se va a convertir en una utility” señaló Oscar Delgado, CIO en hackrocks. Para los profesionales la tecnología funciona y es útil, el riesgo está en el talento, la falta de él en muchos casos y la complicación a la hora de retenerlo. “Se está produciendo una burbuja tecnológica y, en concreto, en el área de Blockchain. La falta de profesionales con suficiente conocimiento y experiencia está haciendo que se esté contratando y pagando a gente por encima de su experiencia” continuó Delgado.
La comunidad de profesionales de la ciberseguridad puso de relieve, además, la necesidad de formarse. “La inversión en seguridad tiene un ROI muy claro: que la empresa continúe con su actividad evitando incidentes de seguridad. Para ello la formación es una necesidad. Necesitas reciclarte constantemente”, puntualizó Jesús Valverde, de AENOR.
En este contexto, y con el ánimo de ayudar a los responsables de seguridad a conocer mejor las últimas innovaciones y herramientas que pueden contribuir a facilitar su labor diaria, se presentaron varias startups que se han incorporado a la comunidad de CISOVERSO, entre las que destacan Auth USB, que ha desarrollado una solución para el intercambio seguro de USB; Dotlake, que cuenta con un desarrollo centrado en la seguridad y amenazas en la dark web; Enthec que usando una solución de miles de robots analiza de forma automatizada las amenazas de ciberseguridad y reputacionales de una compañía; Ironchip, que explicó la ineficacia del uso de contraseñas como medida de seguridad y cómo poder trabajar sin usar passwords; o Vaultree, con una solución para el cifrado de datos de extremo a extremo que no requiere hardware.
El encuentro fue inaugurado por el experto en seguridad y terrorismo, Thomas Hurd, Head of the UK’s Office of Security and Counter-Terrorism, quien señaló cinco claves que aconseja a cualquier CISO:
- Más acción y menos discusión. Frente al contexto actual, es el momento de ir a lo esencial: solucionar problemas y no debatir sobre ello.
- No adoptar un posicionamiento público frente al rasomware. Por un lado, debido a las implicaciones que pueda tener a nivel reputacional hacer pública la postura sobre pago de rescate y, por otro lado, para no dar pistas a los atacantes.
- Manejar las expectativas. Es importante hacer entender qué pueden los prescriptores de la seguridad la dirección de la empresa, que entiendan lo que se puede o no controlar y sobre todo que no basta con un backup, ya que es necesario un plan de prevención y contingencias.
- Considera disponer de criptomonedas. Más allá de entrar en el debate moral o práctico de si hay que pagar o no, se debe tener en cuenta que para pagar rescates va a haber que hacerlo vía criptomonedas, con los riesgos fiscales (blanqueo de dinero) y operativos que conlleva pagar en bitcoins u otro activo digital. Mejor estar informado y preparado sobre las implicaciones.
- La importancia de formar al equipo. La formación es indispensable para concienciar sobre los riesgos de ciberseguridad, políticas de recuperación de datos, prevención….