Madrid 1 ausape

Un año más, AUSAPE ha puesto en marcha su programa de Sesiones Magistrales para Directivos de Empresa. Unos eventos dirigidos a altos cargos de empresas asociadas y que se caracterizan por centrarse en aspectos centrales y de futuro del negocio.

Publicidad

La primera sesión del curso tuvo lugar el pasado el 9 de octubre en Madrid, con la ciberseguridad como elemento central. Más de 110 directivos de 70 compañías, incluyendo CIOs, CISOs, CFOs, y CEOs, asistieron a la sesión “El Directivo de Empresa, de víctima del ataque a verdugo del negocio”. El título hace alusión al público objetivo de los ataques más sofisticados: los puestos clave de la dirección de la compañía, así como a la creciente importancia de la ciberseguridad para la estrategia de negocio de las empresas. Ante el éxito de la sesión, AUSAPE repitió el encuentro el 21 de noviembre en Barcelona, con Rubén Mora, actual CISO de SEIDOR, experto en Cibercrimen y anteriormente jefe de la Unidad Central de Delitos Informáticos de los Mossos d’Esquadra, y Albert Agustinoy como ponentes.

La primera parte de la sesión, a cargo de Antonio Ramos, especialista en ciberseguridad, fundador de Mundo Hacker y CEO de Stack Overflow, se centró en los aspectos más técnicos del ciberespionaje. Un fenómeno distinto a los ciberataques y la ciberdelincuencia, y menos conocido que estos, precisamente porque su éxito depende de que pase el mayor tiempo posible sin ser detectado.

El objetivo del ciberespionaje, explicó el conocido hacker, es conseguir información clave para alcanzar una ventaja competitiva, bien sea frente a otra compañía o ante un país rival. En el ámbito empresarial, esta información es obtenida de los altos directivos de las grandes compañías y es utilizada en litigios, concursos, proyectos, concesiones, etc. Por ello, se debe tomar conciencia de que el objetivo del ciberespionaje es el alto cargo, y tener muy en cuenta la protección cibernética a la hora de expandirse internacionalmente.

A continuación, Antonio Ramos hizo una demostración práctica de cómo se lleva a cabo un ciberespionaje. Los hackers recopilan datos sobre el dirigente objetivo, a quien envían un documento de su interés que contiene un caballo de Troya y que, una vez dentro de la red de la empresa, empieza a sustraer y enviar información sin ser detectado, en ocasiones durante largos periodos de tiempo.

Para evitar, o al menos minimizar, el riesgo y el impacto del ciberespionaje, Ramos apostó por implantar planes de formación para toda la organización, entrenando y concienciando a altos directivos, mandos intermedios y empleados de base. Asimismo, Ramos propuso crear departamentos de Ciberinteligencia y destacó la necesidad de que las empresas dispongan de un comité de crisis. Y concluyó resumiendo el “ABC de la Ciberseguridad: Actualizaciones, Backup y Common Sense (sentido común”).

La segunda parte tuvo un enfoque jurídico. Albert Agustinoy, socio abogado de Cuatrecasas y especialista en ciberseguridad y protección de datos, planteó los aspectos legales de la gestión de la información que atesoran las sociedades, información que definió como su “principal activo”.

Para estudiar cómo reaccionar ante una crisis de ciberseguridad, se planteó el ejemplo de una empresa de ecommerce que sufre un ataque de ransomware que afecta a los datos de sus clientes. En una circunstancia así, es clave disponer de un protocolo de ciberseguridad, que incluya medidas preventivas; un seguro ante ciberataques, cada vez más populares en EEUU; análisis de los daños propios, a usuarios y a terceros derivados del incidente, y una estimación de impacto económico, desde los gastos en defensa jurídica, indemnizaciones y sanciones a la pérdida de negocio. En este sentido, recabar la colaboración de proveedores y empleados es fundamental.

Ignacio Santillana, presidente de AUSAPE, destacó que los asociados cada día se preocupan más por la seguridad

Respecto a la actuación ante una crisis de este tipo desde un punto de vista legal, Agustinoy recordó la obligación de cumplir con normativas como el RGPD, así como de reportar los incidentes a la policía, la AEPD y, en su caso, a las autoridades reguladoras del sector al que pertenece la empresa. También debe comunicarse el incidente a los afectados y asumir la posibilidad de que el regulador y los clientes presenten demandas por daños patrimoniales y morales. Y en ningún caso se recomienda pagar ante una situación de ciberchantaje o ransomware, ya que se incurriría en una posible responsabilidad penal.

En la mesa de debate que cerró la sesión, moderada por Manuel Navarro, redactor jefe de la revista Byte, Ignacio Santillana, presidente de AUSAPE, destacó que los asociados cada día se preocupan más por la seguridad. Una preocupación pertinente, a juicio de Albert Agustinoy, quien resaltó el papel de la ciberseguridad como un aspecto fundamental de la empresa. Antonio Ramos, por su parte, llamó la atención sobre cómo afectará a las empresas la inminente aparición de agencias de ciberrating, que valorarán a las compañías en función de su riesgo cibernético. Al igual que sucede con el riesgo financiero evaluado por Standard & Poor’s, Fitch o Moody’s, una buena o mala calificación puede influir en la capacidad para captar inversión de las empresas y países.

Para finalizar, tanto Ramos como Agustinoy recomendaron dar más protagonismo al CISO en la compañía y sensibilizar a la alta dirección sobre la ciberseguridad. “La última barrera de ciberseguridad es el doble clic del usuario, y lo estamos descuidando”, concluyó Ramos.

Ignacio Santillana hizo mención además a las mejoras de seguridad que presenta S4/HANA, la nueva plataforma de SAP. Entre ellas destaca la posibilidad de definir los privilegios por áreas, el establecimiento de diferentes políticas de seguridad para distintas aplicaciones y el registro de todos los eventos críticos del sistema.

También mejora la gestión de la identidad; el enmascaramiento de datos dinámico, que se aplica cuando consultamos los datos, la anonimización y la encriptación con seis cifrados. Asimismo, S4/HANA incluye más opciones de autenticación al iniciar sesión.