El pasado 12 de Julio se llevó a cabo el ISACA DAY, un evento organizado por el capítulo de ISACA Bogotá, en el cual se presentaron varias charlas con conferencistas internacionales, empresas de la industria y varios patrocinadores, el cual tuvo como tema principal "Conociendo el riesgo cibernético". El congreso de los especialistas en gestión de gobierno, auditoría, control, aseguramiento, seguridad y riesgos al nivel de las tecnologías de información.
El evento se realizó en Bogotá con el patrocinio de DragonJAR, BSecure, Manage Engine, Digisoc, Assertiva, Skyhigh y VLATAM donde cada patrocinador tenía un stand para dar a conocer los servicios y cómo hacen parte de la industria de la ciberseguridad.El evento inició con la conferencia: Implementación de la arquitectura Mesh impartida por Alexis Villagra, el CISO de VLatam donde expuso cómo su compañía ha implementado una arquitectura de malla de ciberseguridad que le permita a la organización gestionar riesgos de ciberseguridad implementando tecnologías que ofrezcan capacidades de integración, automatización y orquestación. Implementando así, políticas adaptativas que contemplen el ajuste dinámico de políticas, la adaptabilidad a las condiciones del negocio y el entorno de seguridad, la flexibilidad y agilidad en la gestión de los riesgos de seguridad de la información.
Así mismo, resalta las principales tendencias en ciberseguridad son:
- Ampliación de la superficie de ataque
- Defensa de los sistemas de identidad
- Riesgo de la cadena de suministro digital
- Consolidación de los proveedores
- Malla de ciberseguridad
- Decisiones distribuidas
- Ir más allá de la concienciación
Luego escuchamos a Liliana Mendez y a Nahuel Perez de Assertiva Risk Management, quienes a través de su ponencia La Gestión Integrada de Riesgos desde la Perspectiva de la Ciberseguridad, nos compartieron un caso de éxito de gestión de riesgos integral y se expusieron los retos que tienen los CISO’s para gestionar los riesgos de ciberseguridad y las ventajas de implementar una herramienta IRM de gestión de riesgos integrada como lo son, definir y reforzar la propiedad del riesgo mediante la rendición de cuentas, definir líneas de negocio cruzadas para favorecer la colaboración, consolidar datos y permitir el análisis y visibilidad de los riesgos y oportunidades y por último automatizar procesos para fomentar la eficiencia.
Así mismo, escuchamos a Nataly Tabares con su charla llamada Scotia Tech Retos CISOS donde expuso los principales requisitos, retos y habilidades con las que debe contar un buen CISO para ser atractivo en el mercado laboral, donde se destaca que los CISO’s deben tener habilidades de comunicación, aprendizaje continuo, ser resilientes, capacidad para tomar decisiones, creación de relaciones estratégicas, establecer prioridades, gestión ejecutiva y por último ser un facilitador para el negocio no para el estándar.
Luego tuvimos la oportunidad de escuchar al Doctor Jeimy Cano con su ponencia titulada: Madurez de las Juntas Directivas en el Gobierno del Ciber Riesgo donde expuso un caso de estudio que realizó en Colombia, donde entrevistó miembros de diferentes compañías que pertenecen a la alta dirección y pudo entender lo que aqueja a las juntas directivas y definir un modelo de madurez para juntas directivas, dentro del gobierno de riesgo cibernético para que puedan entender y gestionar los ciber riesgos de manera efectiva, este marco define 5 actividades que implementadas secuencialmente facilita esta tarea para que la junta directiva participe y sepa cómo actuar frente a escenarios de riesgo:
- Identificar Apetito de Riesgo, Riesgos Latentes y emergentes propios del negocio
- Definir escenarios clave basados en los riesgos latentes y emergentes.
- Desarrollar Playbooks para estos riesgos
- Practicar y hacer simulaciones con la aplicación de los Playbooks
- Definir y comunicar el marco de toma de decisiones basados en condiciones de avance y defensa frente a la materialización de los riesgos latentes y emergentes.
Pablo García de Colombia y Pablo Prieto, director de Digital Business de TIVIT Latam de Chile realizaron un conversatorio donde hablaron de Auditoría e Inteligencia Artificial donde expusieron los retos a los que se enfrenta la industria en relación con las nuevas tecnologías de inteligencia artificial (IA), hablaron de su importancia en la actualidad y sus diferentes aplicaciones.
Luego del receso del almuerzo y de la rifa de cursos con ISACA, se realizó la presentación del patrocinador DragonJAR donde Jaime Andrés Restrepo dentro de su charla ChatGPT para CISO’s nos habló de cómo los responsables de Seguridad deben identificar los riesgos de ciberseguridad que representa el uso de estas herramientas de inteligencia artificial para las organizaciones, así mismo, plantea el uso de estas como una herramienta que pueda generar facilidades al servicio de la seguridad.
Así mismo, Diego Montenegro en representación de Cybersecurity Manage Engine LATAM expuso Las ventajas de utilizar la inteligencia de amenazas CIEM, Obteniendo Visibilidad y Control en la Nube, Entendiendo CIEM (Cloud Infrastructure Entitlement Management) como una solución que administra los derechos y permisos de los servicios en la nube, bien sean ambientes multi-nube, nube híbrida o nubes dinámicas, Diego habló de los ciber riesgos y como estos riesgos que pueden ser mitigados mediante la aplicación de CIEM para analizar y detectar posibles riesgos o abusos de privilegios con la ayuda de Inteligencia Artificial y Machine Learning. Ofreciendo así, las bondades y ventajas de la implementación de una herramienta de este tipo.
Se realizó el Foro Ciberseguridad 2023, donde se reunieron a todos los ponentes del evento anteriormente descritos, lo cuales debatieron desde su campo, cuáles son los principales riesgos y desafíos relacionados con la ciberseguridad, cuáles serán los principales retos con relación a la implementación de tecnologías de inteligencia artificial y cómo los profesionales en seguridad deben estar preparados para enfrentar nuevos retos en la industria.
En conclusión, como estrategia y habilidad en común en la gestión de riesgos de ciberseguridad, podemos resaltar la capacidad de los responsables de seguridad de la información para establecer relaciones a lo largo de la organización, que le permitan tener el conocimiento de los procesos y actividades diarias del negocio y facilitar la implementación de estrategias de seguridad con los recursos y áreas clave en la organización, como lo es la alta dirección, los líderes de los procesos de negocio, la junta directiva, los líderes de los procesos de apoyo, entre otros.
Uno de los principales retos para una organización y responsables de seguridad es hacer entender a la alta dirección cuáles son los riesgos de ciberseguridad y cómo podemos gestionarlos, para lo que se han definido estrategias como modelos metodológicos, herramientas de gestión integral de riesgos, herramientas de gestión de eventos de seguridad, que le permiten a las organizaciones estar preparados para minimizar el impacto ante la materialización de riesgos de ciberseguridad.
Autor: María Alejandra Cuervo Roa - ISO 27001-LA, ISO 22301-IA, ISO 20000-1-IA
Consultor en Seguridad
