ISACA FULL DAY 2023: Digital Trust: En un mundo digital, todo comienza con la confianza.

La tercera edición del ISACA Full Day se llevó a cabo el 5 de octubre con el lema «Digital Trust: ¡En un mundo digital, todo comienza con la confianza!». La jornada, que se desarrolló tanto en formato virtual como presencial, contó con la participación de aproximadamente 180 asistentes.

Durante el evento, tanto ponentes locales como internacionales abordaron temas actuales relacionados con la seguridad de la información y ciberseguridad, la gestión de riesgos y la prevención, adaptados a las tendencias emergentes, como la computación en la nube e inteligencia artificial.

Además, en dos paneles abordamos sobre Seguridad de la Información: Factores a considerar al externalizar las capacidades de ciberseguridad, y Experiencias y lecciones aprendidas a dos años de la Ley Orgánica de Protección de Datos Personales.

¿Cómo un Lobo solitario se hizo de su manada?

Felipe Gómez Bustos, Gerente de Ciberseguridad de Banco Pichincha, describió algunos hitos de ciberseguridad, aprendizajes adquiridos y la manera en que ha afrontado desde distintas responsabilidades temas de seguridad. Bajo su presentación ¿Cómo un Lobo solitario se hizo de su manada?, repasa algunos desafíos y las acciones tomadas en cada situación. Ejemplificó la importancia de mover a una organización bajo objetivos comunes y priorizados. El uso de recursos, roles y mapa conceptuales para identificar y resolver problemas y definir acciones para que la seguridad se alinee a todos los proyectos, validación de requerimientos para ejecutarlos y finalmente acciones de evangelización de todos los procesos.

De su aprendizaje señala que la seguridad en una empresa de servicios, inicia y termina en la continuidad operativa.

Vea la presentación completa

Los 5 Mitos del ransomware

Para fomentar la concienciación sobre la ciberseguridad, Jesús Rodríguez Antuña, Enterprise Sales director Latam, Bitdefender; detalló los mitos alrededor del ransomware y la evolución de las formas en que los secuestradores buscan que les paguen. Las amenazas son colaborativas y las formas de pago del secuestro ha evolucionado de sites afiliadas a atacantes a criptomonedas.

Señaló que con las criptomonedas la forma de cobranza utilizada por los atacantes es enmascarando la cobranza en sistemas como NFT´s, wallets frías o calientes, inclusive colaboran con empresas comprando parte del código en la dark web. Los ataques se han customizado y desarrollan con enfoques sectoriales.

Mencionó que los ataques de ransomware buscan maximizar el rescate, lo planean, realizan análisis de usuarios con password débiles y es más importante que recibir un pago rápido

 Vea la presentación completa

Ciberseguridad en La Nube & IA

Daniel Arias, director de Operaciones y Christopher Salinas, líder de Ciberseguridad de Business IT hablaron de la IA para ayudar a gestionar problemas, pero también el uso de técnicas IA como detección basada en firmas, análisis básico de comportamiento, aprendizaje de máquina e IA tomando en consideración los sesgos en la ciberseguridad pueden llegar a decisiones inexactas y errores. Señaló que la IA tiene el potencial de mejorar la ciberseguridad identificando amenazas desconocidas que explotan vulnerabilidades desconocidas.

Christofer Salinas complementó el tema y se refirió al criptojaking y al uso de IA y las técnicas ofensivas de los atacantes. Señaló en impacto de la IA en los servicios en la nube, en el análisis de datos a gran escala, satisfacer la demanda aumentando los sistemas de seguridad par sistemas, datos y aplicaciones, permite una experiencia de usuario mejorada al brindar atención al cliente de front end e inclusive de segundo nivel.

Vea la presentación completa

Ciberseguridad en el mundo de Inteligencia Artificial

Francisco Robayo, Head of Engineering Latin Americ, Check Point y Pablo Carchi, Especialista en Ciberseguridad Informática de Ebtel hablaron sobre el auge, evolución y tipos de IA.

Francisco Robayo, Head of Engineering Latin Americ, Check Point, señaló que la IA sigue dependiendo de los humanos sea para bien o para mal, porque por un lado los humanos entregan información fiable pero también información falsa.

Señaló que los responsables de la seguridad informática deben tener en su agenda temas como el impacto de la IA generativa, asegurar la transformación digital, Zero Trust y la consolidación de soluciones de seguridad y prevenir la extorsión corporativa. Comentó en promedio una empresa tiene entre 10 y 20 tecnologías de ciberseguridad y cada una entre 10 y 15 consolas de administración y no disponen de recursos humanos para gestionar esta cantidad de soluciones.

Vea la presentación completa

Panel 1: Seguridad de la Información: Factores a considerar al externalizar las capacidades de ciberseguridad.

Germán Pancho, director de la Maestría de Gestión de Seguridad de la Información de la UDLA, moderó el panel, en su introducción indicó que la externalización de las capacidades de ciberseguridad se vuelve una práctica común y es una decisión importante que no está exenta de riesgos y desafíos de allí la importancia de Identificar factores al momento de externalizar, explorar ventajas, desventajas.

Margarita Hernández, Superintendenta de Economía Popular y Solidaria, indicó la importancia de la ciberseguridad en el Sector Financiero Popular y Solidario, conformado por 415 entidades que cuentan con una cartera y activos que superan los 55 mil millones de USD, equiparado a 16% del PIB.  En función de ello, han gestionado y adoptado la Norma de Seguridad de la Información estableciendo una estructura según el tamaño y tipo de organización de manera que puedan reaccionar de manera adecuada frente a amenazas y mitigar los riesgos.

Indicó que la norma permite que se externalicen ciertos servicios sin descuidar la gestión interna de la seguridad de la información.

“El riesgo de mayor frecuencia en las cooperativas y mutualistas es el operativo, por lo tanto, es necesario trabajar en la visión de mitigar estos riesgos. Se debe tener en cuenta que las entidades van a apalancarse en un tercero, el cual debe ser una contraparte adecuada. Además, la entidad debe estar en capacidad de administrar esta relación”.

Víctor Vera, Csirt Manager Ondú Cloud, señaló la ciberseguridad ha creado una hiperespecialización que va de la mano de los ciberatacantes que también se han focalizado en atacar a determinados sectores, evaluar las infraestructuras y tiempo de ataque.

Añadió, una vez que las organizaciones tienen ese diferenciador que es la hiperespecialización necesita socios estratégicos que ayuden a la entrega de servicio además de tecnologías para proteger la información, que estén avalados por certificaciones de manera que la relación entre el cliente y el socio estratégico se defina por un contrato y los indicadores de ciberseguridad que el proveedor aportará en el mejoramiento de la organización.

Sobre la contratación de servicios gestionados, Pablo Sosa, Gerente de Venta territorial A3sec; señaló que en el país están enfocados a los respaldos de información como medida de protección a ataques de ransomware y al monitoreo de incidentes en su infraestructura de SOC. Sostuvo que aún hay un sesgo y las empresas deben dar un salto hacia servicio más sofisticados.

“La contratación de servicios gestionados está enfocado en respaldos de información y al monitoreo de incidentes, aún hay un sesgo y las empresas deben dar un salto hacia servicios más sofisticados”.

También enfatizó que las pruebas de penetración son servicios que suelen ser solicitados debido a las regulaciones legales impuestas por los organismos de control. No obstante, dijo que este tipo de servicios deberían ser comprendidos de manera más completa y no realizados únicamente para cumplir con obligaciones normativas

Marco Brando, director técnico de Lumu, habló de las debilidades comunes en la gestión de la seguridad y la necesidad de externalizar esta capacidad.

Mencionó que un factor común independientemente del tamaño y vertical de negocio es el recurso humano, existe un déficit de 3 millones de especialista de seguridad, debido a esa escasez, los costos de inversión para formar estos recursos con entrenamiento y capacitación es alto. Además, existe una sobrecarga de trabajo, las organizaciones usan en promedio hasta 18 tecnologías de seguridad de modo que se vuelve complicado gestionarla.

Vea el panel completo

Un polígrafo para la confianza digital

Arnulfo Espinoza, habló de manera detallada sobre confianza análoga, confianza digital, polígrafo moderno, la norma DTEF y los obstáculos para alcanzar la confianza digital. Sostuvo que la distinción entre confidencialidad y privacidad se basa en que la confidencialidad implica la protección de cualquier tipo o categoría de datos, mientras que la privacidad se centra en la protección de datos específicos, especialmente los personales.

Vea la presentación completa

La necesidad de consolidar la Ciberseguridad y el poder de la plataforma integral de la IA

Pablo Atiaga, Channel Business Manager de Palo Alto Networks, señaló que la adquisición de herramientas aumenta con la digitalización e instó a los responsables de seguridad a ser habilitadores de las iniciativas digitales. También mencionó que el 89% de los responsables de seguridad de las empresas consideran que la consolidación es su prioridad.

Con la consolidación sino tenemos una plataforma basada en IA empieza a tener poca eficacia de seguridad. “La IA ayuda a que la ciberseguridad sea más automatizada y con ello la consolidación sea eficiente, y se obtiene una mejor postura de seguridad, eficiencia en la operación, simplicidad”.

Vea la presentación completa

Panel 2:  «Ley Orgánica de Protección de Datos Personales (LDPDP): Dos años de experiencias, lecciones aprendidas y perspectivas futuras»

Estos dos años bajo la Ley de Protección de Datos nos dejan una lección: el camino hasta aquí ha tenido sus desafíos, pero ahora enfrentamos la tarea de iniciar un cambio cultural para lograr una sostenibilidad orientada hacia la mejora continua

Carlos Calderón, Gerente de Gobierno de Información y Calidad de Datos de Banco Diners Club del Ecuador; señaló que uno de los temas más complejos y el mayor desafío ha sido el cultural para trabajar en la aplicabilidad de la ley en temas como el manejo del consentimiento, etc., para lo cual hay que trabajar en temas de comunicación, capacitación y concienciación. Además, habló de los criterios de la calidad de data y sus procesos.

Samuel Cárdenas, BISO/ IGO de Zurich Seguros, hizo referencia a la adopción de procesos entenderlos para ver donde se puede tener el consentimiento de una forma eficiente y proactiva. Además, tener una nota de privacidad que expande el tratamiento del dato donde se almacenera, el derecho del titular, etc. y dejar la ruta clave para que clientes entiendan como ejercer sus derechos. “Es necesario entender los procesos para saber el tratamiento de los datos, donde se almacena, etc., dejar la ruta clave para que los clientes conozcan cómo ejercer sus derechos”.

Ricardo Gadea, director general Assertiva, hizo referencia a la experiencia de Assertiva en normas de cumplimiento y de confidencialidad con estándares PCI PCS algo muy similar a la ley de privacidad. Debido a que el proceso es muy similar sugiere en el inicio contar con el apoyo de la gerencia y los recursos de manera que se trabaje según objetivos. Empezar buscando los datos y dimensionar el proyecto y tomar buenas decisiones.

Patricio Ramón, secretario de ISACA, cerró el panel haciendo una reflexión final, además de cultura, estrategia y sistemas de gestión, es como los auditores deben responder y cuál es el aporte para genera valor, y ayude a mejor e ir más allá de un chek list. Este es un desafío importante, dijo.

Vea panel completo

El ADN de cualquier compañía, proteger y defender

Ramsés Gallego, en su ponencia, abordó la importancia de adoptar una visión holística en la ciberseguridad corporativa. Destacó que el enfoque integral, donde se considera todo el panorama de amenazas y se trabaja en conjunto, es fundamental para la protección de las organizaciones. Enfatizó que proteger y defender el ADN de una empresa implica comprender que el todo es más poderoso que la suma de sus partes individuales. Esto significa que la colaboración y la coordinación son esenciales para garantizar la seguridad en un mundo digital en constante cambio.»

Vea la presentación completa