ISACA FULL DAY 2024 Digital Trust ¡En un mundo digital, todo inicia con la confianza! 

La cuarta edición del ISACA Full Day, el mayor evento de ciberseguridad, gobierno y auditoría IT en el país, organizado por ISACA Capítulo Quito e IT ahora, se llevó a cabo el en modalidades presencial y virtual, el evento contó con conferencistas locales e internacionales que compartieron experiencias y abordaron temas clave en paneles estratégicos. 

Juan Carlos López, presidente de ISACA Capítulo Quito, dio la bienvenida, resaltando la importancia de la confianza digital como ventaja competitiva en un mundo hiperconectado. Durante la jornada, se enfatizó que los usuarios y clientes priorizan la seguridad y la privacidad, pilares fundamentales para mejorar la eficiencia, la rentabilidad y la responsabilidad ética. Bajo la temática “La Confianza Digital” se desarrollaron las ponencias enfocadas en construir un entorno más seguro, confiable y ético. 

Finalmente, Juan Carlos López mencionó que este evento es una oportunidad para fortalecer conexiones profesionales, aprender de las experiencias de colegas, y encontrar nuevas formas de enfrentar los retos y aprovechar las oportunidades que el mundo digital ofrece. 

El futuro no es lo que solía ser 

Ramsés Gallego, ISACA Hall of Fame y/o Presidente Capítulo ISACA Barcelona y Vicepresidente ejecutivo de la Quantum World Association. En su conferencia aborda los desafíos y oportunidades del panorama tecnológico actual. Destaca cómo la confianza digital se ha convertido en un pilar esencial para la sostenibilidad y seguridad en un mundo hiperconectado.  

Subraya que el futuro está definido por las decisiones del presente, con un enfoque en la integración, la resiliencia y el uso ético de tecnologías emergentes. Desde la gestión de datos hasta la adaptación a riesgos globales como la desinformación, Gallego enfatiza la necesidad de colaboración entre departamentos y disciplinas. También reflexiona sobre cómo las tecnologías, al igual que en la revolución industrial, amplifican las capacidades humanas, permitiendo abordar problemas complejos con mayor eficiencia. 

A través de metáforas como la comparación de sistemas corporativos con tecnologías de vehículos inteligentes, su discurso inspira a los asistentes a redefinir estrategias y a mantener una visión flexible y adaptativa frente a un futuro en constante cambio. 

Seguridad en el acceso a la IA 

Pablo Barriga, Domain Consultant NOLA – Palo Alto Networks, abordó cómo la inteligencia artificial (IA) ha transformado el panorama digital, destacando tanto sus oportunidades como los riesgos asociados. Subraya que la IA generativa ha revolucionado múltiples industrias, pero también plantea desafíos relacionados con la privacidad, la seguridad de los datos y la gobernanza. 

Barriga enfatiza la importancia de implementar controles robustos para mitigar riesgos, como la fuga de información sensible y la manipulación de modelos de aprendizaje. También destaca la necesidad de garantizar un acceso seguro mediante navegadores optimizados, políticas de control de aplicaciones y auditorías de uso. Menciona, además, que 55% de los empleados han utilizado herramientas GenAI no aprobadas en el trabajo. 

Asimismo, resaltó la relevancia de educar a los usuarios en el buen uso de herramientas basadas en IA y promover una adopción responsable. Concluyó mencionando que el futuro de la seguridad en IA requiere un enfoque colaborativo, donde las empresas equilibren innovación, protección de datos y productividad, construyendo un entorno digital más seguro y eficiente. 

Security Intelligence 

Carlos Huaccha, gerente para la región sur de Kaspersky, en su intervención destacó que, por cuarto año consecutivo, el cifrado y la fuga de datos son los principales desafíos en ciberseguridad, impulsados por amenazas como el ransomware. En 2023, el 25% de los ataques globales fueron altamente sofisticados, con el sector financiero liderando como el más atacado. 

Ecuador ocupa el puesto 84 en ataques globales, siendo los troyanos y vulnerabilidades en software de Office las principales amenazas. Huaccha enfatizó que los cibercriminales operan de manera colaborativa, con roles definidos que incluyen desarrolladores de malware y analistas financieros que estudian cuánto pueden pagar las víctimas. 

Propuso un enfoque basado en Security Intelligence, utilizando inteligencia de amenazas para comprender tácticas, herramientas y motivaciones de los atacantes, y así establecer controles proactivos que minimicen riesgos. “La mejor victoria es vencer sin combatir”, citó, resaltando la importancia de predecir ataques y estar un paso adelante. Este enfoque permite priorizar alertas críticas, reducir falsos positivos y preparar estrategias efectivas para incidentes futuros. 

Protección integral en la nube 

Bolívar Garrido, Cybersecurity Sales Specialist de Sonda, abordó los retos de migrar a la nube de manera segura, destacando que el 53% de las cargas de trabajo ya están en la nube pública y el 63% de entornos de producción tienen vulnerabilidades sin parchar. Subrayó que las empresas enfrentan desafíos como brechas entre los equipos de desarrollo y seguridad, ya que solo el 10% de los recursos de seguridad se equiparan a los de desarrollo. 

El 75% de las aplicaciones utilizan software open source, lo que aumenta los riesgos de seguridad. Además, el 99% de las identidades en la nube tienen excesivos permisos, lo que eleva la exposición a ataques. Garrido destacó la importancia del modelo de seguridad compartida, donde las empresas deben asegurar datos y aplicaciones, mientras los proveedores se encargan del hardware. 

Recomendó estrategias como asegurar infraestructura y código desde el inicio del viaje a la nube, implementar controles para minimizar riesgos y adoptar plataformas como Cloud Native Application Protection Platforms (CNAPP), que protegen de manera integral la infraestructura y las aplicaciones, asegurando un entorno más seguro para el negocio. 

Cambiando el paradigma de la ciberdefensa 

Luis Pazmiño, Gerente de Ciberdefensa de Banco Pichincha, propuso cambiar el paradigma de la ciberdefensa hacia un enfoque dinámico basado en inteligencia de amenazas. Subrayó que los incidentes de ciberseguridad persisten debido a procesos rígidos y falta de colaboración en el intercambio de información. Destacó que los atacantes permanecen dentro de las organizaciones por hasta seis meses, lo que resalta la necesidad de estrategias proactivas como el threat hunting.  

Enfatizó que los modelos de defensa deben asumir que los ataques son inevitables, enfocándose en identificar tácticas, técnicas y procedimientos para anticiparse a los actores de amenaza. Resaltó que solo los logs críticos deberían ser enviados a plataformas de análisis, lo que reduce falsos positivos y optimiza costos. Finalmente, concluyó que adoptar modelos dinámicos de inteligencia permite reducir tiempos de respuesta a menos de tres minutos, protegiendo infraestructuras críticas y mejorando la resiliencia organizacional. 

All you need is Resilience 

En la charla conjunta, Óscar Suárez y Víctor Vera destacaron la importancia de la resiliencia como una virtud esencial en ciberseguridad. Óscar Suárez, CEO Ondú Cloud, resaltó que el 80% de los CISOs califican su trabajo como altamente estresante. Según estudios, el efecto de la «sobredosis de IT» genera ansiedad y sensación de reemplazo por herramientas de IA. Suárez subrayó que «la resiliencia es una virtud ordinaria presente en todos», y citó que “sin resiliencia no hay innovación, y sin innovación no hay abundancia”. 

Víctor Vera, CSIRT Manager, abordó estrategias de continuidad del negocio, destacando que 94% de las organizaciones enfrentaron incidentes de ciberseguridad en 2023. Propuso enfoques como la segmentación de riesgos y la implementación de planes de respuesta rápidos. Vera enfatizó que la IA es útil, pero no reemplaza el liderazgo humano: «Los humanos seguimos siendo los pilotos de estas tecnologías». 

Ambos coincidieron en que la resiliencia permite recuperarse rápidamente y construir organizaciones más seguras y adaptativas. 

La transformación digital avanza, ¿Auditoría la alcanza? 

Arnulfo Espinoza, Presidente ARES Alliance, durante su charla afirmó que la transformación digital no solo implica tecnología, sino un cambio en los negocios apoyado en TI. Resaltó que el comercio digital creció 400%, mientras el fraude electrónico aumentó 800%, evidenciando la necesidad de asegurar las tecnologías emergentes. 

Señaló que el 74% de los líderes de auditoría pertenecen a generaciones tecnológicas, lo que facilita la adopción de herramientas como APIs y Big Data, esenciales para una auditoría moderna. A pesar de que el 90% de los auditores afirman tener capacidades de análisis de datos, solo el 30% las utiliza eficazmente, reflejando un área clave para mejorar. 

Espinosa enfatizó que tecnologías disruptivas como la IA y blockchain deben ser auditadas para garantizar seguridad y eficiencia. Concluyó que la auditoría debe evolucionar hacia modelos dinámicos, donde el enfoque no sea solo cumplir auditorías, sino reducir riesgos y maximizar el impacto estratégico en las organizaciones. 

Diálogo a fondo: Confianza Digital y Protección de Datos Personales 

Durante el diálogo a fondo, Pablo Arteaga, Gerente de Consultoría PDP Expert, indicó que el cumplimiento normativo debe ir más allá de un enfoque legal para convertirse en una estrategia de competitividad. Resaltó que la calidad de los datos ahora es mandatoria y las multas pueden alcanzar hasta el 1% del volumen anual de negocio por errores como el mal manejo del consentimiento. Subrayó la importancia de establecer sistemas de gestión sólidos que incluyan inventarios precisos y auditorías regulares para garantizar cumplimiento y confianza. 

Como moderador, Juan Carlos López, presidente de ISACA Capítulo Quito, recalcó que la protección de datos personales no puede limitarse a un departamento aislado, ya que afecta todas las áreas organizacionales. Citó que, en Europa, las empresas deben cumplir estrictos estándares para mantenerse competitivas, lo que también aplica a América Latina. 

Ambos coincidieron en que ver la protección de datos como una inversión estratégica no solo mejora la competitividad empresarial, sino también el posicionamiento de los países en un mercado global cada vez más regulado. 

Panel 1: Equilibrio, Liderazgo y profesionalización para forjar Confianza Digital 

El primer panel estuvo integrado por: Ramsés Gallego, Vicepresidente ejecutivo de la Quantum World Association; y Arnulfo Espinoza, Presidente ARES Alliance. compartieron reflexiones inspiradoras sobre ciberseguridad, liderazgo y transformación profesional.  

Gallego destacó su pasión por la ciberseguridad, que inició hace 25 años al explorar las raíces de la tecnología. Subrayó la evolución del hacking: «Hace 5 años, requería conocimiento técnico; ahora, basta con ChatGPT y YouTube». Con 22 maratones completados, comparó correr con la transformación digital: «Se trata de caminar, acelerar y mejorar». También enfatizó habilidades como la pasión y el compromiso, indispensables en una sociedad con «superficies de ataque que se expanden como el universo». 

Espinoza compartió su trayectoria como auditor, iniciada por accidente y marcada por su icónica charla El Auditor y el Misterioso Universo. Resaltó la importancia de la innovación en auditoría: «Los auditores tradicionales deben evolucionar». Sobre hablar en público, recomendó el libro Confessions of a Public Speaker y técnicas para vencer el miedo escénico.  

Ambos panelistas coincidieron en la importancia de la pasión, la profesionalización y el equilibrio para liderar en tiempos de cambio, subrayando que «cada acción pequeña puede generar grandes impactos». 

Panel 2: Beer Risk Forum: Tecnologías emergentes y Riesgo digital: ¿Evolucionar o desaparecer? 

Oswaldo Bravo, CEO de Stratos Asesores; presentó a los integrantes de este panel: Luis Martínez, Gerente de Proyectos de Software & Consulting; Roberth Chávez, Gerente de Seguridad Aplicativa de Banco Pichincha, Juan Francisco Salvador, Gerente Corporativo de Riesgos, Legal y Asuntos Público de Femsa -Salud. 

Bravo introdujo el tema enfatizando la necesidad de abordar cómo las tecnologías emergentes impactan la realidad local: “Es vital aterrizar las innovaciones globales a nuestras prácticas”. 

Robert Chávez destacó el potencial de la inteligencia artificial en la banca, subrayando su capacidad para “reducir costos y tiempos operativos”. No obstante, advirtió sobre los riesgos de fuga de datos: “La IA debe aprender dentro de un marco controlado para evitar accesos indebidos”. 

Juan Uría habló sobre la transformación digital en telecomunicaciones, resaltando la necesidad de gobernanza de datos: “La calidad y el manejo responsable de datos son claves para decisiones estratégicas”. 

Luis Ricardo Martínez, desde el sector retail, subrayó la importancia de la resiliencia tecnológica: “No es si enfrentaremos un ataque, sino cuándo. Debemos estar preparados para operar en cualquier escenario”. 

El panel concluyó con un llamado a la acción: adoptar estándares internacionales y gestionar riesgos con responsabilidad para sobrevivir y prosperar en un entorno tecnológico desafiante.