Alrededor de 200 asistentes en modalidad virtual y física asistieron al ISACA Full Day Ecuador 2022, el mayor evento de ciberseguridad, gobierno y auditoría IT realizado en el país organizado por ISACA Capítulo Quito e IT ahora.
En una jornada completa con la participación de conferencistas locales y extranjeros se compartieron experiencias y abordaron temas en paneles estratégicos.
El evento contó con el auspicio y colaboración de Blue Hat Consultores, BSmart, Business IT, Mastercard, Bitdefender, Ondú Cloud, Global Suite Solutions, Tecnología Avanzada, UDLA, Instituto de Auditores Internos,
Juan Carlos López, presidente de ISACA capítulo Quito, dio la bienvenida. Señaló que existe una brecha de profesionales certificados en el campo de la ciberseguridad a nivel mundial y la sobre la necesidad de implementar buenas prácticas en las organizaciones. “debido a ello, estamos desarrollando estas conferencias con temáticas tratadas por expertos para fortalecer competencias y agregar valor a las organizaciones”.
Gestión de Riesgos de Servicio de TI en Outsourcing
Gabriela Reynaga, CRISC, CISA, CDPSE, GRCP, señaló los motivos de la subcontratación, la posibilidad de elegir al mejor proveedor pensando en la estructura de cada organización y las personas.
“Los ataques provienen en un alto porcentaje de los proveedores y hay que tener cuidado a quien invitamos, qué esperamos de ellos y de su comportamiento”.
Que su seguridad no le de-fraude
Juan Camilo Reyes, Director de la división de productos de ciberinteligencia de la Región Andina de Mastercard, hizo varias reflexiones sobre los motivadores que impulsan a los hackers, indicó cifras del crecimiento del fraude en 18.2 % al año
“En ciberseguridad es necesario manejar el concepto de fricción que permita un equilibrio entre los mecanismos de seguridad que debe cumplir los usuarios y la necesidad de crecimiento del negocio”.
Anatomía del cibercrimen en Latinoamérica
Sol Gonzales, Security Research de Eset Latinoamérica detalló el panorama de la cibercriminalidad, los ataques dirigidos, ciber-espionaje de grupos organizados que buscan filtrar la información. Los datos son el petróleo del siglo XXI, por eso hay más ataques de ransomware en forma de ataque dirigido.
Gestión de Privacidad, más allá de la Ley de Protección de Datos
Ramiro Pulgar, CEO de Blue Hat Corporation y Verónica Casicana, Consultora Senior en Sistemas de Gestión Integral, Blue Hat Corporation, señalaron algunas puntualizaciones sobre el cumplimiento de la ley y la implementación de normas como la ISO 27001, 27002 de buenas prácticas para la gestión de seguridad de la información, SGPI, Ley Orgánica de Datos Personales.
PANEL 1
En el panel denominado Respuesta ante incidentes de cibser-seguridad participaron Armando Castillo, CISO de Grupo Pichincha, Fabián Íñiguez, Subsecretario de Gobierno Electrónico y Registro Civil del MINTEL; Santiago Pulgar, Vocero oficial en Ecuador de Bitdefender; Sol González, Security Researcher de Eset Latinoamérica, representando a BSMart/Eset Ecuador y Juan Carlos López, presidente de ISACA Capítulo Quito.
Se destacaron importantes aspectos para la continuidad del negocio.
Riesgos de Ciberseguridad en la nube
Raúl Miranda, Director de Negocios de Business IT, se refirió a los ataques a la nube debido a una protección no adecuada de la identidad, pues los atacantes vulneran las contraseñas y crean dos cuentas de usuarios con los mismos privilegios. Sobre la experiencia señaló que no existe una correcta gestión y evaluación de riesgo por un desconocimiento de la nube.
Proceso de gestión de riesgo para la nube
- Identificación
- Evaluación
- Control y seguimiento del riesgo
- Respuesta y mitigación
Andrés Arias, líder de arquitectura del SOC y NOC de Business IT, explicó algunos frameworks de seguridad a tomar en cuenta para asegurar la nueve. La matriz de control de nube con 17 dominios y 170 controles. Tengo 250 preguntas para evaluar al proveedor de la nueve. Además, de documentos guía para realizar un chequeo de aplicación de procesos.
Ciberseguridad en los nuevos modelos de negocio
Rubén Recalde, Director del Core Digital y Transformación de Pronaca, habló sobre capacidades de negocio para competir exitosamente. Estas capacidades subdivididas en capacidades diferenciadores, estratégicas y de soporte, capacidad esencial, capacidad de necesidad del negocio permiten definir acciones. Entendiendo estas capacidades los encargados de tecnología y ciberseguridad deben reconocer sus capacidades y responder con estrategias Cada organización tiene sus capacidades diferenciadoras según el tipo de actividad de negocio que realiza.
Se refirió también a modelos de negocios los mismos que deben ser rentables, escalables y repetibles.
Describió algunos modelos destacados de negocio:
- Modelo multicomponente
- Modelo líder de mercado
- Modelo cebo y anzuelo
- Modelo freemium y suscripción
- Modelo eyesballs
- Modelos de productos virtuales
- Modelo de negocio de afiliación
- Modelo Peer to Peer
Auditando al derecho y reverso hasta el metaverso
Arnulfo Espinoza, ISACA International Evangelist, abordó sobre cambios, tecnologías emergentes a ser auditados, auditoría tecno-financiera y auditoría extrema.
Señaló que frente a las “tormentas transformacionales” que propician los cambios acelerados se necesita auditores transformados, preparados para auditorías extremas que aborden también las tecnologías emergentes como inteligencia artificial, la nube, blockchain, metaverso.
Habló de los activos digitales. Con el trabajo híbrido aumentó los activos digitales que fueron a la nube, señaló la importancia de revisar, validar su existencia, propiedad y protección con un enfoque diferente.
Presentó cifras sobre el trabajo híbrido señala que señala que esta forma de trabajo remota y presencial será utilizada por auditores de tecnología de manera que se requiere habilidades de comunicación, conocimiento de negocio, flexibilidad, agilidad, networking, proactividad, etc.
Habló de activos de información y activos digitales, estos últimos corresponden a criptomonedas, fotografías, logotipos, ilustraciones, medios visuales, NFTs, sitio web, etc. Además, dio a conocer sobre guía para auditar activos digitales, marcos de referencias de riesgos de criptomonedas, para auditar Inteligencia artificial, etc.
Panel 2: Impacto de las tecnologías emergentes
Compartieron el panel Moisés Pascual, CIO y CTO de Grupo Futuro; Oscar Suárez, CEO de Ondú Cloud; Raúl Miranda, Líder de servicios administrados en Business IT; Javier Rosado Quintanilla, Socio y Director of Sales & Business Development South Latam GlobalSuite Solutions y Germán Pancho, Director de Maestrías Gerencia de Sistemas y Seguridad de la Información de la UDLA.
Donde hablaron del aporte de tecnologías emergentes a usuarios, el papel que cumplen los proveedores de los proveedores y recomendaciones para su adopción.
- La web 3.0 plataformas para innovar
- Fácil combinarlas para desarrollar valor
- El valor de la tecnología está en posibilidad de desarrollar modelos de negocio
Aporte de proveedores frente a tecnologías emergentes
- Entender el objetivo estratégico de la organización
- Personalizar la innovación a la estrategia de cada organización
- Pensar en el cliente de nuestro cliente
- Solucionar problemas
- Marcar una ruta para empezar a apoyarse en tecnologías emergentes
Tecnologías emergentes en cloud
- Demanda de servicios de contenerización
- Uso de metodologías DevOps
- Tecnología de kubernetes
- Adopción de soluciones multinube
- Soluciones especializadas de cibserseguridad para multinube
Recomendaciones para adoptar tecnologías disruptivas
- Considerar los factores de riesgos, seguridad y cumplimiento
- Construir una estrategia con enfoque GRC
- Mejorar a nivel de gobernanza y estrategia