Más de 200 directivos en las sesiones de Ciberseguridad de AUSAPE

La ciberseguridad fue el tema escogido para desarrollar la primera jornada bajo el título “De víctima del ataque a verdugo del negocio”, cuyas sesiones en Madrid, celebrada el 9 de octubre, y Barcelona, el 21 de noviembre, alcanzaron cifras de asistencia históricas, con más de 200 directivos de empresa provenientes de más de 70 compañías y entre los que se incluían CIOs, CISOs, CFOs y CEOs. Su título hace alusión al público objetivo de los ataques más sofisticados: los puestos clave de la dirección de la compañía, así como a la creciente importancia de la ciberseguridad para la estrategia de negocio de las empresas.

Las sesiones magistrales, que contaron con el patrocinio de Seidor y UST Global, son uno de los eventos más reconocidos dentro de la trayectoria de AUSAPE como principal referente del ecosistema SAP. Como tales, dispusieron de ponentes de primera categoría: Antonio Ramos (Stack Overflow y Mundo Hacker), Rubén Mora (SEIDOR) y Albert Agustinoy (Cuatrecasas), y de sendas mesas de debate moderadas por Manuel Navarro (Byte) y David Escamilla (Comunicación y Más) y en las que participaron José Ignacio Santillana (presidente de AUSAPE) y los ponentes previamente mencionados.

La apertura del evento comenzó con el consiguiente discurso de bienvenida por parte del presidente de AUSAPE, José Ignacio Santillana, quién agradeció a los asistentes su involucración y participación en la sesión magistral y, a su vez, valoró la importancia de la ciberseguridad dentro del ámbito empresarial.

La primera ponencia estuvo a cargo de Antonio Ramos, especialista en ciberseguridad, fundador de Mundo Hacker y CEO de Stack Overflow. Su presentación se caracterizó por explicar en profundidad numerosos casos de renombradas empresas que habían sufrido casos de ciberataque y destacar de esta forma, la importancia de la ciberseguridad para hacer frente al ciberespionaje a nivel global.



“El objetivo del ciberespionaje, es conseguir información clave para alcanzar una ventaja competitiva, bien sea frente a otra compañía o ante un país rival. En el ámbito empresarial, esta información es obtenida de los altos directivos de las grandes compañías y es utilizada en litigios, concursos, proyectos, concesiones, etc. Por ello, se debe tomar conciencia de que el objetivo del ciberespionaje es el alto cargo, y tener muy en cuenta la protección cibernética a la hora de expandirse internacionalmente”, explicó el conocido hacker.

Al final de la presentación, Antonio realizó una práctica en directo y mostró a los invitados el procedimiento paso a paso para que un hacker lleve a cabo un ciberataque saltándose los sistemas de seguridad y antivirus.

Antonio comentó que los hackers recopilan datos sobre el dirigente objetivo, a quien envían un documento de su interés que contiene un caballo de Troya y que, una vez dentro de la red de la empresa, empieza a sustraer y enviar información sin ser detectado, en ocasiones durante largos periodos de tiempo. A su vez, suelen trasladar los documentos a servidores ubicados en países donde la legislación no es clara en estos temas, y cuyo rastreo y acceso es sumamente complicado.

Para minimizar el riesgo y el impacto del ciberespionaje, Ramos apostó por implantar planes de formación para toda la organización, entrenando y concienciando a altos directivos, mandos intermedios y empleados de base. Asimismo, Ramos propuso crear departamentos de Ciberinteligencia y destacó la necesidad de que las empresas dispongan de un comité de crisis. Y concluyó resumiendo el “ABC de la Ciberseguridad: Actualizaciones, Backup y Common Sense”.

En cuanto a la ponencia de Rubén Mora, actual CISO de SEIDOR, experto en Cibercrimen y anteriormente jefe de la Unidad Central de Delitos Informáticos de los Mossos d’Esquadra, se centró en los indicadores que deben alertar a las empresas de que se hallan ante un problema de ciberseguridad.

Para Mora, invertir en ciberseguridad ayuda a minimizar el impacto de las pérdidas en las empresas, aunque el riesgo nunca llega a eliminarse totalmente. Pese a que la forma más habitual de actuar frente a los ciberataques es la reactiva, recomendó establecer tecnologías y mecanismos proactivos. Entre ellos, destacó las herramientas de prevención que combinan estándares Open Source, las herramientas que permiten un mayor control de los datos y la creación de planes de contingencia en ciberseguridad que dificulten el error humano. En el mundo hipertecnológico actual, los errores de las personas cuando bajan la guardia son los causantes de la mayor parte de las brechas de seguridad de las empresas que dan lugar a ciberataques.

Mora también destacó varios factores clave de la inseguridad de la red, como la globalización o la cada vez mayor rapidez de las comunicaciones. A ellos se suma la existencia de diferentes jurisdicciones, que facilita a los ciberdelincuentes disponer de espacios de vacío legal desde los que operar.

También intervino Albert Agustinoy, socio abogado de Cuatrecasas y especialista en ciberseguridad y protección de datos. Agustinoy aportó el enfoque legal y jurídico frente a los ciberataques, explicando un caso práctico en el que un directivo era chantajeado por unos hackers. A lo largo de la presentación, se planteó el ejemplo de una empresa de ecommerce que sufre un ataque de ransomware que afecta a los datos de sus clientes.

Respecto a la actuación ante una crisis de este tipo desde un punto de vista legal, Agustinoy recordó la obligación de cumplir con normativas como el RGPD, así como de reportar los incidentes a la policía, la AEPD y, en su caso, a las autoridades reguladoras del sector al que pertenece la empresa. También debe comunicarse el incidente a los afectados y asumir la posibilidad de que el regulador y los clientes presenten demandas por daños patrimoniales y morales. Y en ningún caso se recomienda pagar ante una situación de ciberchantaje o ransomware, ya que se incurriría en una posible responsabilidad penal.

Agustinoy puso en tesitura a la audiencia a través de encuestas en directo en las que los asistentes tenían que escoger aquella opción que se asemejaba mayormente a como actuarían ante determinadas situaciones relacionadas con un ciberataque.

Finalmente tuvieron lugar las mesas de debate. En ellas se trataron temas y conceptos de actualidad como la migración a S/4 HANA o el valor del GDPR, y se respondieron cuestiones como las diferencias entre SAP original y S/4HANA y quién es el eslabón débil dentro de un ciberataque hacia una compañía. Entre otros aspectos, José Ignacio Santillana, presidente de AUSAPE, resaltó que los asociados cada día se preocupan más por la seguridad; noción respaldada por Agustinoy, quien destacó el papel de la ciberseguridad como un aspecto fundamental de la empresa. Santillana hizo mención a la posibilidad de definir los privilegios por áreas, el establecimiento de diferentes políticas de seguridad para distintas aplicaciones y el registro de todos los eventos críticos del sistema dentro de S/4 HANA.

Antonio Ramos, por su parte, llamó la atención sobre cómo afectará a las empresas la inminente aparición de agencias de ciberrating, que valorarán a las compañías en función de su riesgo cibernético. Tanto Ramos como Agustinoy recomendaron dar más protagonismo al CISO en la compañía y sensibilizar a la alta dirección sobre la ciberseguridad. “La última barrera de ciberseguridad es el doble clic del usuario, y lo estamos descuidando”, concluyó Ramos.

Asimismo, se hizo hincapié en la necesidad de entender que hoy en día un ciberataque es una situación de crisis más en las empresas y que cada día van a ser más normales en un mundo interconectado. Por ello, cada vez más empresas de todos los sectores están aumentando su inversión en departamentos de ciberseguridad y en protocolos de seguridad digital y de sistemas. Una realidad que ha venido para quedarse y que cada día va a ser más grande. La presencia entre los asistentes al evento no solo de expertos en TI, sino de los departamentos de negocio, comercial y de marketing, es muestra de que, cada vez más, el tema de la ciberseguridad afecta a todos los estratos de las empresas.

La clausura del evento fue seguida de un brunch en el que los invitados pudieron intercambiar experiencias y de esta forma, llevar a cabo la principal razón de ser de AUSAPE: el networking. Las sesiones magistrales obtuvieron muy buena valoración por parte de los asistentes, que puntuaron el evento con un 4,7 sobre 5.

www.ausape.com

Volver al Boletín AUSAPE

Copyright 2019 AUSAPE. Para realizar consultas o el envío de noticias que puedan aparecer en este boletín, hágalo a nuestra dirección de correo electrónico: comunicacion@ausape.es. Si lo desea, puede crear enlaces desde sus páginas web a la dirección de la página principal de AUSAPE.