Les invitamos a inscribirse en las jornadas que se celebrarán el próximo 9 de abril de 2019 en INFECAR Avda. de la Feria, 1 - 35012 Las Palmas de G.C.
Programa:
· 09:00 - 09:30. Bienvenida y presentación
· 09:30 - 10:00. El RGPD. Obligaciones legales que protegen nuestros datos (AUDIDAT)
· 10:00 - 10:30. ISO 27001. Generando confianza para nuestros clientes (Luaces Consultores)
· 10:30 - 11:00. Asegurando los Ciberriesgos (AXA)
· 11:00 - 11:30. Break
· 11:30 - 12:00. La prueba digital en los procesos judiciales. Peritaciones tecnológicas. (Tecnoperitaciones)
· 12:00 - 12:30. Implementando la Ciberseguridad (SOPHOS)
· 12:30 - 13:00. Soluciones tecnológicas (Velorcios Group)
· 13:00 -14:00. Mesa redonda. La ciberseguridad no es una opción.
· 14:00. Cocktail
Para inscribirse:https://info.velorcios.com/una-vision-estrategica-sobre-la-ciberseguridad
Totalmente gratuito
La ciberseguridad no
es una opción
por Jorge Alonso
CIO de Velorcios Group
Marzo 2019
Que vivimos en la era de los datos, es una realidad que nadie se atreve a cuestionar; que esos datos son de gran valor para nuestras empresas, resulta más que evidente; sin embargo, llegado el momento de protegerlos, o bien, no sabemos cómo hacerlo, o lo que es aun peor, no comprendemos muy bien por qué realmente lo debemos hacer.
Y lo cierto, es que gran parte de culpa sobre este estado de confusión la tenemos nosotros - los tecnólogos - que nos hemos empeñado en llenar el día a día de palabras complejas y tecnicismos que, lejos de generar confianza, no hacen más que minar las ganas de acercarse a un tema, que por otro lado, todos reconocen como prioritario y relevante en sus empresas: la ciberseguridad.
Ante esta situación, no nos queda otro camino que intentar buscar un nuevo enfoque que si bien - persigue el mismo fin, esto es, proteger los datos - pueda ser asimilado por el usuario de una manera sencilla y natural que dé pie a comprender cómo y porqué debe hacerlo.
Bajo esta premisa, comencemos por lo más sencillo de entender: tenemos que proteger nuestros datos porque la Ley nos obliga. Es cierto que la entrada en vigor del nuevo RGPD, el 25 de mayo de 2018, fue la excusa perfecta para que el sector tecnológico colocase en sus clientes una buena cantidad de soluciones que, casi por arte de magia, les hacía cumplir de manera automática las obligaciones del nuevo Reglamento.
Algo de cierto había en ello, pero al no existir detrás una política empresarial de ciberseguridad, muchas de las soluciones tecnológicas implementadas supusieron más un engorro en el día a día del cliente que una mejora real de su seguridad.
Pero, a pesar de esto, quedémonos con el aspecto positivo: gracias a las obligaciones legales hoy sabemos que nuestros datos tienen, al menos, una primera capa de seguridad, y esto es mejor que la indefensión total que supondría la existencia de un vacío legal.
Sin embargo, el cumplimiento de estas requisitos legales no es suficiente si nos queremos desenvolver con garantías en el día a día. La ausencia de procedimientos, junto con la libre interpretación de algunos puntos del Reglamento dejan expuestos nuestros activos digitales a riesgos innecesarios.
En este sentido, un buen acercamiento para cualquier organización podría pasar por realizar un estudio analítico estadístico, junto a un análisis de riesgos. El análisis de riesgos frente a adversarios inteligentes requiere de juicios estructurados de expertos que permitan plantear una metodología adecuada para enfrentar el problema.
La solución a este problema la encontramos en los certificados de calidad y las normas ISO 27000. Contar un SGSI (Sistema de Gestión de Seguridad de la Información) garantiza a nuestros clientes que sus datos serán tratados siguiendo unas pautas y unos procedimientos acordes a los necesidades de su negocio. Sobra decir que esta garantía es, en sí misma, una ventaja competitiva que conviene saber explotar.
Dicho de otra manera: la necesidad de certificar ante un tercero que lo estamos haciendo bien, implica de manera inherente, la aplicación de otra capa de seguridad para nuestros datos.
Pero lamentablemente, nadie está a salvo de sufrir un ataque y la ciberseguridad absoluta no existe. Si admitimos este axioma, deberemos de tomar medidas que aseguren nuestros riesgos y minimicen los daños ante un posible ataque que comprometa la continuidad de nuestro negocio.
Es en este punto donde entran en juego las pólizas de ciberriesgos. Estos productos que nos ofrecen las aseguradoras buscan, al igual que el mundo físico, replicar las garantías sobre nuestros activos digitales. Aunque es cierto que son pólizas relativamente nuevas, las principales contingencias a las que una empresa se pudiera enfrentar ante un ciberataque quedarían cubiertas.
Pero para poder contratar alguna de las ciber pólizas del mercado es preciso que antes hayamos tomado una serie de medidas básicas para proteger nuestros activos digitales pues, de lo contrario, o bien no podremos acceder a ellas, o el importe será sumamente elevado. Asegurar el ciberriesgo de nuestra empresa proporcionará, y ya van tres, una capa más de seguridad a nuestros datos.
Hasta aquí hemos hablado de medidas para proteger los activos digitales dejando a un lado el elemento más importante: el factor humano. De nada nos valdrá diseñar el sistema más complejo de ciberseguridad si en él no implicamos directamente a nuestros usuarios. Esta implicación pasa por conseguir que todos sean conscientes de que son la primera capa de seguridad de los datos de la empresa.
La formación continua, el entrenamiento constante y una política empresarial de seguridad clara y bien comunicada, proporcionarán a nuestros activos la última capa de seguridad.
Y una vez implementadas estas cuatro capas de seguridad nos daremos cuenta que, probablemente, no hayamos logrado nada significativo para nuestro negocio, más que conseguir ser ciberseguros. Es cierto que, como ya hemos dicho, la ciberseguridad bien entendida puede ser una ventaja competitiva, pero de poco recorrido al ser fácilmente replicable por la competencia.
Entonces, llegados a este punto, comprenderemos que la ciberseguridad nunca fue una opción y que adoptar las medidas necesarias para que nuestra empresa desarrolle su actividad sin sobresaltos tecnológicos no es más que hacer un ejercicio de profesionalidad que, de ninguna manera, podemos obviar.
