Encuentro_Ciberseguridad MARCH JLT«Hace 20 años, en este foro hubiésemos hablado de otros temas, pero hoy hablamos de ciberseguridad. Y uno de los asuntos principales es la ciberseguridad de nuestros proveedores, porque todo está interconectado». Con estas palabras inauguraba Álvaro Mengotti, Chief Commercial Officer de MARCH JLT, su Foro de Ciberseguridad. El evento se celebró ayer en Madrid, con el patrocinio de AIG, BEAZLEY, CHUBB, HISCOX, LIBERTY SPECIALITY MARKETS y ZURICH.

La primera parte de la jornada se centró en el nuevo Reglamento General de Protección de Datos (RGPD), contando con la participación de Alejandro Padín, socio de Garrigues y responsable de la protección de datos y tecnología del bufete. Explicó los detalles del RGPD en cuanto a la relación con los proveedores y la ciberseguridad, especificando que se establece un esquema de cumplimiento estructurado en cinco niveles: registro de actividades de tratamiento de datos de todas las áreas de la empresa y de sus proveedores, funciones del delegado de protección de datos (DPO, en sus siglas en inglés), procedimientos para garantizar la protección de datos, y documentos destinados a tal fin, como cláusulas de información y consentimiento, política de privacidad en la web, acuerdo con el encargado del tratamiento de datos, política de conservación de datos, etc.

Por otro lado, habló acerca de las notificaciones de las violaciones de seguridad, precisando a quién hay que comunicar en cada caso (CNPIC, Incibe, CCN, AEPD, CNMV, aseguradora), la entidad que debe notificar y los criterios de notificación.

Antonio Ramos, socio fundador de LEET Security, afirmó que es difícil conocer el nivel real de riesgo de nuestros proveedores en cuanto a ciberseguridad, apuntando algunas recomendaciones para supervisar que éstos están disposición de cumplir con las obligaciones debidas, como remitir un cuestionario, firmar una declaración responsable, exigir la certificación ISO 27001, formalizar un contrato detallando los términos o realizar una auditoría, que sería la medida más fiable. Sin embargo, advirtió que cada proveedor dispone de distintas medidas de seguridad, por lo que es recomendable contar con algún mecanismo que estandarice la auditoría, como sucede con las calificaciones otorgadas por su entidad, que valora de ‘D’ a ‘A+’ la confidencialidad, integridad y disponibilidad de dichos proveedores. «Se busca que sea un mecanismo sencillo y mapeable», declaraba.

Gestión del riesgo cibernético y de la crisis

A continuación, se celebró una mesa redonda dirigida por Susana Sepúlveda, directora de Líneas Financieras de MARCH JLT, en la que participaron Enrique Rubio-Manzanares, CISO de Banca March, y Manuel Fernández, CISO de Banco Inversis, quienes departieron acerca de la gestión del riesgo cibernético de los proveedores. Incidieron en la importancia de la concienciación de todos los implicados en la protección de datos. Señalaron que uno de los principales retos para los CISO consiste en acercarse al negocio para entenderlo y adaptarse, con el fin de que la compañía opere con las medidas de seguridad oportunas y sin dificultar su actividad. Además, deben estar al día en materia legal y ser capaces de evaluar los riesgos para invertir en aquello que más necesite la organización.

También comentaron el impacto que tuvieron ataques como WannaCry o Petya, que sirvieron para que muchas compañías entendiesen que no estaban preparadas para afrontar incidentes de este tipo. Por último, destacaron la importancia de complementar todas las medidas de seguridad con una póliza de ciberriesgos, ya que ayuda a la resolución de los ciberincidentes, reduce los tiempos de actuación y permite recuperarse de los daños económicos en los que se pudiera incurrir.

Después intervino Isaac Gutiérrez, CEO de Novared Spain, quien explicó en qué consiste el protocolo de gestión de crisis ante un ciberataque. Puntualizó que las empresas deben contar con un plan de crisis, un comité de gestión de crisis y protocolos de actuación, así como realizar simulacros para probar que todos los mecanismos funcionan.

El cierre del foro corrió a cargo de José Carlos Marcos, director de Riesgos Financieros de MARCH JLT.