Empresas Premium
El pasado jueves se celebró en el Centro de Innovación DIGITALIZA Madrid el pleno del Comité de Seguridad de la Información de la Comunidad de Madrid, en el marco del 2º Encuentro de Ciberseguridad organizado por la Agencia de Ciberseguridad de la Comunidad de Madrid y que contó con la colaboración de ISACA Madrid durante la posterior Jornada Técnica de Ciberseguridad.
La sesión reunió a responsables de seguridad de la información de entidades locales y empresas públicas de la región con el objetivo de reforzar la coordinación y ofrecerles herramientas operativas para elevar su nivel de ciberresiliencia.
La jornada fue inaugurada por Alejandro Las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid, quien presentó el plan estratégico que pretende que sea “un referente internacional de aquí a 2028” y definió la actividad de la Agencia como pieza central del nuevo modelo de ciberseguridad compartida de la región.
Durante su intervención, subrayó que “en la Agencia tenemos vocación de coordinación. Por eso hemos creado un Comité de Seguridad de la Información, con la ambición de que llegue a todos puntos de la Administración de la CAM. Que haya la máxima representación posible, pero que también nos sirva para ser cada vez más fuertes ante las amenazas”.
A lo largo de la mañana, los asistentes trabajaron sobre algunos de los retos más urgentes para las administraciones públicas: identificar qué servicios y sistemas deben adecuarse al Esquema Nacional de Seguridad (ENS), realizar análisis de riesgos ágiles y útiles, definir una arquitectura de seguridad mínima en un ayuntamiento y decidir, con criterios objetivos, cuándo conviene adquirir o desarrollar soluciones tecnológicas propias.
En el bloque dedicado al ENS, Patricia Obejo, responsable del equipo de GRC en CIES, expuso un enfoque práctico para identificar los servicios y sistemas que deben adecuarse a este marco, poniendo el foco en los servicios esenciales al ciudadano y en la necesidad de categorizarlos correctamente para asignarles medidas de protección proporcionales.
Por su parte, Ricardo Barrasa, past president de ISACA Madrid y director de Compliance & Risk de DLTCode, mostró cómo realizar un análisis de riesgos rápido, eficiente y alineado con el ENS, partiendo de la realidad de los ayuntamientos. Su intervención abordó la identificación de servicios en el alcance, la elaboración de inventarios de activos, la valoración del riesgo inherente y residual y el tratamiento del riesgo mediante medidas mitigadoras, de transferencia, eliminación o aceptación, con un fuerte énfasis en priorizar inversiones y recursos.
En este contexto, Barrasa recordó que el objetivo de la gestión del riesgo no es eliminarlo por completo, sino reducirlo hasta un nivel asumible con los recursos disponibles, evitando sanciones por protección de datos, reduciendo la probabilidad de paralizar servicios críticos y protegiendo la información sensible de la ciudadanía. “El principal riesgo de estas entidades locales es la falta de personas”, resumió.
Por eso, apuntó a dos tipos de riesgo. “El riesgo inherente, que son las amenazas per se, implica tener un determinado riesgo por sí mismo; y, después, está el riesgo residual, que se produce cuando vamos a trabajar con ciudadanos, lo que conlleva otro tipo de riesgos que necesitamos bajar a niveles aceptables en lugares como ayuntamientos” y que hoy en día no cuenta con suficiente personal cualificado.
La sesión incluyó también una ponencia de Bakarne Uriaguereca, subdirectora general de Servicios de la Agencia de Ciberseguridad de la Comunidad de Madrid, centrada en cómo definir una arquitectura de seguridad mínima en un ayuntamiento. En ella se abordaron aspectos como la segmentación de redes, la protección del puesto de trabajo, la monitorización de eventos, la gestión de identidades y el papel de los servicios compartidos para los municipios de menor tamaño.
Alejandro Espejo, formador acreditado CISA de ISACA Madrid y Head of Information Security & Compliance en Telefónica Innovación Digital, explicó los criterios que deberían guiar a las administraciones a la hora de decidir entre adquirir un sistema estándar de mercado o desarrollar una solución propia.
Entre los factores determinantes señaló el coste inicial y recurrente, el plazo de implantación, los recursos internos disponibles, los requisitos de cumplimiento, la flexibilidad funcional y el riesgo tecnológico asociado a cada alternativa. Su mensaje fueclaro: en la mayoría de los casos, la adquisición de software permite reducir costes, acelerar el time-to-market y beneficiarse de una seguridad “por defecto”, reservando el desarrollo propio para procesos muy específicos o con requisitos regulatorios extraordinarios.
El cierre técnico fue a cargo de Juan José Nombela, secretario de ISACA Madrid y director del Máster Universitario en Ciberseguridad de UNIE Universidad, quien desgranó las competencias que debe reunir el Responsable de Seguridad de la Información (RSI). Nombela definió este rol como una función híbrida que combina capacidades técnicas, estratégicas, de gobernanza y de liderazgo, alineadas con marcos como el European Cybersecurity Skills Framework (ECSF) de ENISA.
Entre las competencias clave destacó la gestión de riesgos, el conocimiento del ENS y otras normativas como RGPD o ISO 27001, la evaluación de proveedores, la gestión de incidentes, la comunicación efectiva con los órganos de gobierno, la coordinación con organismos como el CCN-CERT y la capacidad para crear cultura de ciberseguridad en toda la organización.
Asimismo, subrayó el papel de la formación continua y de certificaciones como CISM o los certificados de fundamentos en ciberseguridad de ISACA para acreditar el nivel profesional de los RSI del sector público.
Con este pleno del Comité de Seguridad de la Información, la Comunidad de Madrid consolida un espacio estable de coordinación, formación y prevención frente a amenazas digitales en los entornos públicos, invitando a nuevas entidades a sumarse a la iniciativa.
|
