Los mayores retos de seguridad a los que se enfrenta organizaciones, así como las implicaciones de la IA en la ciberseguridad, han sido abordados en la nueva entrega del Podcast Privacidad y Derechos Digitales por el Observatorio AUTELSI de Privacidad y Derechos Digitales. En este quinto episodio hemos contado con la participación de Francisco Lázaro Anguis, CISO de RENFE, presidente del grupo de Calidad y Seguridad de AUTELSI Asociación española de usuarios (Medalla con distintivo blanco al mérito de la Guardia Civil).
Quiere aprovechar el ejemplo de la compañía Renfe en este artículo para destacar la importancia de la gestion de la ciberseguridad dese un ejemplo práctico de una empresa líder en su sector.
Resultan particularmente relevantes los retos que aborda esta compañía, y que han definido su Plan Estratégico hasta el año 2028, dado el carácter estratégico de la compañía. En palabras de Francisco Lázaro, “no hay negocio sin ciberseguridad” en la medida en que ésta protege no sólo los activos de un negocio, sino también las vidas de las personas. La relevancia de la ciberseguridad radica en su componente estratégico puesto que debe integrarse en la estrategia de las compañías.
Por otra parte, hay que destacar la importancia de profundizar en nuevas tecnologías como, por ejemplo, la IA o la IoT. Surge la siguiente cuestión: ¿se considera estratégica la utilización de la IA?
Tal y como destaca Francisco Lázaro, en su compañía así lo entienden y han establecido un comité de adopción de la IA en la compañía integrado por aquellas áreas que pueden asegurar la implementación segura de la IA y, concretamente, nos referimos a legal, ciberseguridad, protección de datos, tecnología, y Negocio. Dicho comité tiene como finalidad determinar los sectores de negocio en los que puede aportar algún beneficio la IA. Aunque ello implica también el análisis de los riesgos de esta nueva tecnología y la determinación de los controles que deben ser aplicados para disminuirlos.
Por ejemplo, en el sector ferroviario, el uso de la IA puede resultar beneficioso en lo relativo a los mantenimientos. En efecto, los tiempos de mantenimiento serían reducidos lo que conllevaría una mejora de la seguridad y los procesos productivos de mantenimiento.
Otra de las ventajas señaladas por nuestro invitado es que la IA puede desempeñar un papel fundamental en la detección de patrones, distinción de situaciones anómalas o adopción de nuevas medidas preventivas en eventos de ciberseguridad. En este sentido, la importancia de la IA puede ser determinante debido a que RENFE tiene “millones” de eventos de ciberseguridad al día. Por tanto, la utilización de esta tecnología es particularmente útil en la labor de análisis de dichos eventos.
En relación con lo anterior, planteo otra cuestión: ¿en qué puede impactar la IA en los entornos gestionados por esta tecnología? La respuesta no es fácil pero, a fin de minimizar los riesgos derivados de la utilización de la IA, es fundamental la realización de análisis de riesgos.
Por último, el trabajo de nuestro invitado en el Foro Nacional de Ciberseguridad como Vocal de AUTELSI puede servirnos para conocer cuál es su perspectiva de futuro en lo relativo a la ciberseguridad y su integración en las organizaciones. A su juicio, la legislación ayuda a garantizar una cultura mínima de riesgos en los diferentes sectores, dado que no todas presentan una concienciación en la materia.
De igual forma, el Esquema Nacional de Seguridad ha plasmado durante muchos años de experiencia por cuanto que se ha introducido a la cadena de suministro. Así pues, se reconoce como sujeto obligado no sólo sector público, sino también a aquellas empresas privadas que presten servicios o provean soluciones a las entidades del sector público. En su opinión existe un cierto desequilibrio entre protección de datos y ciberseguridad, dado que no se exige a las empresas el nombramiento de un CISO, pero sí de un DPD. Esta situación se debe corregir para permitir un nivel de concienciación mínimo en la materia no sólo por parte de las empresas que integran la cadena de suministro de la Administración sino también por parte de las PYMES.
Otra de las preocupaciones de nuestro invitado es la futura coexistencia de diferentes autoridades de control sin una asignación adecuada de recursos a la mismas.
En suma, las obligaciones previstas en la normativa de ciberseguridad pueden resultar palabras vacías si no dotamos a las autoridades de control con suficientes medios económicos y humanos que asegure la ejecución de la sanción impuesta.
Una joya de entrevista y unas perlas las compartidas por nuestro invitado y que destaco en este artículo para todos vosotros.
¡Gracias Francisco!
Oscar López, Presidente del Observatorio AUTELSI de Privacidad y Derechos Digitales y CEO UBT Legal & Compliance
Deja tu comentario