ISACA Madrid participó en RootedCON 2025
Nos alegró invitar a nuestros asociados a asistir al track de ISACA Madrid en RootedCON que tuvo lugar el día 6 de marzo de 2025 en la sala 17 del Kinépolis de Ciudad de la Imagen. A lo largo de toda la jornada tuvimos ponencias y mesas redondas en las que profesionales referentes del sector compartieron sus impresiones y experiencias sobre diferentes temas.
A continuación puedes ver un breve de resumen de lo que pasó en cada una de las ponencias:
Introducción ISACA Madrid (Vanesa Gil Laredo)
La presidenta de ISACA Madrid nos explicó qué es ISACA, qué es ISACA Madrid, cuáles son sus certificaciones y certificados, así como de los beneficios de ser asociado.
Ponencia 1: From Theory to Reality: Implementing ISACA’s Digital Trust Framework (Anass Abajtour)
La confianza digital es clave en la transformación de las empresas con la llegada de internet. ISACA propone el DTEF (Digital Trust Ecosystem Framework) para abordar la seguridad más allá de los datos, incluyendo personas, procesos y tecnología. Aunque las empresas buscan mejorar la confianza digital mediante certificaciones y calidad de servicio, enfrentan desafíos como desconocimiento, redundancia regulatoria y resistencia al cambio. La implementación del DTEF sigue tres fases: evaluación, desarrollo y mantenimiento, centrándose en estrategias adaptadas a cada organización. Los beneficios incluyen eficiencia operativa, reducción de riesgos y ventaja competitiva.
Ponencia 2: El auditor del futuro: Cómo la IA está transformando la profesión (Rafael Troncoso, Pablo González, Pablo Rodríguez, Karla Torres, Águeda de Lara, José Miguel Cardona)
La auditoría con IA ha evolucionado con nuevos riesgos como sesgos, alucinaciones y desafíos estratégicos y operacionales. Mejora la ciberseguridad y permite una visión más holística, optimizando las líneas de defensa. Su mayor impacto es la reducción de la intervención humana, planteando retos éticos y de integración tecnológica. Se avanza hacia una auditoría continua con herramientas automatizadas y buenas prácticas, creando oportunidades de especialización. Sin embargo, la auditoría enfrenta desafíos como la falta de regulación, talento escaso y equilibrio entre privacidad e innovación. Aunque la IA no reemplazará al auditor, sí reducirá su número y exigirá actualización constante.
Ponencia 3: Auditando Arquitecturas Software Empresariales (Elías Grande)
La falta de claridad en los requerimientos del negocio genera cambios constantes en el alcance y una gestión ineficiente de los recursos. Durante las auditorías, puede existir un exceso de documentación, lo que compromete su efectividad. Para mejorar la infraestructura, se recomienda comparar con arquitecturas de referencia, segmentar datos y separar la lógica de negocio de la infraestructura. Además, es fundamental independizar la disponibilidad de terceros, gestionar credenciales mediante criptografía y emplear un API Gateway y un WAF para fortalecer la seguridad. Finalmente, la aplicación de modelos de amenazas permite una gestión más efectiva de la seguridad, evitando soluciones improvisadas en el código.
Ponencia 4: Active Directory: El eslabón crítico en la ciberseguridad corporativa (Álex Amorín)
Esta charla aborda la evaluación estructurada de Active Directory (AD), proporcionando metodologías para auditorías y mitigaciones, y justificando mejoras con métricas claras. No es una guía de hacking ni un documento técnico. Analiza alternativas de AD (on-premise, cloud e híbrido) y destaca amenazas clave como pass-the-hash y kerberoasting. Presenta enfoques de auditoría interna, metodologías como PDCA y OKR para priorizar la seguridad, y estrategias para responder a compromisos en AD. Concluye enfatizando la detección temprana, seguridad proactiva, resiliencia y cultura de seguridad.
Ponencia 5: Orchestrated Insecurity: Breaking Down Common Container Vulnerabilities (José María Pulgar y Carlos Polop)
La exposición de un contenedor implica riesgos, por lo que no basta con escanear vulnerabilidades, sino que deben corregirse. Se presenta una solución que automatiza su mitigación y refuerza la seguridad en Kubernetes. Se ejemplifica un ataque en Kafka, destacando la importancia del principio de inmutabilidad y la protección en memoria. Bloquear ataques a nivel de contenedor minimiza el impacto y alerta al equipo de respuesta. Aunque implica mayor consumo, la herramienta se despliega automáticamente, facilitando su implementación.
Ponencia 6: LLM Security Audits 101: The Good, the Bad, and the Broken (Javier del Pino)
Las aplicaciones basadas en LLM presentan riesgos adicionales frente a los enfoques tradicionales, ya que pueden ser engañadas o improvisar respuestas inesperadas. Las vulnerabilidades incluyen prompt injection, consumo excesivo de recursos, envenenamiento de modelos y riesgos en la cadena de suministro. También existen amenazas en sistemas RAG, como fugas de datos y contradicciones en la información. La auditoría debe incluir validaciones en la entrada, monitoreo del sistema y controles en la salida para mitigar riesgos. Además, es clave proteger el System prompt y limitar la capacidad de agentes automatizados para evitar usos indebidos.
Mesa redonda 2: Ciberseguridad industrial: El reto de auditar sin interrumpir (Erik de Pablo, Enrique Miranda, Ignacio García Echea, Manuel Ballesteros, Ander Gaslisteo y Juan José Nombela)
La seguridad en entornos OT ha cambiado debido a su convergencia con IT, exponiéndolos a nuevas vulnerabilidades que antes estaban aisladas. La digitalización y la Industria 4.0 han aumentado la productividad, pero también los riesgos, lo que ha llevado a una mayor conciencia sobre ciberseguridad y cumplimiento normativo. La auditoría interna y externa, junto con certificaciones, son esenciales para garantizar un nivel mínimo de seguridad y evitar sanciones. La auditoría en OT se diferencia de IT por su enfoque en disponibilidad y operatividad, requiriendo un conocimiento específico del entorno industrial. Además, la identificación de la arquitectura y la implementación de modelos de control adecuados son clave para mitigar riesgos en estos entornos críticos.
Mesa redonda 3: Más allá del checkbox: Auditoría real de cumplimiento en la nueva era regulatoria (Andrés Porras, Xavier Sanz i Vives, Guillermo Martín, Cristina Bausá, Josune Charola y Juan Galdón)
El rol del CISO ha evolucionado de ser un fiscalizador a un asesor estratégico, cercano a la alta dirección y enfocado en fortalecer la resiliencia operativa. La normativa, como DORA, ha incrementado su visibilidad, exigiendo alineación entre tecnología y cumplimiento. La captación de talento en auditoría TI es un reto, valorándose perfiles técnicos como hackers y equipos internos capacitados. La IA ofrece grandes oportunidades en ciberseguridad, pero requiere un uso responsable y regulado. Los proveedores externos son clave en auditorías, aunque su aporte varía según el conocimiento y las exigencias normativas, destacando la auditoría de reguladores como un factor de presión.
Además de todas estas magníficas ponencias, tuvimos alguna que otra sorpresa en nuestro track con descuentos exclusivos y pizzas para aquellos que fueron fieles al track. También dimos CPEs a los asociados que asistieron.
Si te quedaste con las ganas, te esperamos en la siguiente edición.
Así fue nuestro track de ISACA en RootedCON 2024