Se llevó a cabo el jueves 5 de mayo, 11 horas de Argentina en forma virtual, a cargo de Erik de Pablo Martínez
Charla virtual gratuita, requiere inscripción.
Accedé a la presentación de la charla
En el mes de mayo de 2021 se produjo un importante ciberataque sobre una infraestructura crítica en EE. UU., el conocido ataque sobre Colonial Pipeline, una organización que soporta un oleoducto de más de 8.000 km que distribuye combustible desde Texas a New Jersey.
La imagen de debilidad que ofreció la superpotencia fue llamativa y puso en evidencia lo que se ha estado avisando desde hace tiempo, “esto puede pasarle a cualquiera”.
Por otra parte, la reciente experiencia de los ataques a la cadena de suministro de Solar Winds puso sobre la mesa que centenares de empresas industriales, entre otras, habían sucumbido a un sofisticado ataque, bien diseñado y de larga duración, en el que el acceso y robo de información parecía ser el objetivo principal.
Resulta sorprendente que estos ciberataques hayan tenido éxito cuando parecía que se habían desplegado múltiples y eficaces iniciativas para evitarlos. Se suponía que, gracias a la intensa regulación sobre ciberseguridad de estos últimos años, las compañías habían cumplido sus obligaciones y por lo tanto deberían estar libres de peligro. Y no ha sido así.
¿Cuál es la causa de este fallo?
En esta ponencia queremos plantear que la convergencia de modelos entre IT y OT ha puesto de manifiesto una debilidad en el mundo OT, derivada del hecho de que, a diferencia de su contraparte en IT, carece del modelo de Tres Líneas de Defensa.
Vamos a analizar el modelo y a estudiar una posible aplicación de este, de forma que permita incrementar el grado de madurez actual y asegure que la mitigación de riesgos esté funcionando de manera eficaz.
Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes.
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia.
Ph.D en Business Administration por Newport University,CA. USA. y Ph.D en Educación por la Universidad Santo Tomás, Colombia.
Tiene más de 25 años de experiencia como académico, ejecutivo y profesional en seguridad de la información, privacidad, ciberseguridad, evidencia digital, computación forense, gobierno y auditoría de TI.
Es Examinador Certificado de Fraude (CFE), Cobit5 Certificate, Auditor Certificado de Control Interno (CICA), Certificado Ejecutivo en Liderazgo y Gestión por el MIT Sloan School of Management y Certificado Ejecutivo en Liderazgo y Estrategia de Ciberseguridad por Florida International University.
En 2016 recibió el reconocimiento como «Cybersecurity Educator of the year 2016» para América Latina por el Cybersecurity Excellence Awards.
Autor de libros de referencia en seguridad y control en Latinoamérica como Computación forense. Descubriendo los rastros informáticos, Manual de un CISO y su más reciente publicación «Ciberseguridad Empresarial: Reflexiones y retos para los ejecutivos del siglo XXI».
Cuenta con más de 200 publicaciones en revistas y eventos internacionales. Ha sido conferencista invitado en más de un centenar de foros y conferencias nacionales e internacionales sobre temas de seguridad y control en América Latina.
Actualmente es profesor universitario y consultor internacional independiente en sus temas de especialidad.
Acerca del disertante:
Es físico y PDD por el IESE.
Tiene una dilatada experiencia en automatización de procesos industriales y en SSII, desarrollada en la industria del petróleo, en España y en Sudamérica.
Está orientado a la auditoría de sistemas en entornos industriales y de negocio y focalizado en los nuevos riesgos tecnológicos: ciberseguridad, infraestructuras críticas, detección y prevención del fraude, IoT, IA, Big Data, Blockchain etc…
Recientemente y durante 6 años ha sido director de Investigación en ISACA-Madrid y es socio Director de la empresa de auditoría de sistemas RUTILUS. Pertenece al panel de expertos del CCI (Centro de Ciberseguridad Industrial).
Es CISA (Certified Information System Auditor) y CRISC (Certified in Risk and Information Systems Control).