tv.um.es

Llevamos un poco de retraso, pero vamos a empezar ya si os parece bien, porque lo cierto es que a la una esta vez sí que no es posible arrastrar la sesión más allá de la una a la una del mediodía de la tarde. Hay que cortar radicalmente las intervenciones. El debate por una cuestión de horarios de quien no espera el tren, o sea que ahí tenemos un límite insalvable. Emergen, ajustado margen ajustado, los márgenes vamos a no conceder unos los desde ya mismo bueno, se han dicho muchas cosas interesantes en la primera sesión y a mí me han confirmado que soy una jurista analógica y además nostálgica, porque cuando me veo aquí escoltado por estos 2 ponentes lo primero que viene a la mente es Ulpiano, y su due, su imposición, es público y privado. Tenemos de un lado el privado Incibe. De otro lado, el público, el CCN. Vamos a empezar esta vez claro. Aquí seguramente pesa más. Mi condición de publicista y publicista y vamos a empezar nuestras intervenciones de unos 20 minutos centrando los problemas con don Pablo López, don Pablo López, es jefe del área de normativa y servicios de Ciberseguridad del Centro. Criptológico Nacional es teniente coronel Cuerpo General del Ejército; del Aire, especialista climatólogo, máster en dirección de sistemas y tecnologías de la información y las comunicaciones, y dispone de diversas certificaciones de especialización en seguridad, además de ser referente nacional e internacional en ciberseguridad. Es el responsable dentro del en la gestión de servicios de ciberseguridad, diseño y desarrollo de la oferta, normativa y cursos-estilo; o se te dice. Esto se te dice. Para personal especialista en seguridad, así como Bueno. Está encargado también de la elaboración de normativa, supervisión en la adecuación e implantación de seguridad, desarrollo de estrategias de adecuación al esquema nacional de seguridad y perfiles de cumplimiento específico, junto con la realización de auditorías, inspecciones de seguridad, de las TIC y por lo que al esquema nacional de seguridad se refiere, pues es el responsable del desarrollo de soluciones y herramientas de ciberseguridad. Su aplicación evoluciona instrumentos asociados a su implementación. Es además también el impulsor de encuentros del esquema nacional de seguridad, como punto de encuentro y evento de referencia para la comunidad, y representa España en diferentes grupos de trabajo relacionados con la seguridad de las TIC y especialmente los que tienen que ver con la Directiva NIS. Aparte de todo esto, claro, para llegar a este currículum, pues va de suyo, que han sido necesarios, más de 21 años de experiencia en el ámbito de la ciberseguridad y echarle a esta presentación, pues, deseando escuchar. Muchísimas gracias, más no lea y como siempre digo, agradecer, sobre todo a la universidad. No puede contar con con nosotros aquí nosotros para contar una nuestra aproximación. No para mí siempre digo que es un lujo no estar en Murcia porque yo soy murciano, adopción, prácticamente me quedo en Murcia. Mi hija mayor nació en San Carlos. Con lo cual, pues a mí hablar de Murcia y tengo casa en San Pedro, pues me siento totalmente murciano, y para mí esto es como mi casa y luego otra cosa que a mí también me llena mucho de satisfacción, no, y por eso creo que es un privilegio estar aquí. Es poder dirigirme a al mundo académico, a la universidad. Yo creo que vosotros tenéis el futuro y la posibilidad de que no podamos contar cuál es nuestra aproximación al problema. Basa nuestra experiencia y tener esa posibilidad de poder contarlo. Yo creo que para mí en este caso, pues es un auténtico privilegio que agradezco a a la organización y también si hablamos de la Facultad de Derecho, la anterior ocasión que estuve aquí en Murcia fuera la facultad informática y parece que el mundo técnico va relacionado con la informática. Nos olvidamos que el derecho hoy en día, por lo que es ilegal, lo que es el cumplimiento es la evolución de la ciberseguridad, es decir, hoy en día agradece ese servicio. Esa estrategia es gestión, es criterio, es toma de decisiones y para eso hay que poner un orden y el orden viene siempre del mundo del cumplimiento, con lo cual, aparte del derecho administrativo y todo el diseño curricular que pueden estudiar una carrera de Derecho, tenéis que ver el vuestro futuro de la ciberseguridad y en 2 aspectos fundamentales que me gusta insistir. Primero, mi equipo, mi equipo, está formado por personal técnico que al final se ha tenido que aprender lo que es el derecho, el derecho que aplica un marco de referencia que al final es de obligado cumplimiento, pero también tengo personal que viene de derecho y que ha tenido que meterse en el mundo técnico porque interpretamos lo que es el mundo técnico, con la perspectiva del mundo del derecho y el técnico empieza a aprender el mundo del derecho o al final no vas a conseguir el punto de encuentro. Ese es el reto y mi equipo se caracteriza por eso y por otro aspecto, no que todos son chicas yo creo que también es otra o por lo menos el equipo más cercano es otra de las virtudes para encontrar este mundo y descubrir una evolución y una interpretación. Lo he encontrado un equipo conformado con estas características. Vengo a decir que hablar de ciberseguridad es algo que tiene que empezar a entender, comprender y utilizar, porque el futuro de la gestión de la ciberseguridad va a depender de personas como vosotros, que al final interpreten una norma y le dicen a la práctica de la manera mejor posible, es decir, cuando hablamos de marcos de referencia luego pongo la presentación, que al final es extensa y tiene contenido, pero lo más complicado es cuando nos enfrentamos a cómo tenemos que hacer las cosas, es decir, ya el mundo técnico tiene que ser, como es hacer las cosas. Hay que poner un criterio. Ese criterio se puede basar en 2 cosas. En las buenas prácticas, en los no, lo que debería hacer y en lo que es obligado cumplimiento en salud y a nosotros nos toca interpretar a partir de los suyos que podemos hacer como sea porque no tenemos que ponerse una tarea privilegiada y empezar a exigir cosas que no tienen sentido, pero tampoco debemos dejar de exigir cosas y que tenemos que exigir. Y cómo hacerlo? Se llama sentido común, sentido común. Todas las buenas prácticas, con lo cual cada vez necesitamos personas con criterio que conozcan la tecnología, no en detalle, sino para qué sirve que aplica cuáles son los problemas que nos apliquen o que nos permitan tener ese orden a la hora de tener una estrategia y tomar decisiones y, por supuesto, el mundo técnico que las siga y que las lleve a la práctica, sobre todo para conseguir algo que es fundamental, homogeneización y doctrina, es decir, si yo al final lo que busco es tener un ciberespacio seguro y confiable, tendré que adoptar una postura, y esa postura no tiene que ser puntual ni ningún gurú es decir, tenemos que conseguir que esto permite, que esto al final haya un criterio marco de referencia a que todo siga y que todos puedan aplicar, con lo cual tenemos que buscar un equilibrio entre el sur y el chat. Entre la buena práctica, sentido común y lo que es de obligado cumplimiento, porque si no tuviera el cumplimiento nadie, si tiene quien tiene que determinar eso, pues nosotros estamos aplicando desde el mundo de cumplimiento. Nos hemos dado cuenta que la parte de gestión, en lo que hace que sea eficiente, llevar a la práctica y que todo tenga sentido. Entonces la la presentación que voy a hacer va a incidir en esos puntos. Podemos decir cómo lo hacemos nosotros, diferentes aproximaciones siempre la aproximación del punto preventivo en adelantar, pero siempre también desde el punto de vista de aportar criterio, y luego, sobre todo que sea traumático y viable, es decir, no podemos seguir cosas que no tengan sentido. Hasta ahora podíamos ver el mundo del cumplimiento muy ligado a la privacidad, es decir, Reglamento de Protección de Datos, perfecto, pero es que ya la ciberseguridad, con sus dimensiones, que es conciencia, disponibilidad, integridad auténtica autenticidad y trazabilidad, cada vez es más necesaria, es decir, aplicar un criterio, porque de ese criterio nos va todo iba a decir hasta la vida, como quien dice no lo hemos visto. En la pandemia lo hemos visto incidentes como el Clinic. Hay Estados como paseo, Costa Rica que dependen de Aduanas, su capacidad de importar y exportar el año pasado en verano, su sistema de aduanas se quedó colapsado porque fuese prestado por un rango. Eso Eso qué implica? Que no tienes negocio. Si no tienes negocio, lo tienes. Ingresos no tienes ingresos, no puedes pagar nóminas, no puedes pagar nóminas, no puedes ir al supermercado, vale. En el 20, 20 también tuvimos otro más del SEPE en España o cualquier tipo ayuntamiento, es decir, el SEPE son prestaciones, prestaciones para jubilados y prestaciones para parados, lo que quiere decir que cada vez somos más dependientes de la tecnología, pero cada vez más la tecnología que utilizarla de forma adecuada y la forma adecuada. Son buenas prácticas que tenemos que interiorizar, que se llama educación por parte de la persona y también un criterio y una orden que no te pueden saltar porque no puedes poner a tu sistema, a tu organización. En algunas cosas, a tu Estado tuvo 10, porque hoy en día, como pasó en la costa en este caso está en los Estados Unidos, se quedasen suministro de combustible, vale, te puedes permitir artes, como de combustible o cualquier tipo de suministro. Cualquier infraestructura crítica no es viable. No sé si me explico. Es decir, el problema que tenemos hoy en día a quién incidente no es una cosa local concreta, que puede gestionar de manera puntual, son sus amics, y no hay segunda oportunidad. Es decir, esto cómo no va a afectar o cuando me afecta seguro que me podría recuperar. Hoy en día los incidentes, por la importancia que tiene sobre los sistemas que impactan son, son amigos que lo mismo te llevan contigo y te colapsa. Quiere decir incidir que cada vez hace falta más gestión y gestión. Es criterio ni orden, porque eso lo permite ser eficiente y al final relaciones ciudad tenga sentido y se aplique de manera adecuada. Eso es lo que quiero trasladar, porque vosotros tenéis la oportunidad del día de mañana de sacar esto adelante, con criterio, con orden y siendo eficientes, no del punto de vista que exige una normativa un articulado una medida sino como interpreto esa medida para que sea la práctica y garantiza la postura de seguridad técnica disolviera, la amenaza. Eso es donde estamos trabajando y lo que me gustaría insistir, es decir, tener esa parte legal, esa parte de cumplimiento que soy capaz de interpretar aplicar para que esto tenga sentido, que es al final lo que pueda hacer como abogado. Cuando tenga un cliente, van a interpretar la norma para ayudarle. Esto del punto de vista técnico y la implementación es lo mismo. Vale los nuevos parámetros y tienen el mismo sentido por qué antes era el mundo físico, horas, el mundo virtual y se aplican las mismas normas y las mismas reglas y cuanto más tardemos en aplicarles más parece una manera estaremos en. Debe. Vale más tarde voy a llegar y más con mayor retraso. Es decir, hoy en día no me lo puedo permitir y vuelvo a insistir vale y perdonará si la introducción me estoy extendiendo entre reducción prácticamente de desarrollo de conclusiones, es decir, el chicle ya no se puede estirar más de acuerdo. Es decir, ya no valen los esquejes, el chicle ahora mismo. Si se rompe, como decía, te lleva por delante. Es un auténtico sumamente hable, y eso es lo que quiere decir, que esto tiene sentido. La ciberseguridad, el punto de vista legal, aporta TAC criterio, y no solamente es, como habéis visto la anterior mesa de trabajo, no solamente te genera un puesto de trabajo, sino que es lo que te va a permitir evolucionar la ciberreserva de hoy en día. Esto son ciclos, luego a lo mejor lo veremos otra vez a la parte técnica o la parte de la eficiencia o el estado de arte de lo que sea, pero hoy en día estamos en un momento que aplica el criterio, tener un criterio homogéneo y una postura de seguridad es lo que nos permite. Desoye a la amenaza, es decir, que la amenaza se fije más en otra víctima que nosotros mismos. No será atractivo para la víctima, no solo un objetivo hablando, no es un objetivo fácil de vencer vale, y eso pasa por adoptar posturas de seguridad que no pueden ser su y tienen que ser san y alguien tiene que identificar que es el obligado cumplimiento, y eso va desde el punto de vista de la experiencia, del punto de vista del expertise. Es decir, es al final como un compendio de capacidades que nos permita al final involucionar algo que cada día es muy, muy importante, que es la ciberseguridad. Vale con esta idea que la que quiero trasladar, primero, porque tengo la oportunidad de hacerlo, porque me hace muchísima ilusión, como se ha dicho, como murciano de adopción y porque además me encanta estar delante de vosotros creo que es una oportunidad que grupo que a veces puede tener y que cuando la tengo pues la verdad que me llena de satisfacción voy a hablar de cómo lo resolvemos cuando el esquema nacional de seguridad, pero si queremos quitar el esquema nacional de seguridad, hablemos de fraguar de marco de referencia lo que pasa. Que en España de 2010 tenemos un marco de referencia que aplique, que nos ayuda. Creemos que es el mejor marco de referencia. En cualquier caso, cuanto a la evolución en el 2010 fue la traducción e interpretación, análisis de riesgos en medidas que pudieran aplicarse, que de ahí a 2015 dio el mandato al para gestionar incidentes, si era un proveedor y coger un disco duro y poder analizar y hacer una ingeniería inversa, determinar el indicador de compromiso y poder buscar cuál es un delincuente en el 2022 lo que hemos hecho es que esto sirva porque durante 2017, 2018 nos dimos cuenta que aunque tuviésemos un marco de referencia que basada en el NIS y las buenas prácticas, no es calaba, no fluía no funcionaba, con lo cual le demos una vuelta para que funcionase, fuese pragmático, fuese viable, se interpretase no fuese flexible, fuese adaptable al medio. Hay lo que estamos diciendo y eso lo he hecho porque mi equipo delegar por decir alguna manera mis expertos, consultores, crean del mundo de la parte legal ella ha heredado a interpretar la norma y hacer que la norma, siendo obligado cumplimiento, permitirá sacar exactas al medio, es decir, una cuadratura del círculo prácticamente imposible, que se basa en la experiencia. Vale? Eso es lo que quiero trasladar, marco de referencias viables, donde hoy en día ya esto, como decía, se cuestiona. Es más, el chicle es decir, lo importante son los procesos, es el único margen de maniobra que tiene es. No tienen ni recursos ni materiales, ni personas donde puede ser más eficiente y mejorar siempre son los procesos y los procesos mejoradas, como siendo más eficiente, tomando decisiones, y aplicando ese criterio y orden que nos hace ser mejores, vale, y sobre todo, compañeras de ciberseguridad, porque si no, protejo lo que tengo en su nave media por delante y, sobre todo, también hay un aspecto que a nadie le gusta trabajar para otros podido trabajar para otros. Nadie que se aproveche de tu trabajo, con lo que te cuesta tu sudor les seguiré sangre sudor y lágrimas vale No no lo podemos permitir vale como decía ahí tener aquí nos enfrentamos reglas del juego. Esta es mi campo de juego. Por un lado tengo una amenaza que va a estar siempre al tanto, porque porque sabe aprovechar de las circunstancias un usuario que al final necesita consumir la tecnología y un proveedor que trasladar son los 3 actores. Vamos a jugar con ellos el proveedor Pues, normalmente el desarrollo seguro, hasta que no implemente, pues la tecnología, tener vulnerabilidades. El usuario pues al final con dolo con culpa, pues al final va y va a acometer una buena acción, Tolosa no va a hacer algo que sin querer o queriendo, pues al final lo compliquen la vida, y siempre hay alguien que va a estar al fecha para aprovecharse de las circunstancias geopolíticas, económicas de la que se trate, porque siempre buscar un beneficio, y siempre lo va a obtener, porque esto da pingües, beneficios, y deciden quién está detrás porque siempre es Porcí, siempre tienes una garantía, siempre van a merecer la pena. El esfuerzo vale, las amenazas las tenéis ahí no voy a entrar en la presentación. Son frases, son ideas, lo quiero deciros, es que esto tiene muchísimo sentido y todos podemos aportar y lo que quiero decir es levantarnos, a vosotros sí me dais, como me explico las cosas. Yo creo en esto. Soy vehemente y 5, 18 horas al día durante más de 20 años. Es decir, creo en lo que hago, vale, y lo que quiero trasladarlos a ver si soy capaz, porque a veces somos más o menos en cuenta. Es esa llama de creatividad. Tiene muchísimo sentido y puedo aportar y puedo conseguir. El vuelo es también el bienestar de mis conciudadanos. Todo esto tiene muchísimo sentido. Vale? Esto es a lo que nos enfrentábamos. Tremendas. Enfrentamos a situaciones geopolíticas; la guerra de Rusia y Ucrania tiene, nos afecta, afecta al mundo técnico y tenemos que intentar predecirlo, hacer prospectivas. Ser listos que es lo que hacemos en el mundo físico del mundo virtual, igual las vulnerabilidades, conocer el contexto, saber a qué me tengo que enfrentar, yo no puedo abarcar y ponerle puertas al pactar al campo, pero sí puedo hacer una cosa. Compartimentar parte del campo de poco el foco. Cuál es mi reto en función del contexto, compartimentar esa parte del campo, que yo puedo analizar y estudiar, porque priorizado y determinado, que fuera para intentar hacerme daño, y, como soy listo, sería inteligente. Hago prospectiva y tengo un contexto de la amenaza me sitúa, y ese es mi reto de conocer el contexto, conocer la amenaza, no tener 300 hectáreas en el radar, porque no voy a ser capaz de gestionar ni manejar un radar con 360º, grados, pero si a lo mejor con 5 con 10, con 15, con 20, teniendo el foco en aquello que es la amenaza, la tendencia o el momento, ese es mi reto conocer. Vale? Además, nos olvidemos que también no solamente la propia tecnología, y que tiene vulnerabilidades también se explota las movilidades de la persona a través de la tecnología, las famosas redes sociales, se aprovechan de la incertidumbre que lo que busca erizarnos que nuestra toma de decisiones no sea eficiente y que vayamos en contra nuestra, con lo cual es otro elemento que tenemos que tener en cuenta. Es decir, al final detrás de todo hay una persona, la persona que cuidarla y cuidar, que esté tranquila, con lo cual tenemos que alejarla de las incertidumbres y herramientas que ponen. El foco, la condensación para distraer de arte y, sobre todo muchas veces también predecir tu comportamiento. Influir tener. No lo podemos permitir ya 20, 23 de acuerdo, 2019 Yo me acuerdo, pero vamos a 2018 con procesos electorales. Yo llevo todos los procesos electorales de España, incluso hemos estado en Colombia, hemos estado en El Salvador y fundamentalmente desde 2019. Ahora mismo acabo de venir. Dice mal hacer las generales y las autonómicas, pero tenemos hecho la Comunidad de Madrid, hemos hecho Castilla y León, es decir, apoyamos y aportamos en que la legitimidad de lo que es más sagrado para todos nosotros, que es el poder, votar, vale e influye todo desde elemento técnico a esto también, y las 2 cosas hay que controlarlas, simplemente saber qué pasa, si es lo que estuvimos, estamos diciendo. Es difícil conocer el contexto para luego tenga que tomar decisiones, tener un criterio y apoyarme en el cumplimiento para que mi decisión no sea basada en el momento ni la situación, es decir reducir la probabilidad de error; eso es lo que estamos haciendo, identificar el sur con aquello que son buenas prácticas y deberías con lo que es de obligado cumplimiento, que sea viable y que no sea luego al final, un callejón sin salida. Ese es mi reto, esto es lo que me enfrento, es decir, a gestionar incidentes quiero decir en qué fases consisten, pero eso ya existe, lo que pone abajo lo que tengo que estar preparado aquí; un concepto que son los que es Cómo me puedo ante una situación manejar. Hay que estar preparada y ese es mi reto y el cumplimiento de ayuda. Por qué? Porque define marcos normativos que dicen que es de obligado cumplimiento, determinados procedimientos y determinados pleitos que son los que tienes que utilizar cuando tienes un incidente que tienen que notificar sin dilación, indebida o que tienes que hacer aquello o lo otro. Pero esa es mi reto. Hacer el mejor cumplimiento, es decir, ni mejor dicho, ni el mejor ni el peor aquel que se adapte a mi situación ese es mi reto. Por eso no es simplemente tener una norma, es interpretar la norma, aterrizar, la y que me sirva, es sacarle, jugo a las cosas. Ese es el reto. Vale, no estamos trabajando y si nos hemos equivocado, como quizá lo hicimos en 2010, en el 2015, en el 2022 vemos con una aproximación que hace que esto tenga sentido porque hay que ser humilde y aprender de las lecciones. Vale? Es fundamental, es lecciones de vida. Vale? Al final, como expongo aquí a la izquierda, no podemos tener esa a la izquierda es decir es escuchar entender y apoyar es decir a las entidades que aplica a todo esto hay que saber cuáles son sus necesidades y cómo las pueden gestionar. No le puede pedir nada que no tenga sentido lo que fue la última reunión que estuve aquí. Bueno, en otras situaciones no identificar lo que son buenas prácticas, lo que es la norma, y, sobre todo nunca te olvides de quién va dirigida. No puedes regular sin a 3 pensar o preguntar o saber quién la tiene que llevar a la práctica. Si te olvidas de eso, hace falta una norma, no sirve absolutamente para nada, vale. Entonces esos criterios son fundamentales y es lo que hemos hecho. Al final toda esta sala, en una reunión los conocemos. Acabamos de venir a La Palma, estuvimos viendo el tema de volcar, pero también estuvimos en el observatorio, en el Grantecan, el observatorio de antes Canarias vale el Grantecan, que tiene a su su responsable técnico, saber cuál es su mayor problema a día de hoy, cómo se adecua al esquema nacional de seguridad. Esa es la realidad, porque fuimos a la palma, porque está el Instituto Astrofísico de Canarias, porque están preocupados de cómo hacer la central desde el 2016, es decir, nosotros no vamos con la propaganda, hay que imponer un marco de referencia, sino que el usuario es consciente que tiene que aplicar un marco de referencia, y lo que le pide que luego pondremos en algún sitio es el acompañamiento, tiene, ayudemos a interpretar la norma que se lo facilitemos y que no llevará a practicar. Eso. Es lo que valora enormemente y es súper motivador, cuando digo que mi equipo son de chicas y que al final vienen de los 2 mundos, también les digo que si en el equipo, porque al final de todo lo que trabajan esto les motiva muchísimo para ellas es adictivo no sé decir por qué, pero cuando tu contribuye es solucionar problemas y es que esto escala y fluye, al final te motiva mucho, vale, y esto es el cumplimiento. Esa parte que hacen el mundo técnico no se debe despertar, esa llamada no hay diferentes hitos. Una cosa importante es el Gobierno. El Gobierno determina el comité errores y responsabilidades como Ibarra, la práctica Gobierno, luego el resto vale. Tienes que tener perfiles de cumplimiento que sean viables. Tienes que aplicar modelos deciden si va todo el resto. Yo quiero insistir en eso que vosotros yo creo que os pueden ir bien, de cara a pensando a futuro. En el Gobierno y en la gobernanza hay que adelantar prevención proactiva. Tienes que tener capaces de seguridad, hay que ser eficiente, persona toma de decisiones y, fundamentalmente, lo que les he dicho, acompañar nuestro reto, y por eso le pongo aquí después de los de 2016, no, que es cuando, como quien dice yo lidero el proyecto del esquema nacional de seguridad, lo que se ha buscado es cumplir con cada una de esas cosas. Adelantar tal plan, anticiparse capaces de seguridad es tener productos locos que tengan sentido, pero a ver ser eficientes, pero nos dimos cuenta fundamentalmente, que había que acompañar y acompañarnos un caos, actitud llames, y tendría una respuesta o tengan unas fake que no va de esto es facilitar que instemos plataformas, que automatizan todos los procesos; una base de datos que te sirve para copia y pega, que te ayuda, que siempre te dan recursos para decir cómo tienes que hacer las cosas, y no solamente dice el copo sino que da utilidad tenerlo es el reto eficiencia automatismos plataforma no sé si me explico o no es el esfuerzo individual de un responsable de seguridad que hace algo, sino al final lo que intenta es colectivizar. Intentaré aunar los esfuerzos para tener una doctrina, por decir alguna manera, una metodología que tenía la práctica. Todo esto, y eso se está haciendo, es lo que quiero decir. Luego lógicamente hay que ser listo que identificar cuáles son el top 5 de dificultades que tenemos en el mundo técnico. No tenéis aquí contra si me permite la expresión. Mi marco normativo tiene que atender aquello de la amenaza. Está poniendo el foco para aprovecharse como métodos de ataque. No es el mejor marco de referencia, es el marco de referencia que hace disuadir a la amenaza. Este es el top 5. Todos entran porque tienen las redes por el porqué me aplicase mínimo privilegio, porque no tienes una mentada, porque expone sus credenciales, y marco normativo tiene que atender eso, porque ese nuevo marco normativo no va a ser capaz de mitigar la tendencia del momento. Por eso tiene que ser dinámico. Tienes que nosotros tenemos días, etcétera. Tiene que hacer algo que vaya atendiendo marco de referencia muy global, y con guías que hayan atendiendo al momento y te sirva la pauta para solucionar el problema. Luego aquí tenéis la estrategia. No voy a entrar en ella por el tiempo, pero bueno, siempre me gusta que, aparte de contar las cosas, no tengáis el power point, el PDF lo que sea y lo podéis consultar porque va todo el trabajo que vamos haciendo durante 20 años, es decir, no hemos llegado aquí y lo vendemos porque toca, sino porque es lo que hemos estado trabajando y es nuestra experiencia, no. Luego, como decía, también hay que identificar el 5 de dificultades que tenemos, es decir, cuál es dentro del marco normativo. Aquella norma que más me cuesta, la tenéis ahí marco de gobernanza, con lo cual cuando hicimos un proyecto cogemos las 2 líneas línea técnica inanidad, el marco de gobernanza y minuto 1 Por qué Porque cuesta, primero, asumir responsabilidades y el marco normativo tiene que pasar por un comité ético, y alguien tiene que firmarlo mientras no lo firmen el marco normativo y meterlo; tenga, no tenía implantación en el terreno, tenga, tengo adecuación y meterlo, te como puede, adoptar criterios por eso es importante en el Gobierno y la gobernanza de extenderme mucho más y luego siempre la interpretación. Siempre hay medidas compensatorias y siempre medidas complementarias. De vigilancia las aplica a cualquiera, no las ha aplicado el dueño del esquema, la autoridad competente en este caso es el Centro Criptológico Nacional. Es decir, no vale cualquier cosa vale aquellos que nosotros asumimos el riesgo de que para llevar a la práctica, pero siempre hay una salida siempre pasa en la interpretación, en el conocimiento y en el contexto eso lo quiero contar, por eso es importante tener personal legal que interpreta la norma y te llevan a la práctica, porque luego tengo auditores y me acompaña de auditores con muchísima experiencia para que la evidencia tenga sentido. No es lo que yo quiera, es lo que dice la norma, pero tengo auditores que no haya interpretarla y al personal de legal que me ayuda a implementarla y lo que estoy haciendo no. Eso es la clave de todo esto. Para tener una gobernanza para final, tienen mejora, continua parto de una foto, y esa foto tiene que evolucionar. Tengo que hacer que evolucione y el marco normativo lo tiene que favorecer. También lo estamos haciendo así también vale. Es decir, al final simplificar ese evolucionar es creer lo que estamos haciendo, poner medidas, ponerlas a medio a corto, a largo plazo e identificar lo que queremos y, sobre todo, mañana, que pueda hacer para seguir siendo mejor que no me lo invente, que no rinden en la rueda. Tienen una hoja de ruta establecida. Vale? Entonces las ventajas, todas ellas mediante las podéis ver luego con tranquilidad, pero todas nos puede decir si las lees es sentido común, es lo que haríamos todos, pero con un sal sea viable y traumático, sentido común donde te obligas, pero no obligas, porque mire, el superexperto dice que esto se haga. No porque atiende, es consultas, escuchas y crees que esto se pueda aplicar entonces aplicarlo porque entonces, si no, la aplicadas no es porque no puede ser, es porque no quieres, y eso es donde a cada 1 nos toca. En lo más de dentro no. Al final todo se basa. La postura de nuestro barrio es que nos ayuda y siempre deciros. Esto es decir que esto es viable. Esto es lo que es. Un proyecto lo empezamos como pueden ver en abril y prácticamente 2 meses. Podemos conseguir adecuación nosotros esto suena bueno que será esto, pero nosotros cuando habláis del esquema nacional de su ley cualquier marco de referencia, y es que en 2 meses se hacen adecuación básica, contra eso es la bomba, no es lo que estamos haciendo, vale, en definitiva, porque en ese y aquí voy a vender DNS Brasi es es una comunidad, es un cambio cultural, es lo que quiero trasladar, es creer en lo que estamos haciendo. Vale? Eso es lo que somos en en ese y luego son muchísimas cosas que me quedo con el titular. No sabían plantear las medidas. Nos ayuda a obtener una visión global de las medidas de seguridad. Es dinámico a Zaragoza. Se adapta la necesidad del sector unificación de criterio técnico de las certificadoras en tiempo real. Tienen los certificados robos. Usted, vigilancia continuada, flexibilidad a las auditorías es un pedazo de esquema que tiene un Gobierno del que quiero y con esto termino; es decir, no me extenderé mucho más por el Senado, Manuel lea ya. Me va a sacar la tarjeta roja. Lo que os quiero decir que todo esto tiene mucho sentido y que os puede dedicar a la ciberseguridad dentro de los ámbitos de derecho que haya, porque con vosotros y con la interpretación adecuada y con un conocimiento conseguiremos que la ciberseguridad tenga muchísimo sentido y que nuestros conciudadanos puedan utilizar la tecnología y ese ciberespacio una manera segura y confiable. Ese es nuestro reto, y si quiere es ese país que tenéis esa capacidad para hacerlo. El futuro está ahí; simplemente es lo que quería contar y, como siempre desvelar un auténtico placer estar aquí nada. En Cataluña. Muchísimas gracias, Pablo, porque te has ceñido a costa de una aceleración evidente. Al tiempo que vamos a algo escaso, sí bueno, paso ya a presentar al siguiente ponente, es don Héctor la hice Báñez, que es graduado universitario en comercio internacional por la Universidad de León y a esto suma un máster en innovación y transformación digital por la boca; ha trabajado en la gestión de exportación de La Rioja y en la investigación económica del vino, en el Instituto de Investigación de la Viña y el Vino, en la Universidad de León, y desde 2022 se desempeña o trabaja en el Centro de Coordinación Nacional del Centro Europeo de Competencia en Ciberseguridad. El Incibe colabora de forma honorífica con el departamento de dirección y economía de la empresa, de la Universidad de León, y, bueno, allí realiza investigaciones varias sobre economía digital y tecnologías emergentes, y ahora ya Héctor pues cuando quiera lo vi por favor 20 en 5 minutos bueno gracias Magnolia lo primero agradecer a la Universidad de Murcia Julián por ofrecernos la oportunidad de estar aquí yo creo que, bueno, desde Incibe y la Universidad de Murcia ya son varios años que llevamos colaborando entre ellos a ser iniciativas como como cercana y, bueno, además, a lo largo de este año se van a firmar distintos convenios de proyectos estratégicos. Por lo tanto, yo creo que no puede entenderse la ciberseguridad ahora mismo en España sin la colaboración entre las esferas público -privada y académica. Bueno, yo hoy mi en mi presentación lo que voy a buscar esto que no soy ni técnico ni jurista soy economista, es venderlos porque la universidad la porque la ciberseguridad importa en España, en Europa y porque vosotros, como juristas, tienes que tener en cuenta que son necesarios para afrontar los retos que tenemos por delante. Vamos a empezar primero, comprendiendo cuál es el panorama de la ciberseguridad. En España, España es un país que en cuanto a capacidades de ciberseguridad está bastante desarrollado en el índice de delito. Somos el cuarto país a nivel global, el segundo a nivel de la Unión Europea, para dar gracias a ellas, Reino Unido. No está. Si observamos el tercero y este es este, este esquema se se articula en España a través de distintas agencias; es un modelo donde influyen varias organizaciones. Por un lado, tenemos en el Ministerio de Defensa, pues el CCN como han podido Pablo comentado; si el mando conjunto el ciberespacio también tenemos, lo que depende de Interior Cnpic, Guardia Civil, Policía Nacional y nosotros dependemos del Ministerio de Asuntos Económicos y Transformación Digital. Desde Incibe. Nuestra labor es velar por la confianza digital de ciudadanos y empresas, red académica y sectores estratégicos; nosotros encima estamos en León, no estamos en Madrid, es una estrategia de descentralización si no seáis esto, León nos recomienda, oírse como muy bien en su sitio, muy bonito. El Incibe se crea en el 4.000 2006, con el nombre de Inteco, y a partir de 2014 se pase a Mar, Incibe, dada su focalización en la ciberseguridad nos encontramos en un momento, como también en la mesa redonda anterior. Hemos podido ver en que, debido al proceso de digitalización que estamos viviendo, surgen una serie de oportunidades únicas a nivel social, pero también esto implica que incrementa la superficie de riesgo al incrementar la superficie de riesgo. Esto lo podemos ver tanto como una amenaza o una oportunidad en el caso nacional, pues hemos intentado distribuir a través de distintos documentos, como puede ser la estrategia nacional de seguridad, una estrategia nacional de ciberseguridad o el Plan España digital, las distintas competencias que van a recaer a organismos, como puede ser el CCN, o Incibe de cara a desarrollar la ciberseguridad. En España. Nosotros, en Incibe, tenemos 3 ejes que es. Fortalecimiento de capacidades de empresas y pymes, ciudadanos, impulso de la industria de ciberseguridad y fomento de España como 1 de internacional de ciberseguridad. Esto va normalmente a nivel nacional, sistema objetivos que se aterrizan en programas y en iniciativas. En nuestro caso, pues tenemos 4 iniciativas tampoco voy a detenerme a explicarlas confidencia. Emprende ciber, innova y talento, jaque a partir de la cual se desarrollan distintas iniciativas. Aquí ya empezamos con los números. Nosotros, por ejemplo, desde Incibe únicamente desde Incibe, gestionamos 118.000 incidentes al año, es decir, 17 incidentes a la hora. El mundo digital te pueden caer por todos lados. Es decir, al final los 1.000 se mueven a la velocidad de la luz. No hace falta estar próximo físicamente para que tengas un incidente. Los ciberdelincuentes pueda estar en cualquier parte del mundo. Nosotros desde España, no tenemos que preocuparnos únicamente de España, tenemos que preocuparnos de amenazas, que vienen de todo el mundo. Estos incidentes pueden variar en su peligrosidad. Esta peligrosidad depende, pues, por un lado, de la probabilidad de que ocurra el evento y, por otro, del impacto que puede generar la mayoría de incidentes. Pues bueno, tienen que ver con fraude, con sistemas vulnerables, con más Wert, con robo de información y la gran mayoría de los incidentes que nosotros personalmente gestionamos. Son de ciudadanía y empresas, también tenemos en torno a un 7, 6,7 por 100 de incidentes de red académica y de operadores críticos y esenciales. Evidentemente, en una sociedad tan interconectado como la que estamos los sectores críticos, un incidente, un ciberincidente puede conllevar situaciones verdaderamente graves. Véase lo que ha ocurrido en Sevilla, en el ayuntamiento. En este caso eso recae en las competencias del CCN, puesto que el sector público, pero pero a lo largo de los últimos 10 años de la última década hemos tenido incidentes a nivel mundial que han afectado a infraestructuras críticas y que han permeado a distintos países sin poder parar en España. Según según nuestras nuestros datos, hay 3.300.000 dispositivos vulnerables. Esto de nuevo volvemos al concepto de superficie de riesgo y cada año sigue aumentando. No, no vamos a tener menos dispositivos vulnerables puesto que Qué actualmente a nivel mundial ya estamos hablando de cientos, decenas de miles de millones de dispositivos conectados que tenemos luego otro proxy que puede servirnos para entender la magnitud del problema. Es las las consultas que recibimos nosotros en 0, 17 de 17. Es un número de ayuda para emergencias digitales, como pueden ser el 112 para emergencias físicas, pues el 17 para ciudadanos y empresa en este caso estamos hablando de 70.000 llamadas anuales, de nuevo son unas 10 llamadas a la hora; son unas cantidades verdaderamente pasmosa; en este caso no solo hay técnicos también y psicólogos detrás de la línea, porque un porcentaje muy alto de estos incidentes están relacionados con ciberacoso, sexting, y no siempre hay adultos; detrás de la línea telefónica también hay muchas veces menores. Entonces, no es un problema únicamente que pueda afectar en el ámbito profesional, sino que en el día a día ya estamos encontrando que desde las edades más tempranas las personas son sujetas a este tipo de incidentes. Pasando al nivel mundial, para que os hagáis una idea de la magnitud del sector de la ciberseguridad, estamos hablando que en 2028 es posible que los ingresos alcancen los 250.000 millones de dólares. En Europa, España se sitúa en función de quién contabilice los datos en torno al cuarto quinto. Sexto lugar, y la Unión Europea, en el quinto. En cuanto al tamaño del sector y aquí llegamos a 1 de los grandes retos de la ciberseguridad a nivel mundial, la brecha de talento que existe según esa escuela, que es una de las principales organizaciones, organizaciones acreditadas de acreditadoras y de formación en ciberseguridad. Hay 3 con 5.000.000 de profesionales que faltan en ciberseguridad en todo el mundo, y la previsión no es que este número vaya a reducirse. Cuando salga el informe del 2023 vamos a encontrarnos con que la cifra va a ser 3 con 8.000.000 en España aquellos hablan de 38.000. Nosotros el último, el último informe que hicimos hablaba parecido 43.000 profesionales que faltan en ciberseguridad de nuevo una oportunidad de mercado de 4.000.000, 12, ceros de dólares y el coste del cibercrimen en fondos. Según varias fuentes estamos hablando entre 5 con 5 6.000.000, luego ceros de dólares a nivel mundial, 2 con 5 veces el PP de España. Aquí llegamos a la situación donde ahora mismo se encuentra Europa; Europa se encuentra en una encrucijada geoestratégica; por un lado, cada vez Europa es menos relevante en términos digitales con respecto a Estados Unidos con respecto a China, y desde hace unos años Europa ha tomado la decisión de apostar por su soberanía tecnológica, este concepto. Quienes en un futuro o se os vayáis a inmiscuir con los asuntos digitales vais a acabar aburridos de verlo esto. La soberanía tecnológica, implica que Europa lo que busca es depender menos de agentes terceros en términos digitales; para ello ha establecido en los ámbitos de actuación, como puede ser resiliencia, capacidad operativa o cooperación internacional Cómo va Europa a aterrizar esta estrategia Pues con 2 mecanismos. Por un lado, financiación para desarrollar capacidades de I más D más i en ciberseguridad. Aquí estamos hablando de distintos programas europeos de ayudas; como puede ser hereditario, el programa Hora. Eso, aunque es un programa que nuestros colegas de la universidad suelen estar bastante familiarizados con el dado, dado que es un programa de investigación y el defensor el Fondo europeo de defensa, que ya hemos llevado a un punto en el que ya se concibe la cooperación entre todas las esferas, ha habido así por haber ya no solo cooperación público, privada o cooperación público -privada y academia ya es cooperación, son Civil, militar privada, academia aquí en la ciberseguridad. Es un problema tan transversal que hace falta una de las capacidades presentes en todos los ámbitos, luego la otra pata es el derecho. Cómo puede garantizar Europa que es soberana tecnológicamente y defiende sus intereses ante proveedores externos? Bien sean principalmente estadounidenses o asiáticos a través de las regulaciones. Aquí en este abanico tenéis lo que está por venir y lo que está viviendo en los siguientes 3. 4 años relativo a legislaciones y directivas europeas en materia de ciberseguridad y digital. Quien vaya a dedicarse a esto durante los siguientes 5 años va a perder el sueño. Con todo lo que está por venir lo principal es la directiva europea. En estos, en España ya hemos traspuesto, exitosamente ni sumo mis 2 A de trasponerse antes del 16 de octubre de 2024, pues a través de los distintos flujos de trabajo estamos trabajando en ello con respecto a ni son Onís 2 amplia los sectores que denomina como esenciales críticos, e incorpora sectores importantes esto afecta prácticamente a todo el mundo, a las entidades públicas y privadas, esenciales a todos los proveedores de estas entidades esenciales y a los equipos de respuesta que están presentes en los países, para garantizar la lucha contra los incidentes, dar respuesta a los incidentes; aquí tenemos otro, la ley de ciberresiliencia, este, esta es otra ley que va a dar bastante que hablar va a ser parecida, seguramente en efecto a la región cuándo cuando entren acción, porque también se se plantean penaltis, paralizaciones, sanciones, sanciones; se plantean sanciones muy altas y básicamente va a aplicarse a todos los productos y servicios con componentes digitales que ya ya solo con la definición de productos y servicios, con componentes digitales; llevan año y medio en Europa, dándose puñetazos, para ver qué entra y que no entra en el alcance de esta ley ya veremos que entre que no entra, porque gradualmente se ha ido reduciendo. El alcance de, en este caso la férrea, por ejemplo, hay cosas como el software ofensor, código abierto, que queda fuera para intentar buscar, no penalizar, el desarrollo de iniciativas o pensar, como podéis comprender, productos y servicios con elementos digitales. Esto, eso el reloj que llevéis en la mano todo lo que podéis imaginar. Esta es otra regir la regulación nueva no afecta tanto al sector privado, pero, pero fue anunciada el 18 de abril la Ley de cíber solidaridad. Básicamente esta ley viene viene a coger la estela de lo aprendido en en Ucrania con respecto a la respuesta a ataques masivos en muchas ocasiones respaldados por por agentes, Gobierno tiene 3 patas. Un escudo europea de ciberseguridad, un mecanismo de urgencia, mecanismo de revisión, pero de nuevo otro, otra, otra ley europea que, que ha surgido de un año para acabar la tendencia va a ser a que tengamos vosotros como juristas. Quién se va a especializar en esto? Cada vez es la carga de trabajo. Aumente de forma exponencial. Bueno, DORA como podáis; imaginarnos la exploradora. Hay mucha gente que tiene, que conozco colegas que que no duermen por las noches. Pensando en esto, DORA es la ley de resiliencia operativa digital juraría en castellano, dado por ahí si no recibe esa en este caso, esta aplica al sector financiero y digital, a prácticamente todos los componentes del sector financiero que, bueno, partimos de un sector que es bastante maduro en términos de ciberseguridad, pero aun así final el el diablo está en los detalles, son procesos que tardan en avanzar de nuevo, DORA, ha de trasponerse a las legislaciones nacionales, y pues ya veremos cuál va a ser el efecto real en todos los operadores financieros que hay en el mercado que, como podéis comprobar, no son solo entidades de créditos de pago de criptoactivos. También estamos hablando de empresas de seguros, organismos de pensiones, de jubilación. Por lo tanto, cualquier organismo que maneje forma muy coloquial dinero va a verse afectado por DORA. Aquí tenemos otras legislaciones que quizás están más relacionadas con lo que puede ser el contenido de la cátedra de identidad digital y derechos digitales, pero tenemos, por un lado, la legislación de instituciones, órganos y agencias de la web, que es un poco más de ámbito competencial público, pero también tenemos la la, la nueva ley sobre sobre identidades digitales en Europa, que de nuevo va a traer de qué hablar, porque 1 de los entregados, principales, 1 de los objetivos principales de esta ley son los monederos digitales, que ya es es un tema que entra en cuestiones éticas, de privacidad, que, que de nuevo es una entrada en juego, una amalgama de de sectores que habrá que decidir en qué queda ayudas 2. Luego el la ley de datos, que juraría que Antonio comentó antes en su intervención. En este caso estamos hablando de datos generados por dispositivos de OT, de Internet de las cosas, automáticamente. Es decir, actualmente el 95 o 99 por 100 de los datos, la gran mayoría de los datos, la ley de inteligencia artificial que se ha podido comentar antes, que también tiene provisiones en ciberseguridad y la ley de chip que está más más enfocada a desarrollar ecosistemas de semiconductores en la Unión Europea. De nuevo, volviendo a esta estrategia de soberanía tecnológica los conductores es un ámbito donde Europa carece de músculo, y una de las medidas es este reglamento para buscar, impulsar los los la industria de éxito a nivel comunitario y luego, por último, las últimas 2, que estas seguramente vayan a mí ya están protagonizando bastantes titulares el límite al servicio de la ley de servicios digitales y la Ley de mercados digitales editan marquesa estas leyes afectan a los grandes proveedores de servicios digitales, a las grandes plataformas, de que nos encontramos en Internet a todos los proveedores americanos; los los GAFA, fangos los acrónimos que queráis utilizar, se ven afectados por estas 2 nuevas legislaciones, que han sido recientemente rastrear. Ratificadas. Sí que a lo largo de estos siguientes meses procederán a trasponerse a las legislaciones nacionales. De nuevo habrá que definirse quiénes, quiénes son los organismos competentes de todo, todo, todas las labores, de sus velas, de vigilancia, de cumplimiento normativo que van a surgir de la implementación de estas estas legislaciones, pero desde luego que son 2 de los paquetes legislativos más importantes ahora mismo a nivel europeo, de cara al mercado único digital este sería un poco el resumen. Tenemos leyes, tenemos directivas, luego hay otros 2 actos de ejecución legislativas especiales, de los que trata mucho, pero digamos que son específicos de ciberseguridad en el sector eléctrico. Hagamos de utilities y en el sector de aviación, y me faltaría que una diapositiva, pero puesto que hay en Europa la falta que hay de profesionales en ciberseguridad, Enisa, la Agencia Europea de Ciberseguridad, 1 de sus una de sus prioridades actuales fundamentales, es achacar poner fin a esta falta de profesionales en ciberseguridad. Han creado un marco de referencia, el FSF para desarrollar las competencias en ciberseguridad, conciben 12 perfiles de profesionales en ciberseguridad, cada 1 con sus habilidades propias y 1 de los perfiles es el responsable de todos los temas de polis y normativos ilegales en las organizaciones. Así que en este sentido yo se invita al que está interesado en acceder al manual de Enisa sobre estos perfiles de ciberseguridad ver un poco más con detalle cuáles son las competencias que tendría una persona encargada de los temas legales en una organización y luego mayores hay una nueva iniciativa la Comisión Europea la academia de cíber competencias que en este caso va a buscar aunar todo el contenido que haya a nivel europeo con respecto a certificaciones y cursos en ciberseguridad, luego a partir de ahí lo lo clasificará en una taxonomía y de nuevo de forma inminente hay, habrá material, para que, en caso de que consideréis, que hay suficiente trabajo en ciberseguridad y seáis valerosos, aventureros en este camino. Podréis podáis tener formación de sobra tanto a nivel comunitario como a nivel nacional, como para desarrollar las competencias necesarias para comprender mejor cuál es este corpus legislativo que esta está por venir. Si que un poco esa sería mi intervención, espero que tengáis una mejor idea de cuál es la realidad actual de la ciberseguridad y porque el derecho importa en Europa en ciberseguridad. Gracias. Muchísimas gracias, sector que ha ceñido al tiempo, incluso vamos sin necesidad de que hiciéramos una llamada de atención y bueno, hay una idea que ha quedado clarísima y es el potencial laboral que esto tiene en un futuro. Yo eso creo que a lo mejor por ahí vienen una serie de preguntas para profundizar, pero bueno, una vez ya concluidas las 2 intervenciones, pues seguro que hay preguntas para nuestros ponentes. Hay preguntas. No. Ahora sí de nuevo por corromper el hielo. Si a lo mejor en el caso de Pablo así es muy joven, todavía sigo un hijo tuyo o una hija tuya, que estudiase el cuarto o quinto curso en este caso son estudiantes. La mayoría del grado en derecho ya de formación jurídica. Se me oye, pero como hay gente siguiéndonos por Internet también que puedan escuchar la pregunta, decía que en tu caso te puedes tomar o pequeños, no tenemos una pequeña o para el otro hijo o hija, se quisiera dedicar al tema de la ciberseguridad y tenga una formación de base jurídica o un poco más transversal, como puede ser el caso de los estudiantes de grado en contenidos digitales. Cuál sería el itinerario concreto que le sugeriría y no a la hora de adquirir esa formación, con las oportunidades que tú has explicado muy bien en la parte final de intervención en torno sea que recomendaciones de tipo práctico le daríais a mí se me ocurra ahora en el caso está comentando algunos estudiantes que tengan interés en formarse como delegado o delegada de protección de datos. Yo decía. Vamos a hacer unas prácticas en una empresa que se dedique a esto esto y hacer el eje, el trabajo, fin de grado que a veces no se sabe muy bien a qué dedicarlo? Pues quizá a aprovechar esta oportunidad académica, la universidad, para conocer el marco normativo para estudiarlo, para analizarlo. Por cierto, en la cátedra de entidades digitales todos los años sacamos un premio al mejor trabajo, fin de grado, un tema de hecho, digital, y también trajo fin de máster, de manera que si alguna vez pensáis hacerlo sobre estos temas que no tengáis en cuenta, aprovecho la publicidad, seguramente. Estas son oportunidades que tenéis hay encima de la mesa no oye pues hay empresas yo queremos como decía al principio de la sesión, o queremos enseñar algunas de ellas, algunas opciones de formación concretas desde los talleres, como decía, del día 10, el día 24, pues ahí hay una oportunidad a buscarse un poco la vida contacto, yo puedo proporcionar, podemos proporcionar de la cartera ese tipo de contacto con empresas que se dedican profesionalmente a esta actividad, el trabajo fin de grado, pero bueno, acaba en la universidad, con su grado, en el bolsillo, con ese grado, que espero que estén en soporte digital, Monedero, o en la cartera digital de ayudas, no. Y a dónde vamos? Qué hace? Pues lo has dicho todos, no nosotros. Una de las cosas que hacemos, y también lo que aconsejo a mi hija, mi jactaba sí motrices, quiere consejo. Mi amiga ha estudiado marketing, gestión comercial, no? Pues lo que siempre ha aconsejado escoger experiencia, no coger experiencia en el ámbito que ya le gusta y donde ya se desarrolla, no pasar por yo creo que es fundamental, no? O sea que esa capacitación lo que la universidad te ha enseñado al final tienes que aterrizar y tuvimos que interiorizar y hacer prácticas es fundamental, es algo que hacemos nosotros. Nosotros también tenemos como un conglomerado de empresas que trabajan para nosotros, porque esto es cooperación público -privada, es decir, nosotros no tenemos ese musculado de las empresas y las empresas, nosotros siempre buscamos algún tipo de hueco para la persona que está interesada en hacer esto no es la primera vez ni en el segundo caso, no incluso dentro de las empresas. Dentro de esta estrategia contada de acompañamiento, esa parte de familiarización, nosotros formamos también es decir, esta estrategia o el uso de las plataformas, también a consultoras, para que forman a su gente, y al final esto se vaya extendiendo. Es decir, no es que no José quede solamente en el jefe de entonces, lo hacemos desde las consultoras, que al final se genera un negocio que demanda también tener a personal, que le apoye, no, ya se ha entendido como becario, etcétera, pero las 2 opciones que ha saltado tras compró totalmente. La primera es trabajar en una empresa y desarrollar profesionalmente cuanto antes para identificar qué es lo que te gusta, cuál es tu ámbito y a partir de ahí como has dicho, el posgrado en aquello que tú consideréis no lo que ha aconsejado amiga no, ciberseguridad es lo que ha hecho, y ahora está trabajando, no, y creo que está contenta, sobre todo motivar, buscar aquellos aspectos que a ti te ayuda y nosotros facilitamos, lo que no es tampoco lo que hacemos. Aquí todo el mundo te puede llamar, pero si hay determinados casos bajo peticiones más concreta, facilitar ese puesto de becario a una empresa que ayuda a conocer cómo trabajamos y que ayuda también, como decía a permear un poco todo alrededor del ecosistema, este público privado. Yo desde luego que dar la razón a Pablo en cuanto a que desde desde CCN Incibe ofrecemos formación a los ciudadanos, especifica ciberseguridad y luego sí que me gustaría comentar que, por ejemplo, una persona que haya acabado universitario, que da igual, orientarse al mundo de la ciberseguridad. La semana pasada tuve el placer de compartir una mesa redonda. En Segovia hubo un evento de Enisa sobre el marco de referencia de competencias que han creado con estos famosos 12 perfiles, y había una profesora de la universidad abierta de Chipre Eliana que han creado un grado en ciberseguridad que está completamente alineado con este marco de referencia de competencias de Enisa Eso qué implica? Que ofrecen un seguimiento personalizado en función a estos perfiles, a todos los alumnos. Tú puedes llegar allí y tener idea de. Bueno, yo quiero especializarme y ser un 20 Ester, que puede ser 1 de los 12 perfiles y ajustan la docencia justa. La formación de esa persona al perfil de 20 Este yo quiero ser jurista en ciberseguridad ajusta a la formación del máster para aquello sea jurista, ciberseguridad. Por lo tanto, me parece una oportunidad única de cara a reforzar la calidad de nuestros másteres universitarios, que en un momento dado no solo forma Adif, no solo profesionalice, no solo forme a las personas en ciberseguridad sino en perfiles concretos que solucionan problemas concretos en ciberseguridad, como puede ser este caso, un máster alineado con el cese de EFE y luego también claro, como alumnos. Reclamar eso a los a los docentes, no, es decir, yo me gustaría que hubiese un máster donde pudiera haber distintas opciones dentro de lo que es tan grande como como la ciberseguridad, y luego por concluir desde Incibe, sí que estamos lanzando iniciativas de cátedras con universidades españolas para que se desarrollen más grados en ciberseguridad. Grados universitarios, no únicamente másteres. Por lo tanto, en los años venideros cada vez va a haber más oportunidades de formación en España. En cuanto a ciberseguridad y, por ende, en cuanto a ciberseguridad y derecho. Buenas tardes, felicitar por la magnífica se exposiciones y la claridad con que la habéis hecho generalmente el derecho va siempre por detrás de la tecnología y la tecnología, siempre por detrás del cine de ciencia ficción. En 2007 surgió una película que fue la jungla de cristal, 4, que en su día fue muy polémica, porque se hizo cómo habían podido hacer eso en el cine por todas las ideas que daba, como tumbar una ciudad, atacando sus servicios fundamentales. Este mayo ha salido otra película que es misión imposible, 7 no sé si la han visto donde una inteligencia artificial, llamada la entidad, es capaz de hacer creer que está viviendo una realidad que no existe, y mi pregunta es. Tenemos en España gente que esté pensando en esos futuros ataques y como pararlos en ir un paso por delante de estos futuros ciberdelincuentes. Gracias. Digo que en a experiencia no, lo que estamos ahora mismo a día de hoy es aprovechar esa tecnología tecnologías en estás hablando día 3 de artificial, perdón, esos aspectos. Lo primero coincido totalmente lo que has dicho es decir, el ámbito legal dedicado a la tecnología tiene que ser mucho más dinámico y mucho más ágil. No es como el mundo físico, no te permite sus lujos y en los tiempos aquí no, entonces tiene que ser mucho más dinámico. Por eso, donde la identificación que te decía de cuáles son los saldos, etcétera, no respondiendo a lo día la pregunta de forma ajustada retribución personas agosto, porque es el camino a seguir respecto a la inteligencia artificial, pues lo que estamos intentando ahora es aprovechar al máximo posible tener la inteligencia artificial, es algo que no sustituye que con con que complementa, que la pregunta es hacia la otra manera que hay que enseñarle y que tienes que ser más eficiente y automatizar. Los procesos que estoy haciendo yo en mi caso concreto es de horas de incidentes, otras herramientas tabla de ello concreto. No estamos aprovechando, como incluyo, esos motores, como me aporta, valor añadido, y hacen que el trabajo de análisis y consultoría que puedes hacer, sea consultoría de determinados contenidos, pues sea mucho más, más eficiente y, sobre todo, aprender para luego dar el siguiente salto. No; es decir, yo creo que tenemos eso, tenga eso y sepa de qué va esto. Entonces podremos saber cuál es el tipo de ataque y cómo hacerla contra medida tal como lo veo yo, es decir, vamos paso a paso, yo creo que nos queda ver cómo lo consumimos y cómo nos aporta todos los mensajes a través de los filtros que tú puedes poner para servir a servicios, sino como la puede utilizar. Me da aprovecho, tengo un servicio basado en mía que aporte a mí para mi negocio de ese valor añadido y a partir de ahí ver cuáles son esos vectores de ataque. Esas vulnerabilidades para estudiar quién las pueda explotar para mitigarlas, tal como lo veo yo, se habrá tenido que en otros aspectos a lo mejor otra agencia, otra entidad ha evolucionado más, estamos en eso, luego está puesto lo que es hora, eficiente de los algoritmos, etcétera. Pero es que la inteligencia artificial se basan preguntas otra cosa que tenemos que saber, es decir, tú preguntas, cosas si te responde, es decir, no automáticas algo. Ese es otro tipo de tecnologías, inteligencia artificial. Es tú preguntas. Un tipo de pregunta lo que busca es que tenga el contexto para contestar, como le digo, con lo cual todavía nos falta sacarle el máximo provecho, a partir de ahí; vulnerabilidades, debilidades como se explota y ver cómo las mitigamos no entramos otra vez en acciones. Soy muy personal. Bueno, totalmente de acuerdo con lo de que el derecho avanza mucho más lento que la tecnología, un ejemplo de ello y a tenor de la inteligencia artificial ha sido lo que ha ocurrido con la propia Ley de inteligencia artificial. Había una imagen más o menos clara de lo que podía ser la ley de inteligencia artificial cuando han llegado estos modelos de lenguaje extensos, como pueden ser jefe de 3 puntos, 5, 4. En Europa ha cundido el pánico y ha habido que hacer modificaciones en el último momento, porque al final el problema de legislar es que no es hacer control de control. Con lo que me parezca en esta cover flow, es decir, lleva a llevar tiempo, hay muchas partes que y posiciones que acomodar y es un proceso lento, así que desde luego hay veces que en Europa, una legislación que puede trasponerse a nivel nacional en 2024 se ha redactado, teniendo en cuenta la realidad de 2020, suficiente eso en el mundo actual ya veremos, no sé y con respecto a que alguien está pensando en los futuros desafíos que puede plantear la inteligencia artificial, otras tecnologías emergentes, pues bueno, yo diría que el colectivo, que primero piensa en estos problemas, suelen ser los perfiles más filosóficos, en este caso, por ejemplo, el tema de la inteligencia artificial. Los trans, humanistas, no son los trapos humanistas por bueno, son casi una corriente filosófica que llevan planteando cuestiones de inteligencia artificial desde hace 20 o 25 años sobre si tiene siempre la inteligencia artificial es un ser es un ente entonces claro esa gente nos lleva muchos años de ventaja, también son filósofos, se dedicará a pensar este tipo de cuestiones. Por ejemplo, con la computación cuántica, es 1 de los elefantes en la habitación. No. Vamos a tener que adaptarnos a un mundo cuántico no sabemos cuándo va a llegar ese pulmón mundo, pues cuántico, pero tampoco sabemos si estamos haciendo los esfuerzos necesarios para que cuando llegue a estar preparados al final va a haber un momento donde vayan a convivir sistemas cuánticas con sistemas lega sí o sistemas tradicionales. Esos sistemas tradicionales tendrán que ser resistentes a ataques cuántico, y habrá que ver qué sucede. Así que bueno, sí hay muchas veces que nos vemos inmiscuidos en la microgestión y en solucionar problemas que sean más inmediatos, dejando de lado esta perspectiva más largoplacismo. Así que si desde luego que 1 de los grandes retos que tenemos por delante es lograr equilibrar el adelantarnos a largo plazo con las necesidades de dar respuesta a los incidentes que tenemos a corto plazo, por ejemplo, a nivel europeo, desde el Centro Europeo de Competencia en ciberseguridad, que es una institución creada en el 2021, para encargarse de todos los temas relacionados con financiación y desarrollo de competencias en ciberseguridad en Europa, ya en su agenda estratégica, que se establecen las prioridades el año 2027, ya se reflejan muchas de estas inquietudes acerca de inteligencia artificial. Acerca de computación cuántica, por lo tanto, bueno, son inicio, también es verdad que es un papel que habría gente que pueda proponer que es únicamente una lista de la compra, ya veremos cómo se materializa en acciones reales que tengan un impacto. Entonces, bueno, no sé si si con eso responde a la pregunta, pero yo diría que sí desde luego que hace falta pensar más en estos retos que se plantean a largo plazo. Hay una pregunta y yo voy a preguntar yo soy rosa y ha mencionado Julián varias veces y colaboró con la cátedra Fundación Integra sobre identidad y derechos digitales y me ha gustado mucho el resumen que has hecho elector sobre todo el entramado legislativo de ciberseguridad y ahí me surge la duda de cómo en la práctica se puede trabajar con tanta legislación, siendo realistas, no se puede claro, pero de verdad, es decir, a ver eventualmente es se desarrollarán las herramientas para comprender mejor, como cuál es la interacción de todas estas legislaciones. Pero evidentemente a nivel europeo pues existen dudas o la gente pueda estar preocupada con cómo el alcance de determinadas legislaciones afecta al alcance de otras. Al final, ahí puede haber situaciones donde se solapen varias legislaciones aplicables y en estos años venideros, pues habrá que determinar a través, pues, pues, harías casos de uso, jurisprudencia que vaya surgiendo, cómo se regula, cómo se legisla como como cual, cuál es el desarrollo de estas legislaciones? Gracias. Muy bien. Pues quedan 10 minutos para concluir esta jornada y a mí la verdad es que sí que me gustaría también hacer una pregunta que no sé si se puede contestar en público y con grabaciones en curso. Se ha hablado mucho de las técnicos y en general, de cómo se utiliza, entre otros mecanismos, para pervertir los procesos electorales. Hemos visto noticias en España. Pues esto tipo de incidentes vamos a llamarlos en Estados Unidos y ahora yo tengo una pregunta como de frecuentes son. Los ha experimentado España, como nos defendemos de ese tipo de ataque cuando lo que intenta es pervertir y manipular un proceso electoral y luego vinculado con esto? Porque, claro, yo no sé hasta qué punto la prensa escrita de empresa, que también en su vertiente digital son ellos víctimas de las pequeñas, acuden a recibir ayuda, que puede hacer un ciudadano, esto que se ha hablado de la higiene digital del pobre ciudadano de a pie Cómo puede un ciudadano hoy día defenderse de esas manipulaciones, que además es el destinatario, último, cuando se pervierte un proceso electoral y cuando se quiere influir en el destinatario final inconsciente es un ciudadano? Podemos defendernos? Realmente? Es un poco así? No sería así? Con esto cerramos? Yo te contesto. Si puede se puede contestar. Si no te decía. Llevo muchos años. Si tiene tiempo en esto o no a la hora de decir te lo has dicho que se pervierte, no se pervierte un proceso electoral, no se pervierte ponernos a España no, y todo eso tengo que no, te lo afirmo Cómo se maneja esto? Pues como yo te decían adelantando, anticipándome y haciendo perspectiva, pongo de ejemplo porque yo no visualizo. No es decir Cómo lo hemos hecho si tengo tiempo no quiero extenderme mucho, pero sí quiero decir que estos son procesos que al final sería una metodología. Ha sido un procedimiento que te preparas con mucho tiempo de antelación y lo que hace es que cuando vienen intentar gestionar de la mejor manera posible lo que quiero decir, vamos a ver cómo hemos hecho, porque no puede ser de otra. Terminan varias cosas. Van a quitar la parte técnica? La parte de las esmera parte? No vamos a centrarnos lo que has comentado? Pues nosotros estamos sacando, o sea, el problema, lógicamente no es de un día para otro, sino que tú tienes una capacidad de análisis y vigilancia digital, es un observatorio digital de detectar tendencias y hacerse eco de la de la conversación y con qué intenciones no estamos hablando de mi verdad y mentira También me da igual lo de las intenciones, es decir, lo que vemos es si es legítimo o no legítimo y me he explicado no puede opinar lo que sea para esta libertad de expresión, pero cuando utiliza como tú decidas, con escandalosos beneficios, pues hablamos de una información maliciosa. Cuando detrás de ello hay una intención no será para una maliciosa, es lo que intentamos detectar, cómo nos preparamos. Lo he dicho un poco a grandes pinceladas. No, es decir contexto. Nosotros, en el caso al proceso electoral, empezamos la municipales, que fueron en mayo desde prácticamente enero y febrero. Vamos haciendo un análisis de lo que insuficientes. Nuestra experiencia se pedía unos indicadores, hemos visto chalecos amarillos, conflictos de estibadores, procesos electorales olimpiadas mundiales; hay unos parámetros en los modus operandi, estoy con esos indicadores. Analizase este modus operandi, es decir, hay criterios cualitativos y cuantitativos y empiezas a observar eso que he dicho que antes ha quedado con lo decidido pongo busco no se pueden poner puertas al campo pero sí identificar dónde padrón. Enhorabuena. El problema es cuando la analizas y ver lo que puede pasar, no que ha pasado hasta 2 veces más que nada más que el tema de. O qué tipo de incidentes en este caso? Pues yo creo que, sobre todo las generales, pues no, no se va a gastar el carné de identidad pero que hemos hecho Pues, prepararnos todo porque el contexto apuntaba dentro de hace sus análisis desde febrero hasta mayo, aunque hablo de julio en este caso donde nos han dado, nos han dado a decir que nos han atacado. Donde tú intentas ver, que puede afectar, intenta es priorizar y poner el foco en aquello que te puede puede afectar. Para cuando llegue a estar preparado, que hicimos las 2 semanas anteriores de taxi, vas a estar sometido de nazis de servicio; estudias el tipo de servicio que están utilizando, como quien, etcétera. Nuestros actores híbridos es que no solamente es por volumen, que es también utilizando el user ayer analizas todo para cuando llega la jornada electoral y por supuesto con los proveedores, no solamente Indra, sino que hablamos con los débiles corporación, porque todas estaba hablando de lo que va a afectar para que ese día es que esté activado es que estas operativas conocen los parámetros y están preparadas para hacer y si te da pues lo que intenta es aplicar las medidas mitigadoras que tienes preparadas porque no te pilla con el pie cambiado, en definitiva que es lo que hacemos y vuelvo un poco que tengamos datos donde se haya podido influir y haya habido un proceso. Elecciones en Estados Unidos 2016 de 2016 no tenemos ni nosotros no tenemos ningún tipo de indicador, pero vivo nosotros esa tensión la mantenemos. Es decir ese escrutinio y llamé al escrutinio prospección del ciberespacio y lo hacemos central, la experiencia buscando modus operandi y intentando ver qué se quiere hacer dueño de la conversación y cómo puede influir y de esos parámetros, es decir, es un proceso más complejo de lo que estoy diciendo. Pero lo que hacen es una vigilancia continuación, un espacio con observatorio digital, buscando ese interés no legítimo en deslegitimar el proceso electoral, cosa que bajo ningún concepto no vamos a tener, que puedo asegurar porque metemos si simo esfuerzo y te lo garantizo, que esto no pase porque es lo más sagrado que tenemos. Sí sí; yo creo que por un lado, a nivel legislativo sí que todo el tema de contenido explícito, desinformación, se está buscando. Acotar, desde luego, una de estas nuevas paquetes legislativos, el límite al servicio a sí que está un poco orientado a ello. Yo yo creo que 1 de los momentos clave para ver cuán potente puede ser esta desinformación, además ahora que que tenemos modelos de inteligencia artificial que pueden generar Féix a golpe de clic, porque no es lo mismo hace 4 años que podría requerir cierta pericia técnica, ahora que cualquier persona lo puede hacer un niño que consulte un foro de rédito puede hacer un difícil y nos es para dar complicado Yo creo que el punto de inflexión van a ser las elecciones de Estados Unidos del año que viene, porque al final hay muchos intereses detrás de lo que pueda pasar. También digamos que el mundo anglosajón con respecto a este este tipo de tendencias digitales nos lleva a algo de tiempo, de ventaja. Final, nosotros, pues sí hemos tenido las elecciones; recientemente hemos tenido otro tipo de incidentes, no con desinformación y y no ha habido ningún ningún problema a las elecciones han sido totalmente resilientes en ese sentido, pero sí que es verdad que quizás a nivel comunidades online nacionales todo este fenómeno de la generación de desinformación a través de Defex porque no estaba tan desarrollada como lo va a estar el año que viene en Estados Unidos cuando se den esas elecciones, así que vamos a ver lo primero como de resistentes son esas plataformas, como puede ser Twitter equis, a ataques masivos de Vox, pretendiendo publicar todo el rato contenido con diferente, porque, claro, si llega un momento que yo el contenido que aparece en Mifid es un 90 por 100, inventado y 10 por 100 real, y ya todos sabemos cómo funciona el día a día, es decir, estamos con el dicto cada 15 segundos. El Twitter pasándolo y leyendo en diagonal no tenemos tiempo para detenernos y pensar. Lo que me aparece delante es. Es verídico o no, así que igual va a cambiar la dinámica y de pasar de la concepción que tenemos. De. Es verídico, pasa la concepción de no, es verídico de aprobarlos, pero que no, evidentemente, nosotros estamos aquí para garantizar que eso no ocurra. Por lo tanto, bueno, con respecto a los medios de comunicación, pues de nuevo también tienen por delante una labor compleja de cara a discernir en situaciones muy cortas de tiempo, no antes de que haya alguien que modere ese contenido antes de que fragüe en el contenido, si se encuentran con contenido, inventado contenido generado de forma artificial o no, pero yo diría que por lo menos a nivel nacional existen las herramientas, están ya las herramientas desarrolladas como para gestionar este tipo de contenidos. Lícitos o o engañosos. Yo ya cedo teniendo en cuenta la hora que es. Cedo la palabra, el profesor Valero que seguramente querrá clausurar la jornada y hacer una valoración brevemente para dar las gracias a los ponentes que han venido hasta Murcia, especialmente lo que ha venido desde fuera, por vuestra amabilidad, por vuestro tiempo. Ahora he dejado un lado obligaciones, profesionales, personales y familiares, así un placer recibiros aquí y al público asistente que soy de Murcia, especialmente a quienes estudian y se lo enseñaré Murcia. Reiterar hoy que tenéis un espacio para canalizar nuestras inquietudes sobre derecho digital en el grupo de trabajo, de la clínica jurídica, sobre este tema que estamos organizando, gracias al apoyo e impulso de la Cátedra Fundación Integra, sus identidades o digitales es un espacio o no para mí, no para la universidad, sino para quienes estuviesen en la universidad. De manera que en este espacio no solamente tenemos ya una serie de actividades programadas y preparadas, sino que estamos abiertos a cualquier propuesta. Cualquier inquietud que nos puede plantear y puede comentar a Barroso de los compañeros de otros años que no no arrancamos si es algo interesante, merece la pena. Lo ponemos en marcha, aquí hay algunos abogados profesionales que lo pueden dar fe. Somos muchos años ya lo que estamos trabajando en estos temas, y esto sucede. Y pido perdón, pero me avergüenza y me ha ganado la vergüenza por otra parte, me dolían no hacerlo precisamente por poner en valor su trabajo y el de la Fundación Integra, pero es que yo soy un ejemplo de que de que lo que dice hooligan y lo que están votando es verdad. En el año 2007, gracias a la lista de protección de datos, 2 de aquel curso que había, entonces, yo reconduce mi carrera profesional de Madrid donde trabajaba en punto. Es donde montamos el Inteco, que trabaje en el pliego de la creación del Inteco y y mi carrera siguió en el ámbito del derecho tecnológico, y ahora soy consultor, y soy la pareja jurídica de Javier Casado, que ha estado en la Mesa anterior y entonces eso es gracias a este señoría la labor que desarrollan este tipo de eventos. Entonces, lo único que quería decirlo será que si de verdad se interesa, que aproveche la oportunidad, que lo que está diciendo, Julián, es totalmente cierto y hay evidencia, y que no deje pasar ese ese tren, porque ahora mismo hay un campo amplísimo donde podéis especializados en todas esas normativas que que se han estado comentando, y el mundo del derecho están muy complicado, como sabéis, pero aquí tenéis un área donde desarrollarlos y diferenciarlos. Si alguien tiene interés, por supuesto, me voy a contactar, pero rosa ahora la salida seguramente puede dar información más precisa como estudiante de cuarto curso de Derecho. Es de lo que es la saciedad que hayamos acabado. Pues muchas gracias de nuevo por vuestra presencia.