>> Doble fondo

 

 

Durante parte del siglo XX y en el presente la figura y función del CISO han tenido su punto de partida en los departamentos de sistemas de información, inicialmente centrados en ser el libro de contabilidad y procesos asociados de las empresas de cierta envergadura (el famoso CPD) y, posteriormente, soporte de todos los procesos de gestión de las funciones más generalistas del negocio. En esta última fase –y por resumir– vivimos el cliente-servidor, las arquitecturas distribuidas, la revolución de la microinformática de sobremesa... y la caída del antaño denominado “poder informático” en las empresas.

 

A partir de ahí, se disparó lo demás, en la búsqueda de rapidez y reducción de costes: el uso masivo de Internet para casi todo asociado a la banda ancha, la revolución de los terminales portables..., hasta llegar al todo como servicio externalizado en la nube, el pago por uso y, hoy, la transformación digital, el machine learning, la analitica inteligente, la computación cognitiva...

 

El CISO IT ante el abismo OT
José de la Peña Múñoz
Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Mientras el control de datos y procesos se iba desparramando, los propios compradores empresariales de los productos y servicios de la industria iban intentando volver a tomar las riendas. Y en lo que toca a la seguridad de la información, al CISO primigenio le cayó una tarea ingrata, plagada de requisitos de cumplimiento legal con poco recorrido histórico (inicialmente en lo referente a los datos personales) y el parcheado de lo que otros (entre ellos, sus jefes) hacían mal. Y además, con escaso presupuesto. Con la llegada y divulgación del fraude a algunos sectores (por ejemplo el financiero), la función del CISO empezó a tener otro color. Fue ganando en capacidad de gestión y, en algunas entidades, independizándose de IT para caer en terreno de nadie o en Seguridad Corporativa. En IT, no obstante, quedó justificada la figura de un responsable de seguridad tecnológica.

 

Obviamente, esto que se resume, es la secuencia principal, y afecta a grandes organizaciones de algunos sectores, y no es extrapolable a las pymes.

 

Comprendo que usted, lector, se esté preguntando que a dónde quiero llegar. Pues lo diré sin dilación: a incorporar en la historia la ciberseguridad industrial, que está ligada a los servicios esenciales y a las infraestructuras críticas, las cuales, además, están sometidas al cumplimiento legal en la UE y en muchos países externos a ella. Es más, su gestión se desarrolla, en ocasiones, en base a una concesión estatal. La modernización de las infraestructuras industriales (¡viva la conectividad!) es una de las partidas presupuestarias de inversión y gasto más importantes de las compañías que las tienen y/o las gestionan, cuya pretensión es que duren muchos años (alguna década que otra) y que no se caigan nunca; y si lo hacen, que el servicio no se vea afectado. Ahora tienen que incorporar en la ecuación un requisito más que antaño para salvaguardar tales requisitos de operación: que sean resistentes a los ciberataques, desde dentro, desde fuera, combinados y los que pudieran sobrevenir por efecto rebote en otras infraestructuras propias o ajenas. Y aquí nos topamos con el peso de la historia, porque ni los fabricantes de sistemas industriales han incorporado en sus productos funcionalidades de ciberseguridad, ni sus acuerdos con fabricantes de ciberseguridad IT pueden cubrir todos los frentes, ni los ingenieros que gestionan en las empresas los sistemas industriales están familiarizados con ella, ni los CISOS han tenido formación (tiempo y medios) en sus materias, porque provienen –salvo honrosas excepciones- del mundo IT, no del OT.

 

El mundo IT y de ciberseguridad IT no es extrapolable al mundo OT-IIoT. ¿Por dónde irán, entonces, los tiros de la gestión de la ciberseguridad OT? ¿Habrá CISOs IT y CISOs OT? ¿Habrá CISOS IT+OT? ¿No habrá CISOS en OT?

Y un punto más para terminar: como la externalización afecta a todos los sectores y áreas, bien cabe preguntarse si los MSSPs IT están capacitados para prestar servicios en OT, o si lo que procede es la aparición de MSSPs OT. Al menos antes de que los algoritmos y los robots nos jubilen.

 

 

Documento en PDF

first
  
last
 
 
start
stop

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies