Ciberseguridad corporativa: ĀæquiĆ©n manda aquĆ?
ĀæQuĆ© necesitan saber los Consejos de AdministraciĆ³n para mensurar si en los negocios y actividades de sus compaƱĆas, y en las proyecciones a futuro, se estĆ”n gestionando los riesgos de ciberseguridad en base a criterios aceptables?Ya era difĆcil contestar a estas preguntas hace veinte aƱos, y hoy lo es mĆ”s, porque en el proceso de transformaciĆ³n digital, el efecto de los riesgos asociados con el uso de las TIC āy concretamente los de ciberseguridad, hiperconectados con el cumplimiento, el buen nombre en los mercados y la pervivenciaā se estĆ” adueƱando de casi todo el espacio del riesgo corporativo. Y estĆ” por ver si tal circunstancia es coyuntural.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
No queda otra que tratar la gestiĆ³n de la ciberseguridad desde una Ć³ptica corporativa (algunos privados empezaron hace aƱos a orientarse en esta lĆnea), porque el riesgo es corporativo y porque los Consejos de AdministraciĆ³n son conscientes de sus responsabilidades y, a diferencia de lo que pasaba antes, saben que sus empresas estĆ”n expuestas a ciberataques y que tienen la obligaciĆ³n de defenderlas.
Cierto es que hay āCISOSā que no quieren ser CISOS y desean mantener su posiciĆ³n en el Ć”rea TIC como responsables de seguridad. TambiĆ©n lo es que otros se encuentran atrapados en la realidad de sus compaƱĆas y por el origen eminentemente TIC de la figura de CISO, y no pueden saltar a los predios corporativos. Y todas las funciones son necesarias. Pero la del CISO debe ser corporativa, porque las organizaciones de cierta complejidad lo precisan.
La ciberseguridad ha escalado posiciones en las compaƱĆas, y los profesionales que se han dejado la piel para conseguirlo deben aspirar a hacerlo tambiĆ©n, porque de lo contrario otros se quedarĆ”n con la parcela.
Se propone un modelo de gobernanza (basado en el modelo de tres lĆneas de defensa del Institute of Internal Auditors), que integra lo dispuesto en la directiva NIS y en el RGPD. Dicho modelo consiste, bĆ”sicamente, en crear un Grupo de Gobierno Corporativo de Ciber Riesgos (Cyber Risk Governance Group-CRGG), presidido por el Gerente de Riesgos, que reporta al ComitĆ© de Riesgos y que obviamente se somete a la AuditorĆa Interna, que a su vez reporta al ComitĆ© de AuditorĆa. Y de estos dos, al Board.
El CRGG estarĆa formado por los grupos internos de interĆ©s. En la primera lĆnea de defensa se ubicarĆan el departamento de TIC, las unidades de operaciones y de negocio, recursos humanos y el responsable de datos-CDO (cuyas funciones podrĆan ser asumidas por el CISO). La segunda lĆnea estarĆa formada por el Gerente de Riesgos, el DPO, el CISO, la DirecciĆ³n financiera y el Responsable de Cumplimiento. En la tercera lĆnea estarĆa la AuditorĆa Interna.
GustarƔ mƔs o menos. Pero esto demuestra que los CISOS deben organizarse de inmediato para defender sus intereses como colectivo profesional. Lo triste es que no lo hayan hecho antes.
El CISO deseado
El āCISO TICā no es el CISO que las organizaciones mĆ”s avanzadas quieren como CISO. Lo que demandan es un gestor del riesgo corporativo de ciberseguridad con mando en plaza y habilidades para incrustar el proceso de gestiĆ³n de ciberseguridad en el macroproceso de gestiĆ³n del riesgo corporativo, contando con todos los grupos de interesados internos y algunos externos.Cierto es que hay āCISOSā que no quieren ser CISOS y desean mantener su posiciĆ³n en el Ć”rea TIC como responsables de seguridad. TambiĆ©n lo es que otros se encuentran atrapados en la realidad de sus compaƱĆas y por el origen eminentemente TIC de la figura de CISO, y no pueden saltar a los predios corporativos. Y todas las funciones son necesarias. Pero la del CISO debe ser corporativa, porque las organizaciones de cierta complejidad lo precisan.
La ciberseguridad ha escalado posiciones en las compaƱĆas, y los profesionales que se han dejado la piel para conseguirlo deben aspirar a hacerlo tambiĆ©n, porque de lo contrario otros se quedarĆ”n con la parcela.
Un modelo
Digo esto porque desde fuera de la ciberseguridad se estĆ”n haciendo propuestas organizativas interesantes que afectan a la funciĆ³n. Y no veo el concurso de CISOS en su gestaciĆ³n. Me refiero a la que han realizado ECIIA (European Confederation of Institutes of Internal Auditing) y la Federation of European Risk Management Associations (FERMA) en su informe āCorporate governance & cibersecurityā, que fue presentado el aƱo pasado en la sede del Parlamento Europeo (Bruselas).Se propone un modelo de gobernanza (basado en el modelo de tres lĆneas de defensa del Institute of Internal Auditors), que integra lo dispuesto en la directiva NIS y en el RGPD. Dicho modelo consiste, bĆ”sicamente, en crear un Grupo de Gobierno Corporativo de Ciber Riesgos (Cyber Risk Governance Group-CRGG), presidido por el Gerente de Riesgos, que reporta al ComitĆ© de Riesgos y que obviamente se somete a la AuditorĆa Interna, que a su vez reporta al ComitĆ© de AuditorĆa. Y de estos dos, al Board.
El CRGG estarĆa formado por los grupos internos de interĆ©s. En la primera lĆnea de defensa se ubicarĆan el departamento de TIC, las unidades de operaciones y de negocio, recursos humanos y el responsable de datos-CDO (cuyas funciones podrĆan ser asumidas por el CISO). La segunda lĆnea estarĆa formada por el Gerente de Riesgos, el DPO, el CISO, la DirecciĆ³n financiera y el Responsable de Cumplimiento. En la tercera lĆnea estarĆa la AuditorĆa Interna.
GustarƔ mƔs o menos. Pero esto demuestra que los CISOS deben organizarse de inmediato para defender sus intereses como colectivo profesional. Lo triste es que no lo hayan hecho antes.
