Ciberseguridad corporativa: ¿quién manda aquí?

¿Qué necesitan saber los Consejos de Administración para mensurar si en los negocios y actividades de sus compañías, y en las proyecciones a futuro, se estÔn gestionando los riesgos de ciberseguridad en base a criterios aceptables?

Ya era difĆ­cil contestar a estas preguntas hace veinte aƱos, y hoy lo es mĆ”s, porque en el proceso de transformación digital, el efecto de los riesgos asociados con el uso de las TIC –y concretamente los de ciberseguridad, hiperconectados con el cumplimiento, el buen nombre en los mercados y la pervivencia– se estĆ” adueƱando de casi todo el espacio del riesgo corporativo. Y estĆ” por ver si tal circunstancia es coyuntural.
No queda otra que tratar la gestión de la ciberseguridad desde una óptica corporativa (algunos privados empezaron hace años a orientarse en esta línea), porque el riesgo es corporativo y porque los Consejos de Administración son conscientes de sus responsabilidades y, a diferencia de lo que pasaba antes, saben que sus empresas estÔn expuestas a ciberataques y que tienen la obligación de defenderlas.

El CISO deseado
El ā€œCISO TICā€ no es el CISO que las organizaciones mĆ”s avanzadas quieren como CISO. Lo que demandan es un gestor del riesgo corporativo de ciberseguridad con mando en plaza y habilidades para incrustar el proceso de gestión de ciberseguridad en el macroproceso de gestión del riesgo corporativo, contando con todos los grupos de interesados internos y algunos externos.

Cierto es que hay ā€œCISOSā€ que no quieren ser CISOS y desean mantener su posición en el Ć”rea TIC como responsables de seguridad. TambiĆ©n lo es que otros se encuentran atrapados en la realidad de sus compaƱƭas y por el origen eminentemente TIC de la figura de CISO, y no pueden saltar a los predios corporativos. Y todas las funciones son necesarias. Pero la del CISO debe ser corporativa, porque las organizaciones de cierta complejidad lo precisan.

La ciberseguridad ha escalado posiciones en las compaƱƭas, y los profesionales que se han dejado la piel para conseguirlo deben aspirar a hacerlo tambiƩn, porque de lo contrario otros se quedarƔn con la parcela.

Un modelo
Digo esto porque desde fuera de la ciberseguridad se estĆ”n haciendo propuestas organizativas interesantes que afectan a la función. Y no veo el concurso de CISOS en su gestación. Me refiero a la que han realizado ECIIA (European Confederation of Institutes of Internal Auditing) y la Federation of European Risk Management Associations (FERMA) en su informe ā€œCorporate governance & cibersecurityā€, que fue presentado el aƱo pasado en la sede del Parlamento Europeo (Bruselas).

Se propone un modelo de gobernanza (basado en el modelo de tres lƭneas de defensa del Institute of Internal Auditors), que integra lo dispuesto en la directiva NIS y en el RGPD. Dicho modelo consiste, bƔsicamente, en crear un Grupo de Gobierno Corporativo de Ciber Riesgos (Cyber Risk Governance Group-CRGG), presidido por el Gerente de Riesgos, que reporta al ComitƩ de Riesgos y que obviamente se somete a la Auditorƭa Interna, que a su vez reporta al ComitƩ de Auditorƭa. Y de estos dos, al Board.

El CRGG estaría formado por los grupos internos de interés. En la primera línea de defensa se ubicarían el departamento de TIC, las unidades de operaciones y de negocio, recursos humanos y el responsable de datos-CDO (cuyas funciones podrían ser asumidas por el CISO). La segunda línea estaría formada por el Gerente de Riesgos, el DPO, el CISO, la Dirección financiera y el Responsable de Cumplimiento. En la tercera línea estaría la Auditoría Interna.

GustarƔ mƔs o menos. Pero esto demuestra que los CISOS deben organizarse de inmediato para defender sus intereses como colectivo profesional. Lo triste es que no lo hayan hecho antes.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×