Ciberseguridad corporativa: ¿quién manda aquí?
¿Qué necesitan saber los Consejos de Administración para mensurar si en los negocios y actividades de sus compañías, y en las proyecciones a futuro, se están gestionando los riesgos de ciberseguridad en base a criterios aceptables?Ya era difícil contestar a estas preguntas hace veinte años, y hoy lo es más, porque en el proceso de transformación digital, el efecto de los riesgos asociados con el uso de las TIC –y concretamente los de ciberseguridad, hiperconectados con el cumplimiento, el buen nombre en los mercados y la pervivencia– se está adueñando de casi todo el espacio del riesgo corporativo. Y está por ver si tal circunstancia es coyuntural.
José de la Peña Muñoz
Director
jpm@codasic.com
No queda otra que tratar la gestión de la ciberseguridad desde una óptica corporativa (algunos privados empezaron hace años a orientarse en esta línea), porque el riesgo es corporativo y porque los Consejos de Administración son conscientes de sus responsabilidades y, a diferencia de lo que pasaba antes, saben que sus empresas están expuestas a ciberataques y que tienen la obligación de defenderlas.
Cierto es que hay “CISOS” que no quieren ser CISOS y desean mantener su posición en el área TIC como responsables de seguridad. También lo es que otros se encuentran atrapados en la realidad de sus compañías y por el origen eminentemente TIC de la figura de CISO, y no pueden saltar a los predios corporativos. Y todas las funciones son necesarias. Pero la del CISO debe ser corporativa, porque las organizaciones de cierta complejidad lo precisan.
La ciberseguridad ha escalado posiciones en las compañías, y los profesionales que se han dejado la piel para conseguirlo deben aspirar a hacerlo también, porque de lo contrario otros se quedarán con la parcela.
Se propone un modelo de gobernanza (basado en el modelo de tres líneas de defensa del Institute of Internal Auditors), que integra lo dispuesto en la directiva NIS y en el RGPD. Dicho modelo consiste, básicamente, en crear un Grupo de Gobierno Corporativo de Ciber Riesgos (Cyber Risk Governance Group-CRGG), presidido por el Gerente de Riesgos, que reporta al Comité de Riesgos y que obviamente se somete a la Auditoría Interna, que a su vez reporta al Comité de Auditoría. Y de estos dos, al Board.
El CRGG estaría formado por los grupos internos de interés. En la primera línea de defensa se ubicarían el departamento de TIC, las unidades de operaciones y de negocio, recursos humanos y el responsable de datos-CDO (cuyas funciones podrían ser asumidas por el CISO). La segunda línea estaría formada por el Gerente de Riesgos, el DPO, el CISO, la Dirección financiera y el Responsable de Cumplimiento. En la tercera línea estaría la Auditoría Interna.
Gustará más o menos. Pero esto demuestra que los CISOS deben organizarse de inmediato para defender sus intereses como colectivo profesional. Lo triste es que no lo hayan hecho antes.
El CISO deseado
El “CISO TIC” no es el CISO que las organizaciones más avanzadas quieren como CISO. Lo que demandan es un gestor del riesgo corporativo de ciberseguridad con mando en plaza y habilidades para incrustar el proceso de gestión de ciberseguridad en el macroproceso de gestión del riesgo corporativo, contando con todos los grupos de interesados internos y algunos externos.Cierto es que hay “CISOS” que no quieren ser CISOS y desean mantener su posición en el área TIC como responsables de seguridad. También lo es que otros se encuentran atrapados en la realidad de sus compañías y por el origen eminentemente TIC de la figura de CISO, y no pueden saltar a los predios corporativos. Y todas las funciones son necesarias. Pero la del CISO debe ser corporativa, porque las organizaciones de cierta complejidad lo precisan.
La ciberseguridad ha escalado posiciones en las compañías, y los profesionales que se han dejado la piel para conseguirlo deben aspirar a hacerlo también, porque de lo contrario otros se quedarán con la parcela.
Un modelo
Digo esto porque desde fuera de la ciberseguridad se están haciendo propuestas organizativas interesantes que afectan a la función. Y no veo el concurso de CISOS en su gestación. Me refiero a la que han realizado ECIIA (European Confederation of Institutes of Internal Auditing) y la Federation of European Risk Management Associations (FERMA) en su informe “Corporate governance & cibersecurity”, que fue presentado el año pasado en la sede del Parlamento Europeo (Bruselas).Se propone un modelo de gobernanza (basado en el modelo de tres líneas de defensa del Institute of Internal Auditors), que integra lo dispuesto en la directiva NIS y en el RGPD. Dicho modelo consiste, básicamente, en crear un Grupo de Gobierno Corporativo de Ciber Riesgos (Cyber Risk Governance Group-CRGG), presidido por el Gerente de Riesgos, que reporta al Comité de Riesgos y que obviamente se somete a la Auditoría Interna, que a su vez reporta al Comité de Auditoría. Y de estos dos, al Board.
El CRGG estaría formado por los grupos internos de interés. En la primera línea de defensa se ubicarían el departamento de TIC, las unidades de operaciones y de negocio, recursos humanos y el responsable de datos-CDO (cuyas funciones podrían ser asumidas por el CISO). La segunda línea estaría formada por el Gerente de Riesgos, el DPO, el CISO, la Dirección financiera y el Responsable de Cumplimiento. En la tercera línea estaría la Auditoría Interna.
Gustará más o menos. Pero esto demuestra que los CISOS deben organizarse de inmediato para defender sus intereses como colectivo profesional. Lo triste es que no lo hayan hecho antes.