Ciberseguridad profesional: cuidado con quemarse
La función de la seguridad de la información en las grandes empresas que operan en EspaƱa (por no irnos fuera) nació en el departamento de TIC y completamente ligada al control de accesos en grandes sistemas. Con el advenimiento del cliente-servidor y el desparrame de IP e Internet, las necesidades de gestión de riesgos crecieron, pero siempre sin salir de las Ć”reas de TIC (salvedad hecha del incremento de la atención de la AuditorĆa por la materia).

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Al consagrarse los derechos de privacidad y de
protección de datos personales, la cosa tuvo un lógico
impulso, aunque quedó patente que la función de
seguridad técnica no era suficiente para armar la gestión
de la seguridad de la información desde el punto
de vista del buen gobierno corporativo. Y aunque los
consejos de administración no prestaban demasiada
atención al asunto, se empezaron a crear en grandes
organizaciones órganos colegiados formados por
los propietarios de los datos y otros departamentos
concernidos.
Las brechas en la protección de datos se divulgan y se miden en pĆ©rdidas económicas y de reputación (caso Yahoo, caso Equifax, caso Facebookā¦), y afectan a los primeros ejecutivos y preocupa a los polĆticos. Los ciberataques arrecian en el frente de la delincuencia que busca dinero; el ataque de WannaCry, incluso, evidencia algunas carencias en la gestión de crisis y reverdece la vĆa de la ciberresiliencia.
Todo indica que este es el momento de los profesionales de la ciberseguridad, la seguridad de la información y la seguridad digital, una oportunidad que quizÔ no vuelva a presentarse nunca mÔs con tanta intensidad e interés mundial. En el caso de la UE, ha sido lamentable que en la NIS no se haya dibujado la figura del CISO; aunque al menos nos queda la satisfacción de que en el anteproyecto de ley de transposición a la legislación española sà se reconoce la función. Y es de esperar que semejante logro no se caiga en la tramitación parlamentaria de la futura ley.
Como en toda crónica de un viaje por el tiempo de mÔs de veintinueve años, en este hemos sacrificado muchos sucesos, muchas historias, muchos matices. No importa, porque lo que manda ahora es el futuro. Nos vemos en la próxima edición de SIC, que verÔ la luz en junio, un mes que en este año 2018, y con permiso de mayo, estÔ pensado para cumplir.
SGSI
En esta Ć©poca fructificaron los anĆ”lisis de riesgos, los cuadros de mando, los SGSI siguiendo normas internacionales. La seguridad de la información excedĆa de las responsabilidades especĆficas de los departamentos de sistemas, y la figura del CISO empezó su trashumancia: en algunas entidades se quedó en Sistemas de Información; en otras, cayó en la Seguridad Corporativa. Sea como fuere, los roces con Comunicaciones y Sistemas se hicieron patentes. El CISO era para ellos un stopper para la modernización y uno mĆ”s para repartir el presupuesto de gastos e inversión; pero los riesgos de seguridad de la información y la presión del cumplimiento no frenaban su escalada: ciberinfraestructuras crĆticas, RGPD, normativas sectoriales espaƱolas y de la UE, directiva NIS,⦠Todo ello adobado hoy con las escaramuzas de algunos estados en el ciberespacio, el riesgo de reflejo en dicho ciberespacio de la naciente guerra comercial entre EEUU / UE / Chinaā¦Las brechas en la protección de datos se divulgan y se miden en pĆ©rdidas económicas y de reputación (caso Yahoo, caso Equifax, caso Facebookā¦), y afectan a los primeros ejecutivos y preocupa a los polĆticos. Los ciberataques arrecian en el frente de la delincuencia que busca dinero; el ataque de WannaCry, incluso, evidencia algunas carencias en la gestión de crisis y reverdece la vĆa de la ciberresiliencia.
Sector en auge
Hoy, enfilada la transformación, la gestión de la seguridad digital estĆ” en el ojo del huracĆ”n, porque se ha convertido en un pilar del presente y del futuro, y debe instaurarse o reinstaurarse al mĆ”s alto nivel corporativo. Tenemos estructuras de ciberseguridad nacional, leyes y normas de obligado cumplimiento, un sector de ciberdelincuencia lamentablemente muy rentable, derechos que salvaguardar... El mercado crece a dos dĆgitos anuales y no hay expertos suficientes para cubrir las expectativasā¦Todo indica que este es el momento de los profesionales de la ciberseguridad, la seguridad de la información y la seguridad digital, una oportunidad que quizĆ” no vuelva a presentarse nunca mĆ”s con tanta intensidad e interĆ©s mundial. En el caso de la UE, ha sido lamentable que en la NIS no se haya dibujado la figura del CISO; aunque al menos nos queda la satisfacción de que en el anteproyecto de ley de transposición a la legislación espaƱola sĆ se reconoce la función. Y es de esperar que semejante logro no se caiga en la tramitación parlamentaria de la futura ley.
Como en toda crónica de un viaje por el tiempo de mÔs de veintinueve años, en este hemos sacrificado muchos sucesos, muchas historias, muchos matices. No importa, porque lo que manda ahora es el futuro. Nos vemos en la próxima edición de SIC, que verÔ la luz en junio, un mes que en este año 2018, y con permiso de mayo, estÔ pensado para cumplir.