Ciberseguridad profesional: cuidado con quemarse
La funciĆ³n de la seguridad de la informaciĆ³n en las grandes empresas que operan en EspaƱa (por no irnos fuera) naciĆ³ en el departamento de TIC y completamente ligada al control de accesos en grandes sistemas. Con el advenimiento del cliente-servidor y el desparrame de IP e Internet, las necesidades de gestiĆ³n de riesgos crecieron, pero siempre sin salir de las Ć”reas de TIC (salvedad hecha del incremento de la atenciĆ³n de la AuditorĆa por la materia).
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Al consagrarse los derechos de privacidad y de
protecciĆ³n de datos personales, la cosa tuvo un lĆ³gico
impulso, aunque quedĆ³ patente que la funciĆ³n de
seguridad tĆ©cnica no era suficiente para armar la gestiĆ³n
de la seguridad de la informaciĆ³n desde el punto
de vista del buen gobierno corporativo. Y aunque los
consejos de administraciĆ³n no prestaban demasiada
atenciĆ³n al asunto, se empezaron a crear en grandes
organizaciones Ć³rganos colegiados formados por
los propietarios de los datos y otros departamentos
concernidos.
Las brechas en la protecciĆ³n de datos se divulgan y se miden en pĆ©rdidas econĆ³micas y de reputaciĆ³n (caso Yahoo, caso Equifax, caso Facebookā¦), y afectan a los primeros ejecutivos y preocupa a los polĆticos. Los ciberataques arrecian en el frente de la delincuencia que busca dinero; el ataque de WannaCry, incluso, evidencia algunas carencias en la gestiĆ³n de crisis y reverdece la vĆa de la ciberresiliencia.
Todo indica que este es el momento de los profesionales de la ciberseguridad, la seguridad de la informaciĆ³n y la seguridad digital, una oportunidad que quizĆ” no vuelva a presentarse nunca mĆ”s con tanta intensidad e interĆ©s mundial. En el caso de la UE, ha sido lamentable que en la NIS no se haya dibujado la figura del CISO; aunque al menos nos queda la satisfacciĆ³n de que en el anteproyecto de ley de transposiciĆ³n a la legislaciĆ³n espaƱola sĆ se reconoce la funciĆ³n. Y es de esperar que semejante logro no se caiga en la tramitaciĆ³n parlamentaria de la futura ley.
Como en toda crĆ³nica de un viaje por el tiempo de mĆ”s de veintinueve aƱos, en este hemos sacrificado muchos sucesos, muchas historias, muchos matices. No importa, porque lo que manda ahora es el futuro. Nos vemos en la prĆ³xima ediciĆ³n de SIC, que verĆ” la luz en junio, un mes que en este aƱo 2018, y con permiso de mayo, estĆ” pensado para cumplir.
SGSI
En esta Ć©poca fructificaron los anĆ”lisis de riesgos, los cuadros de mando, los SGSI siguiendo normas internacionales. La seguridad de la informaciĆ³n excedĆa de las responsabilidades especĆficas de los departamentos de sistemas, y la figura del CISO empezĆ³ su trashumancia: en algunas entidades se quedĆ³ en Sistemas de InformaciĆ³n; en otras, cayĆ³ en la Seguridad Corporativa. Sea como fuere, los roces con Comunicaciones y Sistemas se hicieron patentes. El CISO era para ellos un stopper para la modernizaciĆ³n y uno mĆ”s para repartir el presupuesto de gastos e inversiĆ³n; pero los riesgos de seguridad de la informaciĆ³n y la presiĆ³n del cumplimiento no frenaban su escalada: ciberinfraestructuras crĆticas, RGPD, normativas sectoriales espaƱolas y de la UE, directiva NIS,ā¦ Todo ello adobado hoy con las escaramuzas de algunos estados en el ciberespacio, el riesgo de reflejo en dicho ciberespacio de la naciente guerra comercial entre EEUU / UE / Chinaā¦Las brechas en la protecciĆ³n de datos se divulgan y se miden en pĆ©rdidas econĆ³micas y de reputaciĆ³n (caso Yahoo, caso Equifax, caso Facebookā¦), y afectan a los primeros ejecutivos y preocupa a los polĆticos. Los ciberataques arrecian en el frente de la delincuencia que busca dinero; el ataque de WannaCry, incluso, evidencia algunas carencias en la gestiĆ³n de crisis y reverdece la vĆa de la ciberresiliencia.
Sector en auge
Hoy, enfilada la transformaciĆ³n, la gestiĆ³n de la seguridad digital estĆ” en el ojo del huracĆ”n, porque se ha convertido en un pilar del presente y del futuro, y debe instaurarse o reinstaurarse al mĆ”s alto nivel corporativo. Tenemos estructuras de ciberseguridad nacional, leyes y normas de obligado cumplimiento, un sector de ciberdelincuencia lamentablemente muy rentable, derechos que salvaguardar... El mercado crece a dos dĆgitos anuales y no hay expertos suficientes para cubrir las expectativasā¦Todo indica que este es el momento de los profesionales de la ciberseguridad, la seguridad de la informaciĆ³n y la seguridad digital, una oportunidad que quizĆ” no vuelva a presentarse nunca mĆ”s con tanta intensidad e interĆ©s mundial. En el caso de la UE, ha sido lamentable que en la NIS no se haya dibujado la figura del CISO; aunque al menos nos queda la satisfacciĆ³n de que en el anteproyecto de ley de transposiciĆ³n a la legislaciĆ³n espaƱola sĆ se reconoce la funciĆ³n. Y es de esperar que semejante logro no se caiga en la tramitaciĆ³n parlamentaria de la futura ley.
Como en toda crĆ³nica de un viaje por el tiempo de mĆ”s de veintinueve aƱos, en este hemos sacrificado muchos sucesos, muchas historias, muchos matices. No importa, porque lo que manda ahora es el futuro. Nos vemos en la prĆ³xima ediciĆ³n de SIC, que verĆ” la luz en junio, un mes que en este aƱo 2018, y con permiso de mayo, estĆ” pensado para cumplir.
