Ciberseguridad profesional: cuidado con quemarse


La función de la seguridad de la información en las grandes empresas que operan en España (por no irnos fuera) nació en el departamento de TIC y completamente ligada al control de accesos en grandes sistemas. Con el advenimiento del cliente-servidor y el desparrame de IP e Internet, las necesidades de gestión de riesgos crecieron, pero siempre sin salir de las áreas de TIC (salvedad hecha del incremento de la atención de la Auditoría por la materia).
Al consagrarse los derechos de privacidad y de protección de datos personales, la cosa tuvo un lógico impulso, aunque quedó patente que la función de seguridad técnica no era suficiente para armar la gestión de la seguridad de la información desde el punto de vista del buen gobierno corporativo. Y aunque los consejos de administración no prestaban demasiada atención al asunto, se empezaron a crear en grandes organizaciones órganos colegiados formados por los propietarios de los datos y otros departamentos concernidos.

SGSI
En esta época fructificaron los análisis de riesgos, los cuadros de mando, los SGSI siguiendo normas internacionales. La seguridad de la información excedía de las responsabilidades específicas de los departamentos de sistemas, y la figura del CISO empezó su trashumancia: en algunas entidades se quedó en Sistemas de Información; en otras, cayó en la Seguridad Corporativa. Sea como fuere, los roces con Comunicaciones y Sistemas se hicieron patentes. El CISO era para ellos un stopper para la modernización y uno más para repartir el presupuesto de gastos e inversión; pero los riesgos de seguridad de la información y la presión del cumplimiento no frenaban su escalada: ciberinfraestructuras críticas, RGPD, normativas sectoriales españolas y de la UE, directiva NIS,… Todo ello adobado hoy con las escaramuzas de algunos estados en el ciberespacio, el riesgo de reflejo en dicho ciberespacio de la naciente guerra comercial entre EEUU / UE / China…

Las brechas en la protección de datos se divulgan y se miden en pérdidas económicas y de reputación (caso Yahoo, caso Equifax, caso Facebook…), y afectan a los primeros ejecutivos y preocupa a los políticos. Los ciberataques arrecian en el frente de la delincuencia que busca dinero; el ataque de WannaCry, incluso, evidencia algunas carencias en la gestión de crisis y reverdece la vía de la ciberresiliencia.

Sector en auge
Hoy, enfilada la transformación, la gestión de la seguridad digital está en el ojo del huracán, porque se ha convertido en un pilar del presente y del futuro, y debe instaurarse o reinstaurarse al más alto nivel corporativo. Tenemos estructuras de ciberseguridad nacional, leyes y normas de obligado cumplimiento, un sector de ciberdelincuencia lamentablemente muy rentable, derechos que salvaguardar... El mercado crece a dos dígitos anuales y no hay expertos suficientes para cubrir las expectativas…

Todo indica que este es el momento de los profesionales de la ciberseguridad, la seguridad de la información y la seguridad digital, una oportunidad que quizá no vuelva a presentarse nunca más con tanta intensidad e interés mundial. En el caso de la UE, ha sido lamentable que en la NIS no se haya dibujado la figura del CISO; aunque al menos nos queda la satisfacción de que en el anteproyecto de ley de transposición a la legislación española sí se reconoce la función. Y es de esperar que semejante logro no se caiga en la tramitación parlamentaria de la futura ley.

Como en toda crónica de un viaje por el tiempo de más de veintinueve años, en este hemos sacrificado muchos sucesos, muchas historias, muchos matices. No importa, porque lo que manda ahora es el futuro. Nos vemos en la próxima edición de SIC, que verá la luz en junio, un mes que en este año 2018, y con permiso de mayo, está pensado para cumplir.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×