A quien maduraā¦
Estamos entrando en una nueva fase general de madurez en la gestión de riesgos de ciberseguridad en la que los problemas que plantea no tratar este asunto con la debida diligencia empiezan a ser nĆtidamente entendidos por los consejos de administración, que han sido los que -finamente guiados por sus asesores de escuela de negocio- estĆ”n llevando a sus entidades por la senda de la modernización -vocablo hoy sinónimo de transformación digital- a la bĆŗsqueda de un futuro empresarial de infinita eficiencia, sin costes de empleo (las personas se reconvertirĆ”n en proveedores de las grandes empresas, que es otra forma de mercar con su fuerza de trabajo), y los fondos de inversión cazarĆ”n cual rapaces las nuevas iniciativas que pudieran rentabilizar.
Todo funcionarĆ” como un reloj suizo: la salud en los mercados bursĆ”tiles se fortalecerĆ” cada microsegundo, los estados-nación modificarĆ”n sus legislaciones para recaudar mĆ”s, reinventar derechos y deberes, revolucionar sus viejas funciones, criar otras nuevas y transformar digitalmente la burocracia. (Al respeto de esto Ćŗltimo, la transformación digital de la burocracia, no me resisto a contar una pasada vivencia. La siguiente: hace aƱos, cuando ya estaba en la calle la primera generación del DNI electrónico, asistĆ a un evento, organizado por las AA.PP., dedicado a plantear ideas para, mediando el uso de este documento, brindar un mejor servicio al ciudadano. La principal aportación que escuchĆ© fue que con el DNI-e se podrĆa dar la posibilidad a los administrados de ⦠”pagar mĆ”s rĆ”pido y mĆ”s cómodamente las multas!).

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
En fin, le pido disculpas, lector, por colarle aquĆ estos dos pĆ”rrafos iniciales tan encendidos, hecho sin duda provocado por los efectos de este calurosĆsimo verano en mis mermadas entendederas. Volvamos al asunto de la in-ciberseguridad.
Echarle valor
Como decĆa, la madurez aplicada a este campo lleva una dirección: ir proporcionando la atención que se le presta al estrato puramente tecnológico con el relativo al de la gestión. No todas las organizaciones lo ven asĆ. Pero las mĆ”s evolucionadas, sĆ. Al tiempo, la lamentable existencia de ciberataques exitosos de toda Ćndole y gravedad (desde dentro, desde fuera y a medias), obliga a enfocar dicha gestión como un riesgo empresarial de primer orden, puesto que afecta a los negocios y a los resultados: inactividad, interrupción de operaciones, reputación, cotización en bolsa, fuga de clientes, reducción de ingresos, posibles incumplimientos legales, demandasā¦
Ya solo estos hechos justifican la necesidad de evolucionar la figura de los CISO, que a efectos generales todavĆa estĆ” demasiado apegada a sus orĆgenes TIC, con ser esto importante. Y en muchos casos y fases, estrictamente necesario.
No cabe duda: las grandes compaƱĆas cotizadas, deben empezar a reflexionar sobre quĆ© van a entender por CISO en pocos aƱos, quĆ© tendrĆ”n que gestionar y quĆ© escenarios deberĆ”n transformar junto con otros C-level, en fase tambiĆ©n de redefinición.
Se me ocurre uno, derivado del problemón que tenemos actualmente con la forma en la que pueden jugar su papel las aseguradoras y reaseguradoras en el mercado de la gestión de riesgos de ciberseguridad de sus clientes. La incertidumbre a la hora de calcular los riesgos que asumen con sus pólizas hace que las primas sean demasiado altas para que este mercado avance. Y los clientes quieren tener cubiertos mediante seguro la mayorĆa de los daƱos que les causen los ciberataques. Pero tienen su lĆmite para pagar por tales coberturas.
No le demos vueltas: el enfoque basado en históricos no sirve. Pero hay una fórmula que nos permitirĆa evolucionar/modernizar/transformar la fuente del cĆ”lculo: el informe en lĆnea, continuo y en tiempo real de la posición de ciberseguridad de un asegurado a su aseguradora. Esta idea, que tanto gusta en la auditorĆa de cuentas, es aplicable a un enorme conjunto de riesgos asociados con la in-ciberseguridad (ya se trató el asunto en el Ćŗltimo Espacio TiSEC organizado por SIC). Pero a algunos colectivos de las empresas les da pĆ”nico hacer semejante striptease.
MerecerĆa la pena que a algĆŗn sagaz presidente de consejo de administración se le ocurriera (lo mismo ha sucedido ya) preguntar alguna vez por las capacidades reales de su compaƱĆa para dar información continua, en tiempo real y en lĆnea a la aseguradora o conjunto de aseguradoras sobre la posición de ciberseguridad de la empresa, y en quĆ© medida esto encarecerĆa o abaratarĆa la prima del seguro. AhĆ queda.