A quien maduraā¦
Estamos entrando en una nueva fase general de madurez en la gestiĆ³n de riesgos de ciberseguridad en la que los problemas que plantea no tratar este asunto con la debida diligencia empiezan a ser nĆtidamente entendidos por los consejos de administraciĆ³n, que han sido los que -finamente guiados por sus asesores de escuela de negocio- estĆ”n llevando a sus entidades por la senda de la modernizaciĆ³n -vocablo hoy sinĆ³nimo de transformaciĆ³n digital- a la bĆŗsqueda de un futuro empresarial de infinita eficiencia, sin costes de empleo (las personas se reconvertirĆ”n en proveedores de las grandes empresas, que es otra forma de mercar con su fuerza de trabajo), y los fondos de inversiĆ³n cazarĆ”n cual rapaces las nuevas iniciativas que pudieran rentabilizar.
Todo funcionarĆ” como un reloj suizo: la salud en los mercados bursĆ”tiles se fortalecerĆ” cada microsegundo, los estados-naciĆ³n modificarĆ”n sus legislaciones para recaudar mĆ”s, reinventar derechos y deberes, revolucionar sus viejas funciones, criar otras nuevas y transformar digitalmente la burocracia. (Al respeto de esto Ćŗltimo, la transformaciĆ³n digital de la burocracia, no me resisto a contar una pasada vivencia. La siguiente: hace aƱos, cuando ya estaba en la calle la primera generaciĆ³n del DNI electrĆ³nico, asistĆ a un evento, organizado por las AA.PP., dedicado a plantear ideas para, mediando el uso de este documento, brindar un mejor servicio al ciudadano. La principal aportaciĆ³n que escuchĆ© fue que con el DNI-e se podrĆa dar la posibilidad a los administrados de ā¦ Ā”pagar mĆ”s rĆ”pido y mĆ”s cĆ³modamente las multas!).
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
En fin, le pido disculpas, lector, por colarle aquĆ estos dos pĆ”rrafos iniciales tan encendidos, hecho sin duda provocado por los efectos de este calurosĆsimo verano en mis mermadas entendederas. Volvamos al asunto de la in-ciberseguridad.
Echarle valor
Como decĆa, la madurez aplicada a este campo lleva una direcciĆ³n: ir proporcionando la atenciĆ³n que se le presta al estrato puramente tecnolĆ³gico con el relativo al de la gestiĆ³n. No todas las organizaciones lo ven asĆ. Pero las mĆ”s evolucionadas, sĆ. Al tiempo, la lamentable existencia de ciberataques exitosos de toda Ćndole y gravedad (desde dentro, desde fuera y a medias), obliga a enfocar dicha gestiĆ³n como un riesgo empresarial de primer orden, puesto que afecta a los negocios y a los resultados: inactividad, interrupciĆ³n de operaciones, reputaciĆ³n, cotizaciĆ³n en bolsa, fuga de clientes, reducciĆ³n de ingresos, posibles incumplimientos legales, demandasā¦
Ya solo estos hechos justifican la necesidad de evolucionar la figura de los CISO, que a efectos generales todavĆa estĆ” demasiado apegada a sus orĆgenes TIC, con ser esto importante. Y en muchos casos y fases, estrictamente necesario.
No cabe duda: las grandes compaƱĆas cotizadas, deben empezar a reflexionar sobre quĆ© van a entender por CISO en pocos aƱos, quĆ© tendrĆ”n que gestionar y quĆ© escenarios deberĆ”n transformar junto con otros C-level, en fase tambiĆ©n de redefiniciĆ³n.
Se me ocurre uno, derivado del problemĆ³n que tenemos actualmente con la forma en la que pueden jugar su papel las aseguradoras y reaseguradoras en el mercado de la gestiĆ³n de riesgos de ciberseguridad de sus clientes. La incertidumbre a la hora de calcular los riesgos que asumen con sus pĆ³lizas hace que las primas sean demasiado altas para que este mercado avance. Y los clientes quieren tener cubiertos mediante seguro la mayorĆa de los daƱos que les causen los ciberataques. Pero tienen su lĆmite para pagar por tales coberturas.
No le demos vueltas: el enfoque basado en histĆ³ricos no sirve. Pero hay una fĆ³rmula que nos permitirĆa evolucionar/modernizar/transformar la fuente del cĆ”lculo: el informe en lĆnea, continuo y en tiempo real de la posiciĆ³n de ciberseguridad de un asegurado a su aseguradora. Esta idea, que tanto gusta en la auditorĆa de cuentas, es aplicable a un enorme conjunto de riesgos asociados con la in-ciberseguridad (ya se tratĆ³ el asunto en el Ćŗltimo Espacio TiSEC organizado por SIC). Pero a algunos colectivos de las empresas les da pĆ”nico hacer semejante striptease.
MerecerĆa la pena que a algĆŗn sagaz presidente de consejo de administraciĆ³n se le ocurriera (lo mismo ha sucedido ya) preguntar alguna vez por las capacidades reales de su compaƱĆa para dar informaciĆ³n continua, en tiempo real y en lĆnea a la aseguradora o conjunto de aseguradoras sobre la posiciĆ³n de ciberseguridad de la empresa, y en quĆ© medida esto encarecerĆa o abaratarĆa la prima del seguro. AhĆ queda.
