A quien madura…

Estamos entrando en una nueva fase general de madurez en la gestión de riesgos de ciberseguridad en la que los problemas que plantea no tratar este asunto con la debida diligencia empiezan a ser nítidamente entendidos por los consejos de administración, que han sido los que -finamente guiados por sus asesores de escuela de negocio- estÔn llevando a sus entidades por la senda de la modernización -vocablo hoy sinónimo de transformación digital- a la búsqueda de un futuro empresarial de infinita eficiencia, sin costes de empleo (las personas se reconvertirÔn en proveedores de las grandes empresas, que es otra forma de mercar con su fuerza de trabajo), y los fondos de inversión cazarÔn cual rapaces las nuevas iniciativas que pudieran rentabilizar.

Todo funcionarĆ” como un reloj suizo: la salud en los mercados bursĆ”tiles se fortalecerĆ” cada microsegundo, los estados-nación modificarĆ”n sus legislaciones para recaudar mĆ”s, reinventar derechos y deberes, revolucionar sus viejas funciones, criar otras nuevas y transformar digitalmente la burocracia. (Al respeto de esto Ćŗltimo, la transformación digital de la burocracia, no me resisto a contar una pasada vivencia. La siguiente: hace aƱos, cuando ya estaba en la calle la primera generación del DNI electrónico, asistĆ­ a un evento, organizado por las AA.PP., dedicado a plantear ideas para, mediando el uso de este documento, brindar un mejor servicio al ciudadano. La principal aportación que escuchĆ© fue que con el DNI-e se podrĆ­a dar la posibilidad a los administrados de … Ā”pagar mĆ”s rĆ”pido y mĆ”s cómodamente las multas!).

En fin, le pido disculpas, lector, por colarle aquƭ estos dos pƔrrafos iniciales tan encendidos, hecho sin duda provocado por los efectos de este calurosƭsimo verano en mis mermadas entendederas. Volvamos al asunto de la in-ciberseguridad.

Echarle valor

Como decĆ­a, la madurez aplicada a este campo lleva una dirección: ir proporcionando la atención que se le presta al estrato puramente tecnológico con el relativo al de la gestión. No todas las organizaciones lo ven asĆ­. Pero las mĆ”s evolucionadas, sĆ­. Al tiempo, la lamentable existencia de ciberataques exitosos de toda Ć­ndole y gravedad (desde dentro, desde fuera y a medias), obliga a enfocar dicha gestión como un riesgo empresarial de primer orden, puesto que afecta a los negocios y a los resultados: inactividad, interrupción de operaciones, reputación, cotización en bolsa, fuga de clientes, reducción de ingresos, posibles incumplimientos legales, demandas…

Ya solo estos hechos justifican la necesidad de evolucionar la figura de los CISO, que a efectos generales todavĆ­a estĆ” demasiado apegada a sus orĆ­genes TIC, con ser esto importante. Y en muchos casos y fases, estrictamente necesario.

No cabe duda: las grandes compañías cotizadas, deben empezar a reflexionar sobre qué van a entender por CISO en pocos años, qué tendrÔn que gestionar y qué escenarios deberÔn transformar junto con otros C-level, en fase también de redefinición.

Se me ocurre uno, derivado del problemón que tenemos actualmente con la forma en la que pueden jugar su papel las aseguradoras y reaseguradoras en el mercado de la gestión de riesgos de ciberseguridad de sus clientes. La incertidumbre a la hora de calcular los riesgos que asumen con sus pólizas hace que las primas sean demasiado altas para que este mercado avance. Y los clientes quieren tener cubiertos mediante seguro la mayoría de los daños que les causen los ciberataques. Pero tienen su límite para pagar por tales coberturas.

No le demos vueltas: el enfoque basado en históricos no sirve. Pero hay una fórmula que nos permitiría evolucionar/modernizar/transformar la fuente del cÔlculo: el informe en línea, continuo y en tiempo real de la posición de ciberseguridad de un asegurado a su aseguradora. Esta idea, que tanto gusta en la auditoría de cuentas, es aplicable a un enorme conjunto de riesgos asociados con la in-ciberseguridad (ya se trató el asunto en el último Espacio TiSEC organizado por SIC). Pero a algunos colectivos de las empresas les da pÔnico hacer semejante striptease.

Merecería la pena que a algún sagaz presidente de consejo de administración se le ocurriera (lo mismo ha sucedido ya) preguntar alguna vez por las capacidades reales de su compañía para dar información continua, en tiempo real y en línea a la aseguradora o conjunto de aseguradoras sobre la posición de ciberseguridad de la empresa, y en qué medida esto encarecería o abarataría la prima del seguro. Ahí queda.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×