A quien madura…

Estamos entrando en una nueva fase general de madurez en la gestión de riesgos de ciberseguridad en la que los problemas que plantea no tratar este asunto con la debida diligencia empiezan a ser nítidamente entendidos por los consejos de administración, que han sido los que -finamente guiados por sus asesores de escuela de negocio- están llevando a sus entidades por la senda de la modernización -vocablo hoy sinónimo de transformación digital- a la búsqueda de un futuro empresarial de infinita eficiencia, sin costes de empleo (las personas se reconvertirán en proveedores de las grandes empresas, que es otra forma de mercar con su fuerza de trabajo), y los fondos de inversión cazarán cual rapaces las nuevas iniciativas que pudieran rentabilizar.

Todo funcionará como un reloj suizo: la salud en los mercados bursátiles se fortalecerá cada microsegundo, los estados-nación modificarán sus legislaciones para recaudar más, reinventar derechos y deberes, revolucionar sus viejas funciones, criar otras nuevas y transformar digitalmente la burocracia. (Al respeto de esto último, la transformación digital de la burocracia, no me resisto a contar una pasada vivencia. La siguiente: hace años, cuando ya estaba en la calle la primera generación del DNI electrónico, asistí a un evento, organizado por las AA.PP., dedicado a plantear ideas para, mediando el uso de este documento, brindar un mejor servicio al ciudadano. La principal aportación que escuché fue que con el DNI-e se podría dar la posibilidad a los administrados de … ¡pagar más rápido y más cómodamente las multas!).

En fin, le pido disculpas, lector, por colarle aquí estos dos párrafos iniciales tan encendidos, hecho sin duda provocado por los efectos de este calurosísimo verano en mis mermadas entendederas. Volvamos al asunto de la in-ciberseguridad.

Echarle valor

Como decía, la madurez aplicada a este campo lleva una dirección: ir proporcionando la atención que se le presta al estrato puramente tecnológico con el relativo al de la gestión. No todas las organizaciones lo ven así. Pero las más evolucionadas, sí. Al tiempo, la lamentable existencia de ciberataques exitosos de toda índole y gravedad (desde dentro, desde fuera y a medias), obliga a enfocar dicha gestión como un riesgo empresarial de primer orden, puesto que afecta a los negocios y a los resultados: inactividad, interrupción de operaciones, reputación, cotización en bolsa, fuga de clientes, reducción de ingresos, posibles incumplimientos legales, demandas…

Ya solo estos hechos justifican la necesidad de evolucionar la figura de los CISO, que a efectos generales todavía está demasiado apegada a sus orígenes TIC, con ser esto importante. Y en muchos casos y fases, estrictamente necesario.

No cabe duda: las grandes compañías cotizadas, deben empezar a reflexionar sobre qué van a entender por CISO en pocos años, qué tendrán que gestionar y qué escenarios deberán transformar junto con otros C-level, en fase también de redefinición.

Se me ocurre uno, derivado del problemón que tenemos actualmente con la forma en la que pueden jugar su papel las aseguradoras y reaseguradoras en el mercado de la gestión de riesgos de ciberseguridad de sus clientes. La incertidumbre a la hora de calcular los riesgos que asumen con sus pólizas hace que las primas sean demasiado altas para que este mercado avance. Y los clientes quieren tener cubiertos mediante seguro la mayoría de los daños que les causen los ciberataques. Pero tienen su límite para pagar por tales coberturas.

No le demos vueltas: el enfoque basado en históricos no sirve. Pero hay una fórmula que nos permitiría evolucionar/modernizar/transformar la fuente del cálculo: el informe en línea, continuo y en tiempo real de la posición de ciberseguridad de un asegurado a su aseguradora. Esta idea, que tanto gusta en la auditoría de cuentas, es aplicable a un enorme conjunto de riesgos asociados con la in-ciberseguridad (ya se trató el asunto en el último Espacio TiSEC organizado por SIC). Pero a algunos colectivos de las empresas les da pánico hacer semejante striptease.

Merecería la pena que a algún sagaz presidente de consejo de administración se le ocurriera (lo mismo ha sucedido ya) preguntar alguna vez por las capacidades reales de su compañía para dar información continua, en tiempo real y en línea a la aseguradora o conjunto de aseguradoras sobre la posición de ciberseguridad de la empresa, y en qué medida esto encarecería o abarataría la prima del seguro. Ahí queda.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×