Con las regulaciones actualmente existentes (NIS2, DORA, ENSā¦), Āæes mĆ”s fĆ”cil o no ser CISO? Esta es la pregunta que SIC ha formulado a cerca de 100 CISO, a la luz de lo que tenĆamos, tenemos y āque haya noticiaā vamos a tener en materia regulatoria en la UE y EspaƱa sobre ciberseguridad o en Ćntima relaciĆ³n con ella.
En general, y a tenor de las respuestas, se da por bueno el esfuerzo de cumplimiento que hay que afrontar, āa cambioā de que dicho esfuerzo traiga aparejado una mejor dotaciĆ³n presupuestaria y un apoyo mayor de los consejos y de las altas direcciones para poder ejecutar proyectos de adaptaciĆ³n a esa legislaciĆ³n, y otros que la misma va a permitir emprender para modernizar y alcanzar el hito de llevar a cabo transacciones completas con base en procesos digitales confiables y seguros para todos los intervinientes.
Aunque el paquete legislativo de la UE no estĆ” disponible al completo, la mayorĆa de los responsables de ciberseguridad que han contestado se sienten optimistas, aunque no pocos llaman la atenciĆ³n sobre la dificultad de interrelaciĆ³n entre tanta norma y el peligro de orientar las tareas al cumplimiento y no a la protecciĆ³n efectiva.
Una cosa es cierta: no ya los CISO, sino los CIO, van a tener que ponerse las pilas y bajar a la arena, porque la responsabilidad de cumplimiento (y ante incumplimientos) la tienen los mĆ”ximos Ć³rganos de direcciĆ³n de las entidades esenciales, importantes y... lo que toque.
Como dirĆa un ejecutivo curtido: estamos entrando en el siguiente nivel.
Nueva Estrategia de Ciberseguridad de EE.UU. Ya estĆ” publicado este interesante documento, en el que como aspecto muy destacable se considera al ransomware no solo como un delito (o varios concurrentes) sin mĆ”s, sino como una amenaza a la seguridad nacional. Este hecho es relevante, porque abre nuevas vĆas para luchar contra este imparable fenĆ³meno.
En la secciĆ³n de Noticias de esta ediciĆ³n se publica un excelente resumen de esta Estrategia, incluyendo las iniciativas inmediatamente posteriores de la Casa Blanca para dotar presupuestariamente a algunas Agencias y Departamentos.
Hay otro frente que, al igual que a la UE, preocupa a la AdministraciĆ³n americana: la ciberseguridad de la cadena de suministro en los entornos pĆŗblicos y privados. La agencia de Seguridad de la Infraestructura y Ciberseguridad, CISA, ha abierto una oficina especĆficamente para gestionar riesgos en este entorno.
Espacio TiSEC. Seguros CibernĆ©ticos y otras incĆ³gnitas. Ciberseguridad endeble y ciberpĆ³lizas. Esta publicaciĆ³n sigue dando continuidad a uno de los temas que desde hace aƱos tiene asociados a su Espacio TiSEC (13 y 14 de junio): el papel de los seguros en las estrategias empresariales para minimizar algunos daƱos causados por ciberataques, y la reacciĆ³n de las aseguradoras y reaseguradoras ante el fenĆ³meno del crecimiento en la superficie de ataque y la escasa formalizaciĆ³n de procesos de ciberseguridad medibles.
El evento tendrĆ” lugar en fechas en las que es de prever se haya calentado al mĆ”ximo el debate sobre la idoneidad o no de que las organizaciones vĆctimas de ransomware notifiquen el pago de rescates, y las responsabilidades de este particular ante terceros.
