Con las regulaciones actualmente existentes (NIS2, DORA, ENS…), ¿es más fácil o no ser CISO? Esta es la pregunta que SIC ha formulado a cerca de 100 CISO, a la luz de lo que teníamos, tenemos y –que haya noticia– vamos a tener en materia regulatoria en la UE y España sobre ciberseguridad o en íntima relación con ella.

En general, y a tenor de las respuestas, se da por bueno el esfuerzo de cumplimiento que hay que afrontar, “a cambio” de que dicho esfuerzo traiga aparejado una mejor dotación presupuestaria y un apoyo mayor de los consejos y de las altas direcciones para poder ejecutar proyectos de adaptación a esa legislación, y otros que la misma va a permitir emprender para modernizar y alcanzar el hito de llevar a cabo transacciones completas con base en procesos digitales confiables y seguros para todos los intervinientes.

Aunque el paquete legislativo de la UE no está disponible al completo, la mayoría de los responsables de ciberseguridad que han contestado se sienten optimistas, aunque no pocos llaman la atención sobre la dificultad de interrelación entre tanta norma y el peligro de orientar las tareas al cumplimiento y no a la protección efectiva.

Una cosa es cierta: no ya los CISO, sino los CIO, van a tener que ponerse las pilas y bajar a la arena, porque la responsabilidad de cumplimiento (y ante incumplimientos) la tienen los máximos órganos de dirección de las entidades esenciales, importantes y... lo que toque.

Como diría un ejecutivo curtido: estamos entrando en el siguiente nivel.

Nueva Estrategia de Ciberseguridad de EE.UU. Ya está publicado este interesante documento, en el que como aspecto muy destacable se considera al ransomware no solo como un delito (o varios concurrentes) sin más, sino como una amenaza a la seguridad nacional. Este hecho es relevante, porque abre nuevas vías para luchar contra este imparable fenómeno.

En la sección de Noticias de esta edición se publica un excelente resumen de esta Estrategia, incluyendo las iniciativas inmediatamente posteriores de la Casa Blanca para dotar presupuestariamente a algunas Agencias y Departamentos.

Hay otro frente que, al igual que a la UE, preocupa a la Administración americana: la ciberseguridad de la cadena de suministro en los entornos públicos y privados. La agencia de Seguridad de la Infraestructura y Ciberseguridad, CISA, ha abierto una oficina específicamente para gestionar riesgos en este entorno.

Espacio TiSEC. Seguros Cibernéticos y otras incógnitas. Ciberseguridad endeble y ciberpólizas. Esta publicación sigue dando continuidad a uno de los temas que desde hace años tiene asociados a su Espacio TiSEC (13 y 14 de junio): el papel de los seguros en las estrategias empresariales para minimizar algunos daños causados por ciberataques, y la reacción de las aseguradoras y reaseguradoras ante el fenómeno del crecimiento en la superficie de ataque y la escasa formalización de procesos de ciberseguridad medibles.

El evento tendrá lugar en fechas en las que es de prever se haya calentado al máximo el debate sobre la idoneidad o no de que las organizaciones víctimas de ransomware notifiquen el pago de rescates, y las responsabilidades de este particular ante terceros.

Documento en PDF
Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×