Con las regulaciones actualmente existentes (NIS2, DORA, ENSā¦), Āæes mĆ”s fĆ”cil o no ser CISO? Esta es la pregunta que SIC ha formulado a cerca de 100 CISO, a la luz de lo que tenĆamos, tenemos y āque haya noticiaā vamos a tener en materia regulatoria en la UE y EspaƱa sobre ciberseguridad o en Ćntima relación con ella.
En general, y a tenor de las respuestas, se da por bueno el esfuerzo de cumplimiento que hay que afrontar, āa cambioā de que dicho esfuerzo traiga aparejado una mejor dotación presupuestaria y un apoyo mayor de los consejos y de las altas direcciones para poder ejecutar proyectos de adaptación a esa legislación, y otros que la misma va a permitir emprender para modernizar y alcanzar el hito de llevar a cabo transacciones completas con base en procesos digitales confiables y seguros para todos los intervinientes.
Aunque el paquete legislativo de la UE no estĆ” disponible al completo, la mayorĆa de los responsables de ciberseguridad que han contestado se sienten optimistas, aunque no pocos llaman la atención sobre la dificultad de interrelación entre tanta norma y el peligro de orientar las tareas al cumplimiento y no a la protección efectiva.
Una cosa es cierta: no ya los CISO, sino los CIO, van a tener que ponerse las pilas y bajar a la arena, porque la responsabilidad de cumplimiento (y ante incumplimientos) la tienen los mÔximos órganos de dirección de las entidades esenciales, importantes y... lo que toque.
Como dirĆa un ejecutivo curtido: estamos entrando en el siguiente nivel.
Nueva Estrategia de Ciberseguridad de EE.UU. Ya estĆ” publicado este interesante documento, en el que como aspecto muy destacable se considera al ransomware no solo como un delito (o varios concurrentes) sin mĆ”s, sino como una amenaza a la seguridad nacional. Este hecho es relevante, porque abre nuevas vĆas para luchar contra este imparable fenómeno.
En la sección de Noticias de esta edición se publica un excelente resumen de esta Estrategia, incluyendo las iniciativas inmediatamente posteriores de la Casa Blanca para dotar presupuestariamente a algunas Agencias y Departamentos.
Hay otro frente que, al igual que a la UE, preocupa a la Administración americana: la ciberseguridad de la cadena de suministro en los entornos pĆŗblicos y privados. La agencia de Seguridad de la Infraestructura y Ciberseguridad, CISA, ha abierto una oficina especĆficamente para gestionar riesgos en este entorno.
Espacio TiSEC. Seguros Cibernéticos y otras incógnitas. Ciberseguridad endeble y ciberpólizas. Esta publicación sigue dando continuidad a uno de los temas que desde hace años tiene asociados a su Espacio TiSEC (13 y 14 de junio): el papel de los seguros en las estrategias empresariales para minimizar algunos daños causados por ciberataques, y la reacción de las aseguradoras y reaseguradoras ante el fenómeno del crecimiento en la superficie de ataque y la escasa formalización de procesos de ciberseguridad medibles.
El evento tendrĆ” lugar en fechas en las que es de prever se haya calentado al mĆ”ximo el debate sobre la idoneidad o no de que las organizaciones vĆctimas de ransomware notifiquen el pago de rescates, y las responsabilidades de este particular ante terceros.