El ransomware tiene un precio. Este es el tĆtulo principal de la prĆ³xima ediciĆ³n de Espacio TiSEC, que tendrĆ” lugar en Madrid los dĆas 19 y 20 de este mes. Esta cita hay que entenderla como la continuidad de la serie temĆ”tica sobre riesgos cibernĆ©ticos y ciber seguros que SIC iniciĆ³ en el aƱo 2014 y en la que se proponĆa empezar a contestar a la siguiente pregunta: ĀæQuĆ© daƱos causados por ciberataques se atreve a cubrir el sector asegurador? Una dĆ©cada despuĆ©s esta cuestiĆ³n sigue criando nuevas aristas, principalmente a raĆz de la irrupciĆ³n de la extorsiĆ³n -en mĆŗltiples escalas y variantes- en los planes de negocio de la delincuencia.
El flujo de los ciberataques (tambiĆ©n de los exitosos) forma parte del panorama del estado actual del arte de la digitalizaciĆ³n y de gestiĆ³n de riesgos de ciberseguridad (tecnologĆa, implementaciones, serviciosā¦). Bien puede decirse que, si no te toca hoy, te tocarĆ” maƱana.
Por tanto, ese conceptual āriesgo residualā que se nos queda enquistado despuĆ©s de proteger y proteger, es como un āPepito grilloā que nos recuerda que lograr la supresiĆ³n de todos los riesgos es un objetivo inalcanzable. Y que mientras seguimos intentĆ”ndolo, hay que estudiar por lo menudo la otra parte del asunto, aquella en la que debemos de tratar de que el impacto de un ciberataque exitoso sea, a todos los efectos, el menor posible.
En ambos terrenos el CISO tiene un papel estelar. Pero histĆ³ricamente āy por razones obviasā las generaciones iniciales de CISOs tuvieron que hacer hincapiĆ© en la primera. Desde hace ya tiempo, y con la elevaciĆ³n en el ranking de importancia de los riesgos asociados con la ciberseguridad en el sistema de gestiĆ³n de riesgos de las corporaciones (especialmente de las multirreguladas) al Responsable de seguridad de la informaciĆ³n, los daƱos causados por ciberataques a propios y terceros, que se miden en dĆ³lares y euros, le han llevado a potenciar la suscripciĆ³n de pĆ³lizas de seguros. Y aquĆ el CISO tiene un gran papel. Y tambiĆ©n lo tienen la cadena de valor del seguro, la industria de ciberseguridad, los proveedores de servicios, la legislaciĆ³n en general y, a la postre, el mundo de los negocios y actividades.
En este Espacio TiSEC, la revista SIC, fiel a su ideario, volverĆ” a tratar este asunto de la mano de los principales implicados: usuarios corporativos/CISOs, aseguradoras, mediadores, consultores, proveedores de servicios y de tecnologĆas y, como no puede ser de otra manera, los CSIRTs de referencia principalmente concernidos en EspaƱa y los investigadores policiales. (Programa e inscripciones en https://revistasic.es/espacio-tisec/propuesta-el-ransomware-tiene-un-precio).
LegislaciĆ³n y caos. QuizĆ” haya alguien que sepa si vamos a trasponer la NIS2 a fecha. Aunque con la que tenemos encima, ni siquiera estĆ” claro si la pieza que se prepare finalmente va a responder solo a la trasposiciĆ³n o, ademĆ”s, va a incorporar deliciosos peteretes rellenos de ciber resiliencia y baƱados por fuera con la esencia de lo integral, que tanto gusta en algunos ambientes gubernativos.
RecordarĆ” el lector avispado que aprovechando la necesidad de ajustar la legislaciĆ³n espaƱola al RGPD, hicimos la Ley OrgĆ”nica 3/2018, de 5 de diciembre, de ProtecciĆ³n de Datos, en la que se colĆ³ la āgarantĆa de los derechos digitalesā so pretexto de cumplir con el artĆculo 18.4 de la ConstituciĆ³n. Desde luego, mal pensado no estaba.
Vista la gran discrecionalidad que cada Estado miembro de la UE tiene para trasponer directivas, habrĆ” que esperar cualquier cosa, incluso la creaciĆ³n de una Agencia Nacional de Ciberseguridad que dependa del Ministerio de Juventud e Infancia. Por aquello de trabajar a largo plazo.
Agencia de Ciberseguridad de la Comunidad de Madrid. Ya estĆ” en marcha la entidad, cuyo responsable es Alejandro Las Heras en calidad de consejero delegado.
En el momento actual se estĆ” creando la estructura de la Agencia, su ComitĆ© de Seguridad de la InformaciĆ³n, la estrategia de ciberseguridad y la polĆtica global de seguridad de la informaciĆ³n de la Comunidad de Madrid que darĆ” lugar en 2025 a un Plan EstratĆ©gico de Ciberseguridad en el que se definirĆ” la arquitectura de ciberprotecciĆ³n de esta Comunidad AutĆ³noma y se determinarĆ” el presupuesto de la Agencia y el equipo humano necesario para su implantaciĆ³n y operaciĆ³n.
El lector puede leer en pĆ”ginas interiores una entrevista de alcance, amablemente concedida por Alejandro Las Heras a SIC, en la que avanza los primeros pasos de la organizaciĆ³n.
