¿A cuánto nos sale?

Las circunstancias han llevado a la superioridad a tener que organizar y controlar el proceso de la ciberseguridad en el marco del sistema de gestión de riesgos corporativo, a entender lo suficiente del asunto como para poder hacerlo y a instaurar un sistema de información adecuado para enterarse de cómo va la cosa y, en consecuencia, poder interpretar y enjuiciar razonablemente lo que dicen las tres líneas y el asesor externo de cabecera.

En suma, que la ciberseguridad se ha hecho mayor por, entre otras razones, una feliz conjunción del cumplimiento legal con la amenaza de que uno o varios ciberataques produzcan un agujero en las cuentas y, además, dejen la reputación de la compañía tocada.

Sin duda, la NIS (1 y 2), DORA y otras legislaciones sobre servicios digitales, el dato, la IA, los sistemas y productos conectados, la privacidad…, cada una en su momento, nos llevan al mismo sitio: la responsabilidad efectiva (y advertida) de los administradores, los consejos y las altas direcciones en el gobierno y la gestión de la ciberseguridad y de la seguridad más o menos fundida en la dimensión ciberfísica por la que deambula la sociedad.

Recuerdo la época en la que se empezó a hablar del cuadro de mandos. Y no por el hecho de concebirse en nuestro pequeño mundo como una herramienta para gestionar la seguridad de la información tratada en sistemas TIC, sino por lo que proponía el evangelista de dicha herramienta, que no era otra cosa que su valor para gobernar los negocios con más información que exclusivamente la contable y económico-financiera.

Los hechos nos obligan a ponerle valor y precio a la inseguridad. ¿Qué cuesta realmente un ciberataque? ¿Qué cuesta una ciberseguridad errática o asistemática y basada en la reacción? ¿Hay información de la distancia a la quiebra por eventos de ciberseguridad en los procesos de actividad y negocio –a efectos generales y en sus interrelaciones– en el proceso de digitalización corporativo? ¿Cuánto fraude tiene su origen en problemas de ciberseguridad? En suma, ¿qué es y qué no ciberseguridad?

Responsabilidad legal

La presión regulatoria y la visibilidad de lo efectivo de la criminalidad desplazan el foco al análisis económico y financiero de la ciberseguridad, más allá de lo tecnológico con ser este crucial. Y precisamente es este último, el tecnológico, en el que han estado enclaustrados muchos especialistas de la ciberprotección, hasta el punto de entender el citado enfoque económico y financiero como un mal trago por el que había que pasar para obtener presupuesto y poder montar tamagotchis.

Cierto es que hemos tenido CISOs, digamos vocacionales (algunos siguen en activo), que entendieron el concepto de la gestión de riesgos como orientación corporativa, asumiendo un papel de educadores en el uso seguro de TIC de otros directivos (incluidos algunos CIOs), que quizá no habían caído en la cuenta de que un uso inseguro de las TIC constituye un riesgo de negocio. (La otra corriente filosófica imperante de CISOs no le hacía ascos a la culturización por procedimientos glandulares, lo que podríamos denominar seguridad mandatoria sin formación que valga. Un fracaso en aquel entonces).

Hoy, cuando tenemos la NIS2 a la espera de trasposición y con un capítulo de sanciones económicas curioso; tenemos una DORA que pide controles eficientes en el epígrafe de ciberseguridad en el sector financiero; tenemos un evidente problema general de crecimiento de la delincuencia cibernética en esenciales-importantes-cadena de suministro; y una dependencia de las TIC sin backup…, el proceso de la ciberseguridad debe diseñarse, construirse, mantenerse, refinarse, transformarse y gobernarse con la participación de los administradores y la alta dirección. Es su responsabilidad legal, y va más allá del presupuesto. Mucho más.

Y si no, pues a esperar la NIS3 o un Reglamento General de Ciberseguridad.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×