ĀæA cuĆ”nto nos sale?
Las circunstancias han llevado a la superioridad a tener que organizar y controlar el proceso de la ciberseguridad en el marco del sistema de gestiĆ³n de riesgos corporativo, a entender lo suficiente del asunto como para poder hacerlo y a instaurar un sistema de informaciĆ³n adecuado para enterarse de cĆ³mo va la cosa y, en consecuencia, poder interpretar y enjuiciar razonablemente lo que dicen las tres lĆneas y el asesor externo de cabecera.
En suma, que la ciberseguridad se ha hecho mayor por, entre otras razones, una feliz conjunciĆ³n del cumplimiento legal con la amenaza de que uno o varios ciberataques produzcan un agujero en las cuentas y, ademĆ”s, dejen la reputaciĆ³n de la compaƱĆa tocada.
Sin duda, la NIS (1 y 2), DORA y otras legislaciones sobre servicios digitales, el dato, la IA, los sistemas y productos conectados, la privacidadā¦, cada una en su momento, nos llevan al mismo sitio: la responsabilidad efectiva (y advertida) de los administradores, los consejos y las altas direcciones en el gobierno y la gestiĆ³n de la ciberseguridad y de la seguridad mĆ”s o menos fundida en la dimensiĆ³n ciberfĆsica por la que deambula la sociedad.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Recuerdo la Ć©poca en la que se empezĆ³ a hablar del cuadro de mandos. Y no por el hecho de concebirse en nuestro pequeƱo mundo como una herramienta para gestionar la seguridad de la informaciĆ³n tratada en sistemas TIC, sino por lo que proponĆa el evangelista de dicha herramienta, que no era otra cosa que su valor para gobernar los negocios con mĆ”s informaciĆ³n que exclusivamente la contable y econĆ³mico-financiera.
Los hechos nos obligan a ponerle valor y precio a la inseguridad. ĀæQuĆ© cuesta realmente un ciberataque? ĀæQuĆ© cuesta una ciberseguridad errĆ”tica o asistemĆ”tica y basada en la reacciĆ³n? ĀæHay informaciĆ³n de la distancia a la quiebra por eventos de ciberseguridad en los procesos de actividad y negocio āa efectos generales y en sus interrelacionesā en el proceso de digitalizaciĆ³n corporativo? ĀæCuĆ”nto fraude tiene su origen en problemas de ciberseguridad? En suma, ĀæquĆ© es y quĆ© no ciberseguridad?
Responsabilidad legal
La presiĆ³n regulatoria y la visibilidad de lo efectivo de la criminalidad desplazan el foco al anĆ”lisis econĆ³mico y financiero de la ciberseguridad, mĆ”s allĆ” de lo tecnolĆ³gico con ser este crucial. Y precisamente es este Ćŗltimo, el tecnolĆ³gico, en el que han estado enclaustrados muchos especialistas de la ciberprotecciĆ³n, hasta el punto de entender el citado enfoque econĆ³mico y financiero como un mal trago por el que habĆa que pasar para obtener presupuesto y poder montar tamagotchis.
Cierto es que hemos tenido CISOs, digamos vocacionales (algunos siguen en activo), que entendieron el concepto de la gestiĆ³n de riesgos como orientaciĆ³n corporativa, asumiendo un papel de educadores en el uso seguro de TIC de otros directivos (incluidos algunos CIOs), que quizĆ” no habĆan caĆdo en la cuenta de que un uso inseguro de las TIC constituye un riesgo de negocio. (La otra corriente filosĆ³fica imperante de CISOs no le hacĆa ascos a la culturizaciĆ³n por procedimientos glandulares, lo que podrĆamos denominar seguridad mandatoria sin formaciĆ³n que valga. Un fracaso en aquel entonces).
Hoy, cuando tenemos la NIS2 a la espera de trasposiciĆ³n y con un capĆtulo de sanciones econĆ³micas curioso; tenemos una DORA que pide controles eficientes en el epĆgrafe de ciberseguridad en el sector financiero; tenemos un evidente problema general de crecimiento de la delincuencia cibernĆ©tica en esenciales-importantes-cadena de suministro; y una dependencia de las TIC sin backupā¦, el proceso de la ciberseguridad debe diseƱarse, construirse, mantenerse, refinarse, transformarse y gobernarse con la participaciĆ³n de los administradores y la alta direcciĆ³n. Es su responsabilidad legal, y va mĆ”s allĆ” del presupuesto. Mucho mĆ”s.
Y si no, pues a esperar la NIS3 o un Reglamento General de Ciberseguridad.
