Las empresas convierten al director de Seguridad de la Información en el “guardián” de la ciberseguridad
Roberto Baratta, CISO de Abanca toma la palabra en la presentación del Libro Blanco de estos profesionales

Las empresas convierten al director de Seguridad de la Información en el “guardián” de la ciberseguridad

Una veintena de responsables de ciberseguridad impulsan el Libro Blanco sobre esta nueva figura
|
22/9/2018 06:15
|
Actualizado: 25/9/2018 10:51
|

En el maco de la séptima Edición del Foro de la Ciberseguridad de ISMS Forum que tuvo lugar este pasado jueves en Madrid, se dieron cita más de 300 profesionales de la seguridad de la información para analizar y debatir sobre el futuro ya presente de la ciberseguridad en las organizaciones, los modelos de madurez y su gobierno.

También se analizó la importancia de la ciberseguridad en el ámbito del Data Science y la ética del dato, entre otros temas de máxima actualidad, como la trasposición de la Directiva NIS al ordenamiento jurídico español.

En este foro tuvo lugar la presentación del Libro Blanco del CISO, una iniciativa de ISMS Forum que cuenta con el apoyo y colaboración de INCIBE y en la que han trabajado más de 20 directores de Seguridad de la Información para definir el estado de esta figura conocida por su siglas en inglés CISO (Chief Information Security Office) en relación a la posición que ocupa en la empresa, sus funciones y responsabilidades atribuibles, cuestiones relacionadas con su formación y experiencia previa, entre otras.

El papel del CISO es hoy más complejo que nunca. Durante los últimos años, los departamentos de seguridad han tenido que enfrentarse a un panorama de amenazas cada vez más difícil y el CISO ha desempeñado un papel mucho más visible dentro de las organizaciones. Como resultado, su rol ha experimentado una importante evolución y acercamiento al negocio.

Jesús Mérida es el  CISO de la multinacional española Técnicas Reunidas. Es uno de los profesionales que ha intervenido en este Libro Blanco que en unos días se presentará a la opinión pública.

“La publicación pretende interpretar de forma correcta y aportar valor a la figura de este profesional en las organizaciones. Aquella seguridad informática de hace unos años se ha convertido en una disciplina por sí misma”. A su juicio, en este contexto la figura del CISO ha cobrado peso en los últimos años.

Con esta obra, se pretende orientar “tanto a las empresas como a los profesionales que realizan este trabajo para que sepan como articular esta figura dentro de su estrategia empresarial y los profesionales sepan como orientar sus carreras profesionales”. Dese esta perspectiva la figura del CISO es estratégica para cualquier empresa de cierto tamaño. “Ahora la ciberseguridad está muy alineada con el negocio de cara a proteger la información de las empresas”.

Panorámica del Círculo de Bellas Artes donde más de 300 expertos en ciberseguridad debatieron las últimas tendencias

Desde esta perspectiva, la figura de un gestor de seguridad hace de «traductor entre el idioma técnico y el idioma  de negocio. Lo que procuramos es que las empresas inviertan en ciberseguridad y tengan las medidas adecuadas a los riesgos detectados con anterioridad”. Para Mérida, muchos ciberataques ayudan internamente en el seno de la empresa a explicar de qué estamos hablando.

“Hay que formarse continuamente a nivel técnico de seguridad y de gestión. Conocer bien nuestro negocio para diseñar las medidas de seguridad que necesita nuestra firma”.

En cuanto a las tendencias que marcan la ciberseguridad, Mérida revela “que no tanto protegemos el perímetro de las empresas, porque vivimos en la era de la movilidad. Hay que tener cuidado con nuestros dispositivos móviles y con la nube que supone un ahorro importante para las empresas, porque no tienen que invertir tanto en infraestructuras y tienen sobre todo que protegerse de su negocio”.

El CISO marca la estrategia de seguridad

Para Susana González, abogada y socia de ECIX GROUP Ciberderecho Compliance y Ciberseguridad en Zaragoza, sede de la que es responsable, “el auge de la transformación digital ha reconvertido el papel del director de seguridad tradicional, ahora conoce de IT, de dirección de sistemas y todo lo que tiene que ver con la seguridad de la información. Al final uno de sus cometidos es diseñar en cada empresa la estrategia de seguridad de la información”

Para esta experta, “la empresa debe ejercer un liderazgo en todos los procesos. Hoy en día la información es un activo muy importante para las empresas, dentro de ella los datos personales son una parte cada vez más importante”.

A su juicio, estos profesionales deben tener muy claro cuáles son sus competencias en el seno de la empresa. “Se trata de establecer unos controles y medir realmente si lo que se está implantando está funcionando realmente”. Y la dirección de la compañía debe estar muy alineada con lo que estos profesionales hagan”.  También recuerda que esta figura se puede externalizar, sobre todo a nivel de pymes.

Cada estrategia que diseña un CISO está muy adaptada a su modelo empresaria específico. Son trajes a medida

Para esta jurista hay que ver el desembolso en ciberseguridad como una inversión que va a evitar sanciones y un coste reputacional, Es una actividad que genera mucho trabajo

González recuerda que las empresas deben tener un plan de respuesta ante un incidente y «en este contexto, el CISO, si realiza bien su trabajo, y pese a que se genere dicho incidente, no tiene por qué sufrir ninguna consecuencia. Otra cosa seria la dejación de funciones”.

De todas formas recuerda que la seguridad cien por cien no existe.  “Hay que darse cuenta que el control de la seguridad de una empresa es compleja, tiene muchas capas y estratos que deben cubrirse”. Respecto a las tendencias, “es evidente que muchas empresas que trabajan en la nube cumplen muy bien con los estándares de seguridad en general”.

Un canalizador de la política de seguridad

Mariano Benito lleva los últimos catorce años como CISO de GMV. Conoce bien la Directiva NIS recientemente aprobada porque ha sido uno de los expertos que remitió sus aportaciones sobre esta normativa.

“En el borrador final se habla del mecanismo que una empresa privada debe tener para reportar un incidente de ciberseguridad, ahora habrá que ver si la administración píblica puede adaptarse”.  A su juicio, hay que verlo más como una inversión que como un coste estratégico para la compañía.

Reconoce que en este periodo de tiempo ha cambiado mucho la percepción de su actividad profesional. “Ahora las organizaciones tienen claro que necesitan  un CISO que canalice la política de ciberseguridad de la empresa alineada con la estrategia empresarial”. Es un puesto de dirección de la empresa que “reporta al director general como cualquier director corporativo, sobre todo, en lo que tiene que ver con los riesgos y la política de la empresa”.

A su juicio, es lógico que las pymes externalicen este servicio por coste ya que “cuentan con recursos limitados para este tipo de obligaciones”.

Para De Benito “mientras la mayor parte de los directivos saben realmente lo que les puede pasar, el CISO debe trabajar con lo inesperado. Se trata de estar preparado para aquello que pueda suceder y no lo hayamos previsto, porque realmente pasa”.

Este experto lidera un equipo de profesionales que junto con el diseño de esa política de seguridad realiza también tareas formativas para explicar en el seno de la empresa los riesgos que pueden suceder desde el punto de vista de la ciberseguridad.

Sobre la guía del CISO, explica que “nuestra profesión para muchas empresas sigue siendo bastante novedosa, no saben realmente qué hacemos y qué responsabilidad depende de nosotros. Con esta publicación queremos definir qué hace este experto y qué valor puede aportar a las organizaciones. El trabajo de este profesional debe contar con el respaldo de la dirección general para que sea efectivo».

Al final un CISO bien preparado, dotado de presupuesto, recursos y conocimiento, es clave para cualquier empresa

El apoyo de ciberseguros

Carlos Lluch es corredor de seguros y presidente de la Coordinadora Independiente de Asociaciones y Corredores y Corredurías de Seguros.

Nos advierte que cada vez es más frecuente la existencia de los llamados ciberriesgos. “Siempre que suscribamos un seguro de este tipo debemos estar atento de las exclusiones, es decir, de aquello que no viene en el contrato”.

En este caso queda fuera la participación de la empresa como parte activa en cuestiones terroristas, cataclismos nucleares o provocar cualquier acción voluntaria para cobrar ese seguro. “Si se descubre eso, no habrá nada que esperar del seguro que hemos suscrito y podría ser incluso delictivo”.

Nuestro interlocutor recuerda que en los últimos cinco años han surgido estas pólizas que cubren los llamados ciberriesgos para cubrir «hechos accidentales o imprevistos que puedan surgir en nuestro negocio”, aclara. Hay que darse cuenta que nuestro paso en Internet es trazable y como dice Lluch “hay que ser excepcionalmente bueno para no dejar rastro de nuestra actividad que cualquier pericial pueda detectar”.

Otra cuestión que nos señala es que la principal exclusión también es aquella cobertura que no se pacte. “Estos seguros son trajes a medida y el cliente casi siempre busca aseguradoras que estén especializadas en estos temas y con cierta trayectoria”.

Los ciberriesgos cubren errores y negligencias de la empresa porque “una compañía no puede asumir un coste excesivo que haga inviable su negocio para dotar sus sistemas de una seguridad extrema.  Si al Pentágono de los EEUU o a Sony le han hackeado su web, con razón a pequeñas empresas. Están más expuestas porque tienen menos medios para proteger esos activos intangibles, aclara Lluch.

También estos seguros pueden cubrir acto desleales de empleados como fuga de datos a la competencia “Hay que darse cuenta que el 70% de estos ciberataques tienen un foco interno en su origen”.

Estos seguros se personalizan mucho según las necesidades de cada cliente. Su origen está en la diversificación de Internet a través de diferentes dispositivos

Para este experto “una pequeña empresa puede tener un ciberrriesgo de unos 300 euros como mínimo.  Todo depende de la empresa, del valor de los datos y del sector donde opere. «No es lo mismo una empresa que tenga comercio online que otra más tradicional. Hay diferentes parámetros para medir. Estos seguros se personalizan mucho según las necesidades de cada cliente. Su origen está en la diversificación de Internet a través de diferentes dispositivos. Eso ha hecho que los factores de riesgo se hayan incrementado en muchas empresas y las vulnerabilidades también”.

Noticias Relacionadas:
Lo último en Áreas y sectores