El titular del artículo es una pregunta que, de una u otra forma, cada vez nos hacen a más CISO, sobre todo a aquellos que trabajamos en los sectores estratégicos que encabezan el ranking de los más atacados (financiero, tecnológico, sanitario, etcétera). Ven cómo, poco a poco, el foco de su actividad va cambiando. Ven cómo su gran preocupación de hace unos años, las tecnologías de ciberseguridad, van diluyéndose en una nube virtual donde el perímetro es difuso y los endpoint surgen y mutan antes de que puedan echarles el guante.
También ven cómo los usuarios no son conscientes de los riesgos de su confiada actividad, al mismo tiempo que las amenazas que se ciernen sobre ellos cada vez son más eficaces. Ven que cada vez tienen que hacer frente a enemigos menos conocidos y más peligrosos, y que, sin embargo, la alta dirección sigue siendo reticente a poner más carne (presupuesto) en el asador. Y que, por si todo lo anterior no fuese suficiente, la presión regulatoria es cada vez más alta, convirtiéndose en otra carga con la que lidiar más que en el impulsor de la ciberseguridad, que algunos esperaban (o deseaban) que fuese.
¿Qué hacer ante esta situación?
En este contexto, priorizar es uno de los verbos que más van a tener que conjugar. De este modo, cuando los recursos económicos no alcanzan los niveles deseados y el tiempo se convierte en el reactivo limitante, ser capaz de discernir entre lo importante y lo urgente y no abandonar lo primero al tiempo que se atiende lo segundo acaba siendo el gran reto al que los CISO de estos sectores estratégicos tienen que enfrentarse en su día a día. Y si la prioridad es el gran KPI que deben manejar, el riesgo es probablemente el indicador clave de rendimiento sobre el que más profundamente deban reflexionar.
Es evidente que uno de los ‘nuevos’ riesgos a los que se deben enfrentar los CISO de los sectores estratégicos es el de los atacantes externos. Así pues, los hacktivistas, ciberdelincuentes y grupos APT siempre han sido un riesgo relevante para estos sectores; pero en los últimos tiempos, el volumen, la granularidad y el grado de sofisticación de estos atacantes han crecido hasta tal punto que cabe considerarlo como ‘novedad’. En este sentido, cada vez es más necesario, en estos sectores, disponer no solo de medidas tecnológicas orientadas a la detección y respuesta frente a dichos ataques, sino también, y sobre todo, de servicios de inteligencia que permitan anticiparse a ellos.
Proveedores y cadena de suministro, otro riesgo para los CISO
Otro de los ‘nuevos’ riesgos (cabe destacar el entrecomillado, puesto que en este sector las novedades no son más que evoluciones significativas) a los que se deben enfrentar los CISO de estos sectores es el de los proveedores y la cadena de suministro. Estos últimos son terceros imprescindibles para la actividad, pero que al mismo tiempo suponen una fuente de riesgo cada vez más relevante. Pero no sólo porque cada vez más estos terceros pueden ser la vía indirecta de entrada para los ciberataques anteriormente señalados, sino también por los problemas que se pueden derivar de un diferente apetito de ciberriesgo o de unas capacidades para mitigarlo que pueden ser sustancialmente inferiores a las de los operadores estratégicos.
En este aspecto, ser capaces de medir el riesgo de los terceros, de establecer las medidas de seguridad más apropiadas para cada uno de ellos y de llevar a cabo un seguimiento adecuado de su seguridad son factores cada vez más preocupantes. Sin embargo, no hay que olvidar que estos operadores estratégicos pueden pasar de ser cabeza de ratón a cola de león, si pensamos en los grandes proveedores de servicios cloud, y por lo tanto, deberán ser muy conscientes de que la externalización tecnológica debe llevar asociadas todas las medidas de seguridad técnicas y operativas necesarias para garantizar el mantenimiento del necesario control sobre los sistemas externalizados.
Regulaciones
En último lugar, creo que es importante destacar la creciente regulación como el tercero de los ‘nuevos’ riesgos a los que se deben enfrentar los CISO de los sectores estratégicos. A este respecto, los legisladores han acertado al darse cuenta de la importancia de la ciberseguridad en dichos sectores y al establecer unos requisitos mínimos que todos ellos deben cumplir, pero el peso del cumplimiento y la amenaza de la sanción está creando en estos CISO un ‘complejo de Atlas’ (el titán que debía mantener el mundo sobre sus hombros en la mitología griega) fácil de entender.
Al fin y al cabo, las nuevas regulaciones (Directiva NIS2, Reglamento DORA, la futura Cyberresilience Act, etcétera) no dejan de imponer nuevos requisitos de ciberseguridad que los CISO tienen que ser capaces de satisfacer sin que el negocio se vea afectado y manteniendo un presupuesto de ciberseguridad que no crece al ritmo de dichos requisitos. Y por supuesto, atendiendo simultáneamente a los nuevos riesgos anteriormente señalados y a una exigencia de eficacia y eficiencia cada vez mayor.
¿Qué les espera a los CISO?
En definitiva, la respuesta a la pregunta inicial de «¿qué me espera en el futuro?» no es sencilla. ‘Pelea’ es el término más descriptivo que me viene a la cabeza. Visualizo a los CISO de los sectores estratégicos como al clásico Zorro, empuñando su espada contra varios adversarios que le atacan simultáneamente, mientras un muro (regulatorio) se va moviendo y le va acercando cada vez más a las espadas de los adversarios. ¿Será capaz el Zorro de vencerlos a todos? ¿O de trepar el muro e interponerse entre él y sus adversarios? Y mientras tanto… ¿aparecerá un tercero para ayudarle en la pelea? ¿O caerá y dejará desprotegido su flanco?
Como conclusión, solo se me ocurre que, al igual que el éxito del Zorro se afianza simplemente en su fiel caballo Tornado y en un duro y continuo entrenamiento, la única manera de conseguir que nuestros CISO salgan victoriosos de la pelea es la formación continua, el entrenamiento y contar con un socio experto en ciberseguridad y que sepas que no va a fallar. ¿Conocéis alguno?