red seguridad 074

los ataques, la convergencia del mundo digital y el mundo físico, el nuevo escenario regulatorio, la retención del talento, la “nunca es suficiente” formación y concienciación de nues- tros usuarios, el control de nuestros terceros, el crecimiento exponencial de la interconexión y todos los riesgos derivados de las tendencias tecnológicas actuales (movilidad, cloud , big data , redes sociales y Shadow IT). Entre las particulares en Ferrovial, nuestro entorno glo- bal multinegocio y multigeografía es siempre un reto, a lo que añadiría los riegos asociados a la adopción de otras tendencias tecnológicas actuales de aplicación directa en nuestros negocios, tales como Internet de las Cosas o Smart Cities . 2 Aunque no es nada nuevo, la externalización y orien- tación a servicios de los procesos más operativos de la gestión de seguridad continúa siendo tendencia. Por otro lado, destacaría la formalización de acuerdos de colabora- ción público-privada, el crecimiento de las regulaciones en materia de seguridad y el papel protagonista creciente que las administraciones y los gobiernos están tomando en el control y la gestión de la seguridad lógica. La convergencia de las funciones de seguridad física y seguridad lógica en las empresas va por barrios, pero la convergencia del mundo digital y el mundo físico es incues- tionable. Con respecto al uso de entornos de cloud , es curioso constatar cómo, ante la evolución de los mismos en mate- ria de seguridad, han pasado de ser “rechazados” por los departamentos de seguridad a ser prescritos. Es también interesante la evolución de las soluciones IRM, cada vez más maduras en lo que respecta a usabilidad y más necesarias ante los nuevos escenarios de colabora- ción soportados por servicios en cloud . 3 Un papel relevante y con protagonismo creciente, sin duda, en sintonía con la relevancia y el protagonismo que la digitalización tiene en la sociedad actual y que no hará sino aumentar exponencialmente en la sociedad del futuro. Con respecto a su evolución, el tiempo y las regulaciones que están por venir dirán. Si hablamos de convergencia de las funciones de seguridad física y lógica, ésta siempre dependerá de cada empresa y sus circunstancias. Personalmente, y al margen de lo estrictamente regulado, no creo que existan fórmulas magistrales para organizar las responsabilidades en materia de seguridad. Cada compañía debe contex- tualizar y adaptar su organización a su propia realidad y necesidades. Eso sí, lo que en mi opinión es innegociable es la armo- nización del mundo físico y del mundo digital en materia de seguridad. De hecho, las amenazas cada vez entien- den menos de diferencias. En la medida en que estos dos mundos se estén fusionando, iremos viendo progre- sivamente que lo que empieza siendo un incidente lógico acaba teniendo graves consecuencias en el mundo físico. Carles Solé Pascual CISO de CaixaBank Miembro de la junta directiva de ISMS Forum “Detección temprana y respuesta son aspectos clave si se quiere mantener un nivel adecuado de seguridad” 1 Ahora, más que nunca, se deben conjugar en la figura del CISO y en su equipo conocimientos de índole muy diversa (del propio negocio, técnicos, legales y regulatorios) y habilidades transversales (comunicación, relación...) que le permitan cubrir la totalidad de las amenazas y trazar un plan efectivo y eficiente de seguridad, el cual debe cubrir aspectos organizativos y técnicos por igual y, además, conseguir que su labor resulte una palanca positiva para el negocio. Todo un reto. 2 Por un lado, la transformación digital en la que esta- mos inmersos las compañías conlleva un aumento en el manejo de información y nuevos modelos de interacción con actores que trascienden nuestras fronteras. Si a esto le sumamos la complejidad creciente de los ciberataques, nos encontramos en un escenario en el que proteger es necesario, pero ya no es suficiente. La detección temprana y la respuesta, no sólo con herramientas, sino, sobre todo, con equipos especializados, son aspectos clave si se quie- re mantener un nivel adecuado de seguridad. Por otro lado, las múltiples regulaciones ponen cada vez más el foco en el nivel de madurez de la ciberseguridad y en la necesidad y premura en la notificación de ciberincidentes. Ya no se trata tan sólo de cumplir, sino de aportar las eviden- cias necesarias de que se cumple. 3 La figura del CISO sigue teniendo un rol y una posición dentro de la estructura organizativa muy diferente dentro de cada organización. Desde el punto de vista funcional, puede englobar la tota- lidad de funciones propias de seguridad de la información, desde las más organizativas a las más operativas, o que- darse únicamente en la parte más normativa. En mi opinión, para afrontar las amenazas actuales es imprescindible una coordinación integrada bajo la misma dirección. En cuanto a la posición organizativa, su dependencia jerárquica nunca ha sido homogénea (dirección general, CIO, CSO, COO, CFO, cumplimiento, riesgos, innovación, etc.) ¿La más adecuada? Aquella que se adapte a la ideosincracia y opinión 54 red seguridad tercer trimestre 2016 especial seguridad corporativa monográfico