redseguridad 080

26 red seguridad primer trimestre 2018 retos 2018 opinión De una manera sencilla (y por qué no, simplista) podemos hacer las siguientes fórmulas: Ω RGPD es igual a la suma de "Legal" más "Cumplimiento" más "Ciberseguridad" más "Áreas de negocio". Ω PIC es igual a "Seguridad física" más "Ciberseguridad" más "Áreas de negocio". Ω NIS es igual a "Cumplimiento" más "Ciberseguridad" más "Áreas de negocio". Ω Notificaciones es igual a la suma de "Comunicación" más "Comité de Crisis" más "Legal" más "Comité de Seguridad" más "Ciberseguridad" más "Áreas de negocio". Ω Gestión de incidentes es igual a la suma de "CISO" más "Legal" más "Recursos Humanos" más "Compras (terceros)" más "Áreas de negocio". Esto nos lleva a un sumatorio final donde se aprecia que la cibersegu- ridad es una parte del conjunto de áreas implicadas y, en consecuen- Francisco Lázaro CISO de Renfe "A linear la seguridad con el nego- cio", una frase mantra que se repite desde el área de seguridad, pero que desgraciadamente no tiene un reflejo equivalente en lo que solemos llamar "el negocio". Las obligaciones que traen aparejadas la Ley PIC, el RGPD o la Directiva NIS en materia de seguridad de la información nos deben inducir a reflexionar sobre dicha frase: no es que la seguridad deba estar alineada con el negocio, sino que forma parte intrínseca del mismo. "La seguridad forma parte intrínseca del negocio" cia, no es una actividad separada que debe alinearse con el resto. Lo que denominamos "negocio" es el verdadero responsable de pro- porcionar productos y servicios con seguridad, y no el CISO. La figura del CISO garantiza una interpretación correcta de los requisitos de segu- ridad de la información que están presentes en las leyes antes men- cionadas. En consecuencia, permite acometer las actividades necesarias para alcanzar los objetivos de con- fianza y estabilidad, asesorando ade- cuadamente al negocio y ayudando a una gestión eficaz y eficiente tanto de los riesgos como de las medidas de seguridad a aplicar. Como resultado, la organización ("el negocio") no solo es más segura, evitando o mitigando de esta forma los costes asociados a un posible incidente, sino que, además, la ges- tión de la seguridad se hace de forma más racional, reduciendo la carga económica para las empresas. Siendo así, a muchos profesionales nos parece un error que, si las figuras del responsable de seguridad y enlace o del delegado de protección de datos se han considerado necesarias (y lo son), la transposición de la Directiva NIS no recoja la figura del CISO. A nivel organizativo , la transfor- mación digital en la que estamos inmersos en las empresas representa un gran reto, al que nos enfrenta- mos para ofrecer a las unidades de negocio una respuesta ágil en nuestra participación durante todo el proceso. Desde el punto de vista opera- cional, los incidentes de seguridad siguen aumentando en número e impacto, por lo que es necesario mejorar los procesos de monitoriza- ción y análisis de datos incremen- tando el porcentaje de detección y disminuyendo el número de inciden- Gustavo Lozano CISO de Grupo DIA "Hay que mejorar los procesos de monitorización y análisis" tes. Aquí los proveedores juegan un papel clave para ofrecer tecnología y servicios que estén a la altura para la gestión de controles eficientes que no limiten las iniciativas de negocio. Pero no va a ser suficiente la mejo- ra de nuestras defensas. La forma- ción de nuestro personal en materia de ciberseguridad ante la compleji- dad de los ataques, así como la ela- boración de protocolos de colabora- ción entre áreas clave, es relevante para ser eficaces en la respuesta. Por último, la llegada del nuevo Reglamento Europeo de Protección de Datos supone un reto mayúsculo en la redefinición de procesos inter- nos, relación con terceros, diseño de medidas de seguridad y gestión de incidentes para garantizar el cumpli- miento normativo.