Red Seguridad 088

36 red seguridad primer trimestre 2020 Expertos Antonio Martínez Coordinador de Seguridad Informática de Metro de Madrid "Las empresas están obligadas a estrechar los lazos de colaboración" L as empresas están ante un entorno hostil en términos de amenazas de ciberseguridad. Un entorno que requiere definir una estrategia clara que les posibilite implantarla y gestionarla respondiendo a los requisitos de negocio, las deman- das del mercado, las expectativas de los grupos de interés y, no menos importante, a las normas y regulaciones, en un marco de transparencia en la gestión. Para incrementar las probabilidades de éxito, es esencial que la estrategia se base en un buen análisis de riesgos considerando todos los factores –endógenos y exógenos– que puedan influir en el escenario de riesgos; así como que se articule en términos de procesos, personas y tecnología, apostando por una gestión eficaz del riesgo y por un buen gobierno corporativo de la ciberseguridad. A partir de ahí, será imprescindible disponer de los recursos económicos (inversión no necesariamente traducida en protec- ción y respuesta, sino también en prevención) y humanos. Así se conformarían equipos de expertos para asegurar la implantación de las medidas técnicas y organizativas (desde el punto de vista táctico) adecuadas al grado de riesgo. Asimismo, se debe seguir incidiendo en la concienciación, sensibilización y formación de las personas, en tanto en cuanto supone el eslabón más débil. Por último, dado que la unión hace la fuerza, las empresas están obligadas a estrechar los lazos de colaboración. Pero no solo público-privada, que es hoy una realidad afianzada en múlti- ples iniciativas, sino entre entes privados, ya que se trata de una cuestión de inteligencia. Juan Cobo CISO de Ferrovial "En muchas ocasiones, nuestros terceros son la punta de lanza de los ciberataques dirigidos" P ensando en un horizonte cercano –no conviene alejarse mucho, porque la ciberseguridad es un entorno com- plejo y cambiante–, identificaría, al menos, cuatro retos importantes. En lo organizativo, por un lado, debemos mejorar nuestras capacidades reales de contención y recuperación ante inciden- tes graves. Digo "reales" porque, lamentablemente, los últimos episodios de ciberataques conocidos nos demuestran que el despliegue real de estas capacidades es todo un reto altamente complejo. La simulación y el entrenamiento de ciberincidentes y de sus impactos y consecuencias se han convertido así en una actividad fundamental. Por otro lado, hemos de mejorar el control de nuestros terce- ros, que son, en muchas ocasiones, la punta de lanza y las pri- meras víctimas de los ciberataques dirigidos contra las empresas finales. Si, además, este control pudiera ser estandarizado entre las empresas finales y sus principales proveedores, los beneficios de compartir un mismo modelo serían sustanciales. En lo técnico, me quedaría con el control de la identidad digital, pieza vital de toda estrategia de ciberseguridad y oscuro objeto de deseo de cualquier ciberatacante, con mayor intensi- dad, si cabe, ante la tendencia generalizada del mercado por la orientación a servicios de la tecnología y el uso del cloud . Y en lo legal, será todo un reto estar a la altura de las regu- laciones, cada vez más numerosas, más relevantes y más exi- gentes; así como de la colaboración público-privada, cada vez más útil y más necesaria.