Red Seguridad 088

Expertos red seguridad primer trimestre 2020 37 Iván Sánchez CISO de Sanitas "Se echa en falta un marco regulatorio que empodere la función de la seguridad" E n un entorno tecnológico cada vez más cambiante y en el que la sofisticación de las amenazas crece de manera exponencial, las empresas nos enfrentamos al enorme reto de proteger a nuestras organizaciones y, por tanto, a la sociedad. Una de las amenazas más severas está relacionada con la convergencia entre el mundo digital y el físi- co a través de dispositivos IoT (Internet de las Cosas, por sus siglas en inglés), el coche conectado o el hogar inteligente, ya que puede suponer un impacto para la vida de los ciudadanos en su conjunto. Bajo mi punto de vista, la dimensión de este reto solo puede abordarse desde una perspectiva organizacional completa, y no únicamente desde un departamento de Seguridad. Este es el segundo reto al que nos enfrentamos, que no es otro que el cambio del enfoque tradicional hacia la ciberseguridad. Algo que inherentemente implica un encaje organizativo, cultural, de recursos y de responsabilidades diferente al actual. Al respecto, se echa en falta un marco regulatorio que empodere la función de la seguridad, en lugar de un enfoque prescriptivo y basado en sanciones. El artículo 7 del Real Decreto-ley que transpone la Directiva NIS es un buen inicio. Pero, si bien la colaboración público-privada en España va por buen camino, aún queda mucho por hacer. Por último, este conjunto de amenazas se ve acentuado por el reto que supone en las organizaciones la dificultad de captar y de retener al personal formado en ciberseguridad. Hay una competencia global por recursos y talento, en este sentido. Roberto Valencia CISO de Rural Servicios Informáticos (RSI) "Estamos obligados a gestionar todo el conocimiento de seguridad de la empresa" E xternalizamos los servicios mediante el uso de empresas terceras, utilizamos plataformas en la nube fuera de nues- tro control, contratamos SOC externos e incluso utiliza- mos software libre como base de algunos de nuestros controles. La sofisticación actual de los procesos nos lleva a ignorar la rele- vancia que puede tener la accesibilidad a la información o el uso que de ella se podría llegar a hacer. Nos enfrentamos diariamente al reto de proteger nuestros datos y, por ello, estamos obligados a concien- ciar a nuestros equipos (nuestra primera línea de defensa) y a saber gestionar todo el conocimiento de la seguridad de nuestra empresa. Este es uno de los mayores desafíos que tenemos los CISO. No conocemos el modelo futuro ni somos capaces de imaginar- lo: hace una década se hablaba de la capacidad de adaptación, y actualmente hablamos de resiliencia. La sociedad ya está comen- zando a comprender que la fortaleza de una empresa no reside en lo impenetrables que son sus murallas, sino en la capacidad de librar la batalla y de recuperarse de la misma. Pero, ¿y los mercados? ¿Y los ciudadanos? ¿Y los organismos reguladores? ¿Y las naciones y sus poderes? ¿La confianza quebrantada es irrecuperable? En el concepto de irrecuperabilidad puede haber diferencias de opinión, pero encontramos unanimidad en el alto coste que supone. La seguridad es asunto de todos y cada uno de nosotros, como individuos y como parte de una organización. El reto de las compañías está en avanzar, evolucionar, transfor- marse, protegerse, formar y aprender, gestionar, tranquilizar, comu- nicar y recuperar(se). Cada día, cada minuto. Todo ello en cada proceso, cada actividad, cada decisión. Ágilmente. Eficazmente.