Red Seguridad 091
30 red seguridad cuarto trimestre 2020 servicios esenciales monográfico opinión de campo. O lo que es lo mismo, se hacen las auditorías cada vez en menos tiempo y con auditores subcontratados (que evitan pasivos laborales y, por tanto, un coste en las certificadoras), puesto que, además, hacen el proceso de auditoría menos "doloroso". En este caso, habría que pensár- selo bien antes de elegir a (pseudo) certificadoras de este tipo, puesto que hay que tener en cuenta que el régimen sancionador de la nueva Ley afecta a los sujetos obligados, entre los que no están las certificadoras. Es decir, que si finalmente se demuestra que la auditoría ha otorgado una calificación superior a la merecida, la potencial sanción no podrá recaer en ella. Conclusión: Pensemos que esta- mos ante una prueba médica: ¿Qué preferimos: una prueba molesta pero que nos descubre una enfermedad mortal o una prueba sencilla e indolo- ra que no detecta nada? En definitiva, busquemos algo posi- tivo en la situación actual tan pesimis- ta derivada de la pandemia y aprove- chemos el tiempo preparándonos para el nuevo modelo de seguridad de infraestructuras críticas que llegará en breve a nuestras organizaciones. Esperamos haberos animado a empezar ese camino con estas cua- tro ideas fundamentales. las medidas físicas solo llegan a una D, entonces las medidas ciber tendrán una calificación D. Esta circunstancia tiene su parte buena y su parte mala. La positiva es que ayuda a identificar los pun- tos débiles para la protección de la infraestructura; la negativa, que si no hemos planificado bien las medidas y se nos ha "escapado" algún área sin cubrir, se va a poner de manifiesto en el resultado final. No te quedes corto y apunta alto Dado que el esquema dispondrá de cinco niveles, al igual que el modelo de calificación de Leet Security, cabría adoptar una estrategia de cumpli- miento minimalista y optar a alcanzar un nivel bajo (digamos una C). Siendo una opción válida, sin embargo, esta estrategia priva al evaluado de una de las bondades del modelo: la cons- trucción de capacidades. Es decir, si nos limitamos a analizar si alcanzamos los requisitos del nivel C, no podremos saber cuánto de cerca estamos del nivel B o del A, y esto nos privará del conocimiento necesario para seguir mejorando. Si, por el con- trario, analizamos si alcanzamos los requisitos del nivel A, quizá lleguemos o tal vez nos quedemos en la C; pero, al menos, sabremos qué nos falta y cuáles son las capacidades que hay que implementar para seguir incremen- tando nuestro nivel de ciberseguridad. Esta situación respalda el princi- pio de que la mejora en el grado de ciberseguridad nos acabará condu- ciendo al cumplimiento, mientras que implementar medidas por el mero hecho de cumplir, difícilmente nos llevará a mejorar nuestros niveles de ciberseguridad. Lo barato sale caro (de verdad) Los modelos de certificación llevan muchos años entre nosotros y quie- nes tenemos experiencia en lidiar con ellos sabemos cuál es su punto débil: las certificadoras. La estandarización del proceso de certificación que conllevan estos pro- cesos y el hecho de que no haya ninguna diferencia entre la certifica- ción emitida por una u otra hace que, indefectiblemente, con el paso del tiempo, el precio se convierta en el único factor valorado por los clientes para optar por una u otra certificado- ra. Y cuando esto pasa, ya sabemos cómo termina, se acaba imponiendo la certificadora más barata. ¿Cómo abaratan costes las certifica- doras? Dos mecanismos: reduciendo honorarios y disminuyendo el trabajo
Made with FlippingBook
RkJQdWJsaXNoZXIy ODM4MTc1