Red Seguridad 099
monográfico servicios esenciales 14 red seguridad cuarto trimestre 2022 La reciente aprobación por parte del Con- sejo de la Unión Europea del Reglamento sobre Resiliencia Operativa Digital (DORA) y la Directiva NIS 2 marca un hito impor- tante a la hora de dar respuesta a nuestra pregunta. Si hiciéramos un relato de la historia de la ciberseguridad y sus diferen- tes niveles de adopción, probablemente muchas de las personas que trabajamos en este sector haríamos “alarde” de un “ya lo hemos venido advirtiendo”. Hemos pasado de los momentos ro- mánticos de los ciberriesgos, donde las mentes inquietas nos hacían ver la ne- cesidad de trabajar con metodologías de seguridad adecuadas y los fabricantes de soluciones nos aseguraban que con sus plataformas podíamos dormir tranquilos, a un escenario digital en el que la velo- cidad de los cambios tecnológicos y la transformación de nuestros negocios han derivado en una situación que podría lle- varnos a situaciones límite y críticas. Recuerdo un congreso, en 2002, don- de un experto me hacía una pregunta cla- ve: “Xabier, ¿cuándo conseguiremos que se nos tome en serio a los profesionales de la ciberseguridad y nuestras empresas inviertan de forma adecuada en nece- sidades reales?”. Seguro que recuerda mi respuesta: “Cuando consigamos que nuestros CEO asistan y participen en es- tos congresos”. Después de muchas leyes y reglamen- tos, estamos en el lugar adecuado. Den- tro de las características del Reglamento DORA, de directa aplicación en el sector financiero y sus diferentes líneas de ne- gocio, y de la Directiva NIS 2, aplicada a sectores esenciales y críticos, ya tenemos la ciberseguridad en el lugar que se me- rece: en los consejos de administración. Cultura de seguridad El nuevo modelo normativo incrementa y alinea los requisitos en materia de ci- berseguridad reforzando el papel de los gobiernos para exigir su cumplimiento. Y su impacto es tal, que se ha elevado su obligado cumplimiento a la cadena de suministro, incluyendo a todas aquellas empresas cuyo tamaño sea mayor de 250 trabajadores y de 50 millones de negocio. Todos sus altos directivos, empezando por CEO y consejos de administración, tendrán la responsabilidad de cumplir con las necesidades de seguridad de sus sis- temas y ecosistemas para garantizar la re- siliencia de los servicios críticos europeos. Alea jacta est . Ya no tenemos excusas para, de una vez por todas, hacer de la cultura de seguridad uno de los elemen- tos de competitividad de nuestras empre- sas y de futuro para nuestra ciudadanía. Es momento de revisar cómo hemos lle- gado hasta aquí y cómo debemos cons- truir a partir de ahora un modelo donde la colaboración público-privada sea un hecho, evitando una competencia entre ambos entornos con una fórmula muy sencilla: las entidades públicas han de promover y exigir la cultura y el compromi- so con la ciberseguridad practicando con el ejemplo, y las privadas desarrollar sus estrategias de negocio alrededor de un verdadero ADN de seguridad que las haga más competitivas y resilientes. Reflexión No quiero acabar este alegato sin pedir una reflexión profunda al sector: oferta y demanda. La seguridad no se subasta, no es simple ni fácil de gestionar. Nos quejamos permanentemente de la falta de talento, pero más allá de quienes es- tán en clientes finales con posiciones y condiciones acordes a sus capacidades y resultados, creo que debemos revisar ur- gentemente cómo contratamos la seguri- dad si nuestro reto ha sido exigir a nues- tros CEO que nos escuchen e inviertan en futuro. Ni las licitaciones públicas, ni las privadas, ponen realmente en valor esa palabra mágica que llamamos “talento”. Así que la pregunta debe tener una misma respuesta para todos, CEO y CISO, oferta y demanda: la ciberseguridad es una obligación y un compromiso. Ciberseguridad, ¿obligación o compromiso? X abier M itxelena R uiz Managing Director en Accenture Security
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz