Red Seguridad 104
68 red seguridad primer trimestre 2024 expertos Los últimos cinco años han sido, proba- blemente, el periodo donde hemos visto una evolución más rápida del entorno de amenazas. Y todo esto con una pan- demia de por medio que ha cambiado por completo el modelo de trabajo de las organizaciones. De cara a los próximos años, todo hace pensar que tanto el volumen como la complejidad de ataques seguirá en aumento, y hay tres áreas que quizás sean de las más relevantes. Por un lado, la seguridad en las terceras partes y el reto que supone asegurar que nuestros datos y nuestros procesos están segu- ros y son resilientes también cuando es- tán en manos de nuestros proveedores. Por otro, las cuestiones relativas a la aplicación de la inteligencia artificial y la automatización de los ataques, que permiten a los atacantes ser más “efi- cientes” y cubrir una mayor superficie de ataque en menor tiempo. Y por último, el entorno regulatorio, entendiéndolo como el reto que supone para las organizaciones en cuestión de recursos para su cumplimiento y posi- bles sanciones. Un alto grado de madurez en cibersegu- ridad se hace imprescindible para una gestión consistente de las operaciones de negocio. La improvisación ya no es una opción: se trata de aplicar procedi- mientos probados y de actuar de forma preventiva. El objetivo debe ser llevar la ciberse- guridad al ADN de la organización tanto si la gestionan empresas especializadas como si se dispone de servicio de ciber- seguridad propio. Una gestión de las operaciones de ciberseguridad independiente de la go- bernanza y de las auditorías debe llevar aparejada una constante colaboración que alcance también a los CERT de re- ferencia, a la cadena de suministro y al propio comité interno de seguridad de la información en dependencia directa de la dirección. Por otro lado, en cualquier escenario normativo, la evolución constante de los ciberataques basados en la inteligencia artificial será uno de los nuevos retos. Aseguremos los riesgos en cibersegu- ridad y consolidemos planes de forma- ción continua a los grupos de interés. Continúa siendo mejorable la inserción de la ciberseguridad de manera trans- versal en los principales procesos de las entidades, desde esquemas de gestión de riesgos, reportes, planes de negocio y proyectos de transformación digital hasta marcos control de la cibersegu- ridad en los ámbitos tecnológicos. Es necesario, en este sentido, una trans- versalidad real, operativa y eficiente en todos los niveles directivos, estratégicos y operativos. Por nuestra parte, los CISO podemos ofrecer dos herramientas. La primera son frameworks de gobierno de la ciber- seguridad ligeros, ágiles y operativos. Y la segunda planes directores igual- mente ágiles y a corto plazo que pivoten sobre las variables más importantes que afectan a la ciberseguridad y que con- templen una clara orientación a riesgos formal sencilla y clara, un análisis de ne- cesidades, una definición de proyectos afinados y trazables con las necesida- des derivadas del análisis, un esquema de priorización y un modelo de gobierno del plan con alta representatividad di- rectiva y varios niveles de reporte. Damián Ruiz CISO de SingularBank Juan Antonio Sánchez Jefe del Departamento de Ciberseguridad-CISO de la Autoridad Portuaria de Cartagena Iván Sánchez Group Chief Information Security Officer (CISO) de Bupa-Sanitas
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz