Entrevista a Josep Bardallo, coordinador del Pacto Sostenible de Ciberseguridad
La sostenibilidad en la ciberseguridad es ya una realidad. Desde hace algo más de un año, un grupo de trabajo encabezado por Josep Bardallo, CISO y DPO del Grupo Hospitalario Recoletas, trabajan en el lanzamiento de un sello bajo el nombre de Cyber Green Proof como novedad al Pacto Sostenible de Ciberseguridad. El sello fue presentado el pasado 5 de julio en un evento organizado por Incibe y Ciuden, en colaboración con ISMS Forum, donde se abordó la problemática de la seguridad en el sector energético. Para Bardallo, el pacto al que se están adhiriendo distintas empresas "deja claro que es posible implementar en las organizaciones la ciberseguridad con criterios de sostenibilidad".
¿En qué contexto surge el Pacto Sostenible de Ciberseguridad que plantea ISMS Forum y del que usted es coordinador?
Esta iniciativa nace en el seno de una de las iniciativas que ya está operativa en ISMS Forum que se llama Cloud Security Alliance (CSA) que promueve distintas iniciativas que tienen que ver con el cloud y la seguridad.
Dentro de la CSA hay un grupo de trabajo que puso en marcha el pasado año una iniciativa llamada Green Cloud. Se trata de crear una guía empresarial sobre proveedores de cloud y su sostenibilidad.
Desde este contexto ya se pensó que además de constatar que esos proveedores de IT o de cloud son sostenibles hubiera una especie de sello de garantía que avalase esa apuesta por la sostenibilidad.
Al final, la iniciativa ha evolucionado hacia ese Pacto Sostenible de Ciberseguridad. Se trata de que las empresas de cualquier sector se adhieran a dicho Pacto y ese sello ratifique su compromiso con la sostenibilidad en materia de ciberseguridad.
En este pacto se habla de buscar un liderazgo responsable a nivel de gobernanza, ¿qué ventajas tiene impulsar dicho liderazgo en las empresas?
Estamos hablando de un principio clave en el desarrollo de la sostenibilidad en materia de ciberseguridad. Si no se impulsa desde la alta dirección a través de la gobernanza, el modelo es inviable.
La idea es que este factor de gobernanza esté incluído dentro de la responsabilidad social de la empresa, pero al mismo tiempo también en la política de ciberseguridad de la compañía y estar soportada por toda la empresa para que afecte a todos sus estamentos.
Por tanto, ya no es solo una ventaja, sino que es la necesidad de que todo lo que tenga que ver con gobernanza y ciberseguridad sostenible deba estar soportada por la alta dirección. Este es uno de los puntos de este pacto. La gobernanza debe ser sólida y debe estar alineada con la gobernanza de sostenibilidad de la empresa, incluída esta parte ciber.
Otro elemento de dicho pacto habla de la eficiencia energética, ¿cree que es posible alcanzar dicha eficiencia en un entorno de crisis como el actual?
Sobre este aspecto, las empresas de IT y de cloud, como tienen que ahorrar costes al estar en un entorno geopolítico complejo, todos ellos están, por un lado, intentando cumplir la normativa de sostenibilidad y al mismo tiempo, trabajando en el ahorro de costes.
A este respecto cuando haces un Data Center más eficiente es precisamente porque se reducen sus gastos. Eso hace que esta variable de dicho decálogo sobre ciberseguridad sostenible de alguna manera ya lo cumplan la mayoría de las empresas.
También se habla de la gestión eficiente de residuos electrónicos y de la economía circular, ¿cómo cree que las empresas deben afrontar ambas cuestiones?
Son pilares de ese Manifiesto por una Ciberseguridad Sostenible. Ambos elementos van en la misma línea. Si quieres ser eficiente tienes que reutilizar bien el ciclo de vida de los elementos tecnológicos. La economía circular ayuda a reutilizar bien esos elementos.
Por los trabajos que hemos hecho, hemos comprobado que ya están las empresas trabajando en esta línea de reutilización de elementos. Se recicla de forma sostenible como elemento de ahorro de costes. Se trata no solo de ser más eficiente, sino de gestionar mejor los recursos.
¿Qué papel debe jugar la divulgación y el desarrollo de acciones promocionales para dar a conocer este Pacto Sostenible de la Ciberseguridad?
Todo este tipo de acciones divulgativas y promocionales son claves en un elemento novedoso como el que estamos abordando. Se habla de sostenibilidad a nivel general con una normativa europea y mundial que debe cumplirse, pero a nivel de ciberseguridad no hay nada en este sentido.
Esto hace que ahora recobre importancia la difusión de esta actividad para que se conozca mejor en sus entornos profesionales respectivos el valor añadido que hay tras este sello Cyber Green Proof que hemos acuñado.
Este Pacto Sostenible de Ciberseguridad aboga por crear estándares sostenibles en materia de ciberseguridad, ¿qué complicaciones se van a encontrar las empresas para obtenerlos?
Estamos trabajando en dichos estándares. Puedo decirle que ya existen algunos mas técnicos, como es el caso de sostenibilidad en Data Center y en otros aspectos técnicos.
Ahora lo que se pretende es ampliar el ámbito. Es evidente que implementar estándares de este tipo tienen su complejidad. Crear una marca de garantía siempre genera más trabajo a las empresas, lo que hace que sean reticentes a este tipo de cosas.
Sin embargo, pese a esa reticencia, es algo que no va a parar. Las empresas deben de cumplir con sus exigencias en sostenibilidad y la propia ciberseguridad debe ser sostenible, con lo cual, al final se lograrán crear estos estándares en los próximos años.
¿Qué tipo de métricas existen en el área de la sostenibilidad en ciberseguridad y qué importancia tienen?
Este es el principal reto de esta iniciativa. En el estudio que hicimos vimos que cada uno lo mide como quiere, no está estandarizado. Hay algunas métricas que te permiten medir sostenibilidad en el mundo tecnológico a pesar de no estar estandarizado.
Realmente, el reto que tenemos es que se pueda estandarizar las métricas para que luego se puedan comparar. Este es nuestro gran objetivo, conseguir que todo esto se encuentre homogeneizado.
Con la marca que lanzamos el pasado mes de julio en Ponferrada, las empresas están adheridas a este pacto y hay al menos ocho puntos que cumplen. Esto es un indicador que tiene un grado de compromiso en ciberseguridad.
Por último, contar con una cadena de suministro de proveedores sostenibles es un objetivo ideal, ¿cómo debemos convencerles para que asuman nuestros estándares de sostenibilidad en materia de ciberseguridad?
En cualquier actividad, contar con una cadena de suministros con tus mismos parámetros de gestión y responsabilidad es fundamental en un entorno en el que las relaciones profesionales son claves para cualquier empresa.
Lo más importante es que todas tus políticas empresariales las compartan tus partners y proveedores. Desde este contexto, es previsible que las empresas obligarán a sus proveedores a que tengan el sello de Cyber Green Proof. Al final, todo funciona con un bloque y se busca trabajar con empresas que tengan tus mismos parámetros de responsabilidad y en este caso, de ciberseguridad sostenible.
Desde mi punto de vista, contar con este sello empresarial será un criterio para valorar si nuestra empresa trabaja o no con dicho proveedor o partner estratégico. Al final, contar con este sello será un elemento diferenciador más a medio plazo.
"Se trata de que las empresas de cualquier sector se adhieran al Pacto Sostenible de Ciberseguridad y el sello Cyber Green Proof ratifique su compromiso con la sostenibilidad en materia de ciberseguridad"
