Actualidad Info Actualidad

El final de los ciber-indigentes

Mariano J. Benito, Cybersecurity & Privacy Ambassador GMV

21/12/2023
Quizás ya conozcan este meme sobre los recursos disponibles para un CISO, que suele circular en foros de ciberseguridad.
Imagen

El meme es más real de lo que cabría pensar. Existen aún muchas organizaciones que consideran la ciberseguridad como un gasto poco prioritario. La Dirección no tiene la visión o la voluntad precisa para entender su necesidad de medidas de protección adecuadas y suficientes. Y aquí nadie es una excepción. Todas las organizaciones están expuestas a amenazas internas y externas. Todas pueden ser objetivo de ataques que otorguen acceso a recursos valiosos que el atacante pueda usar para su propio interés. Datos personales, recursos TI o financieros, información confidencial u otros, … todos ellos se pueden robar, copiar o controlar.

Imagen

Los directores (negligentes) suelen justificar sus (malas) decisiones en ciberseguridad y la escasa dotación presupuestaria en dos razones.

Primero, la dirección tiene capacidad para decidir qué riesgos son asumibles para la organización y cuáles no. Por ello, puede asumir riesgos excesivos cuyas consecuencias no se hacen evidentes hasta que surgen problemas. El coste de una decisión incorrecta lo soporta toda la organización, no el director que decidió incorrectamente. La Dirección está tentada así para invertir menos en ciberseguridad, asumiendo riesgos demasiado altos, aunque expongan en exceso a la organización.

La segunda razón es la alineación de la ciberseguridad con las necesidades de negocio. Es un requisito habitual de los marcos de seguridad, y parece sensato que la ciberseguridad favorezca que la organización consiga sus objetivos sin ser un factor de bloqueo. Ahora bien, ¿Qué decisiones pueden ser bloqueantes? Ciertamente, no lo es aplicar medidas de seguridad que protejan eficazmente sin interrumpir, dificultar o ralentizar. Por ello, la dirección que exige a la ciberseguridad que no aplique controles “para no dificultar el negocio” sólo está sentando la base de futuros ciberincidentes.

El resultado de estas decisiones se concreta en la ciber-indigencia: presupuestos escasos, interferencias en decisiones y mayor debilidad ante riesgos, que se plasman en incidentes más graves y frecuentes.

Este escenario tiene fecha de caducidad. La trasposición de la directiva NIS2 asigna a los directores responsabilidades concretas. El artículo 20 exige tanto que estén formados en ciberseguridad y que proporcionen formación a todo el personal, como que se aseguren del despliegue de medidas “adecuadas y proporcionadas para gestionar los riesgos”. El artículo 32 establece un régimen sancionador que incluye el relevo temporal de la dirección cuando no gestionen correctamente un incidente y, sobre todo, que los directores sean personalmente responsables de los incumplimientos. Se desactivan así las razones para tomar riesgos excesivos, dotando en su lugar al CISO de más y mejores recursos.

NIS2 debe ser el fin de la indigencia presupuestaria de la ciberseguridad.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos