El final de los ciber-indigentes
Mariano J. Benito, Cybersecurity & Privacy Ambassador GMV
21/12/2023El meme es más real de lo que cabría pensar. Existen aún muchas organizaciones que consideran la ciberseguridad como un gasto poco prioritario. La Dirección no tiene la visión o la voluntad precisa para entender su necesidad de medidas de protección adecuadas y suficientes. Y aquí nadie es una excepción. Todas las organizaciones están expuestas a amenazas internas y externas. Todas pueden ser objetivo de ataques que otorguen acceso a recursos valiosos que el atacante pueda usar para su propio interés. Datos personales, recursos TI o financieros, información confidencial u otros, … todos ellos se pueden robar, copiar o controlar.
Los directores (negligentes) suelen justificar sus (malas) decisiones en ciberseguridad y la escasa dotación presupuestaria en dos razones.
Primero, la dirección tiene capacidad para decidir qué riesgos son asumibles para la organización y cuáles no. Por ello, puede asumir riesgos excesivos cuyas consecuencias no se hacen evidentes hasta que surgen problemas. El coste de una decisión incorrecta lo soporta toda la organización, no el director que decidió incorrectamente. La Dirección está tentada así para invertir menos en ciberseguridad, asumiendo riesgos demasiado altos, aunque expongan en exceso a la organización.
La segunda razón es la alineación de la ciberseguridad con las necesidades de negocio. Es un requisito habitual de los marcos de seguridad, y parece sensato que la ciberseguridad favorezca que la organización consiga sus objetivos sin ser un factor de bloqueo. Ahora bien, ¿Qué decisiones pueden ser bloqueantes? Ciertamente, no lo es aplicar medidas de seguridad que protejan eficazmente sin interrumpir, dificultar o ralentizar. Por ello, la dirección que exige a la ciberseguridad que no aplique controles “para no dificultar el negocio” sólo está sentando la base de futuros ciberincidentes.
El resultado de estas decisiones se concreta en la ciber-indigencia: presupuestos escasos, interferencias en decisiones y mayor debilidad ante riesgos, que se plasman en incidentes más graves y frecuentes.
Este escenario tiene fecha de caducidad. La trasposición de la directiva NIS2 asigna a los directores responsabilidades concretas. El artículo 20 exige tanto que estén formados en ciberseguridad y que proporcionen formación a todo el personal, como que se aseguren del despliegue de medidas “adecuadas y proporcionadas para gestionar los riesgos”. El artículo 32 establece un régimen sancionador que incluye el relevo temporal de la dirección cuando no gestionen correctamente un incidente y, sobre todo, que los directores sean personalmente responsables de los incumplimientos. Se desactivan así las razones para tomar riesgos excesivos, dotando en su lugar al CISO de más y mejores recursos.
NIS2 debe ser el fin de la indigencia presupuestaria de la ciberseguridad.