Sin ser CISO, debo decir que llevo más de 40 años trabajando con CISO y CIO de compañías de todos los sectores que amablemente comparten conmigo sus retos y preocupaciones sobre ciberseguridad.
Por extraño que parezca, lo que más les preocupa no es la seguridad sino la falta de recursos en lo que se refiere al presupuesto y al personal. Saben que con suficientes recursos alcanzaría un nivel de seguridad mucho más alto. Pero actualmente se hallan inmersos en una lucha diaria contra los incendios, precisamente como consecuencia de la ya mencionada falta de recursos. Es un círculo vicioso del que es difícil salir.
Primer problema: la falta de presupuesto
Tratemos primero el tema del presupuesto. En cualquier organización, ya sea con o sin ánimo de lucro, nunca hay suficiente dinero para atender todas sus prioridades. Los CISO tienen que justificar cada euro que gastan, y esto no es fácil, ya que la ciberseguridad se considera a menudo como un gasto y no como un activo. Una empresa puede priorizar el desarrollo de un nuevo producto o la apertura de una nueva tienda y dejar la seguridad informática en un segundo plano.
Haciendo un paralelismo, un político sí puede priorizar aumentando el número de policías para reducir la delincuencia como una estrategia para ganar votos. No obstante, la reducción de la ciberdelincuencia no es un activo visible para la mayoría de los ciudadanos. Pero en ambos casos, tanto el político como el CISO deben abandonar la clásica y obsoleta actitud reactiva y liderar el cambio.
Actualmente, muchas de las interacciones y operaciones que realizamos con la administración pública son telemáticas, y el impulso de la transformación digital, respaldado por los cuantiosos fondos de la Unión Europea, hará que nuestra interacción con las distintas administraciones públicas sea cada vez más digital. La ciberseguridad es la policía del ciberespacio y es necesaria para proteger los entornos tecnológicos. Posponer las inversiones en ciberseguridad. en cualquier iniciativa de transformación digital, es tan contraproducente como no tener policías en nuestras calles. Si podemos justificar la transformación digital, la ciberseguridad forma parte de ella.
Por suerte para nosotros, la mayoría de las soluciones de ciberseguridad del mercado actual no solo protegen, sino que también aumentan la satisfacción de los usuarios, mejoran la productividad y reducen los costes. La mayoría de ellas dará lugar a un saludable retorno de la inversión (ROI). Un par de ejemplos son la calculadora del retorno de inversión de la YubiKey y la recuperación de almacenamiento con Netwrix StealthAUDIT. De hecho, en este artículo sobre StealthAUDIT encontrará una fórmula para calcular el retorno de la inversión en seguridad.
He comprobado que los CISO que son capaces de relacionar el mundo físico con el virtual y el ciberespacio tienen más éxito a la hora de conseguir presupuestos para sus iniciativas. Es inconcebible que una tienda no tenga cámaras de vigilancia. La mayoría de las tiendas utiliza sistemas antirrobo es sus productos, y muchas recurren a seguridad privada para proteger su negocio. Cuando estamos online necesitamos protegernos igualmente.
Afortunadamente para nosotros, en España el alivio ha llegado para los CIO y CISO en forma de ley. España ha liderado el cambio en Europa en la transformación digital, de hecho, ya en 1999 fue el primer país en Europa en crear una ley de firma digital. El otro ejemplo al que me quería referir es mucho más reciente. El pasado 5 de mayo entró en vigor el Real Decreto Ley 311/2022, publicado 2 días antes, que regula el “nuevo ENS”, que introduce términos sobradamente conocidos por los profesionales del sector como la Detección y la Respuesta, los principios básicos de Vigilancia Continua y Mínimo Privilegio, y pone el foco en los Servicios en la Nube.
Pero quizá la novedad más importante es que todas las organizaciones gubernamentales españolas deben cumplir los requisitos del ENS antes del 5 de mayo de 2024 y, por extensión, deberá hacerlo cualquier organización privada que trate con la Administración Pública. Esto es una buena noticia para todos, pues ayuda a justificar enormemente la inversión en ciberseguridad. Es como exigir un cinturón de seguridad y un airbag en cada coche para protegernos en caso de accidente, los fabricantes de automóviles están obligados a instalarlos en todos los coches por ley. Así que ahora, al menos en España, la ciberseguridad debe incorporarse a cualquier iniciativa IT existente o nueva. Y a modo de ayuda, el gobierno está proporcionando a las organizaciones financiación para la transformación digital, parte de la cual debe cubrir la ciberseguridad. La pregunta que se hacen muchos CIO y CISO es si será suficiente. ¿Serán capaces de seguir recibiendo la inversión necesaria a largo plazo?
Los profesionales de ciberseguridad, otro recurso escaso
Si los presupuestos para ciberseguridad son escasos, los profesionales no lo son menos. Actualmente es tal la carencia de personal cualificado en este sector que, incluso cuando disponemos del presupuesto necesario, resulta difícil encontrar el personal necesario para implementar las iniciativas de ciberseguridad. Algunos recurren a la contratación de un alto directivo de ciberseguridad junto con personas que tienen poca o ninguna experiencia en ciberseguridad y los forman en la materia. No es un reto fácil, pero es necesario acometerlo. Otros subcontratan todas o parte de las funciones de ciberseguridad a terceros que son expertos en la materia, siempre que puedan conseguir el presupuesto para ello.
En resumen, el reto principal al que se enfrentan los CIO y los CISO no está relacionado tanto con la seguridad como con la obtención de los recursos necesarios para proteger adecuadamente sus organizaciones. Y para ello, lo mejor es recurrir a herramientas de ciberseguridad que, por un lado, suponen una inversión que retornará beneficios, y por otro lado permitirán a los profesionales de ciberseguridad ser más productivos, lo que ayuda a compensar la carencia de personal cualificado en ciberseguridad.
Zane Ryan
CEO de DotForce