La ciberseguridad se ha convertido en la mayor amenaza a la que actualmente se enfrentan las empresas. Ya no se trata de una cuestión de fallos en ordenadores y redes, sino de un fenómeno más crítico, que puede impactar directamente en el negocio de una compañía o atacar directamente a la reputación de una gran empresa. Por este motivo, los comités de dirección de las firmas líderes en España ya han incluido las políticas de seguridad de la información como un pilar básico en los comités de dirección. Ahora, el reto en la gestión de la ciberseguridad está en que el resto de las empresas y sus altos directivos sean conscientes también de la importancia de esta estrategia para su negocio.
Así se ha puesto de manifiesto durante el Observatorio Las claves de ciberseguridad para el comité de dirección organizado por elEconomista y PwC y en el que participaron los responsables de Seguridad de varias de las grandes compañías de nuestro país, como Bankia, Mapfre, Sanitas y Naturgy, junto a los socios de este área en PwC.
"El comité de dirección tiene ahora ante sí una nueva realidad, la amenaza de la ciberseguridad, que puede afectar tanto a la continuidad del negocio, como a la propia marca de la empresa y lo va a tener que gestionar con una adecuada toma de decisiones", apuntó Jesús Romero, socio responsable del área de Business Security Solutions de PwC. "El protagonista en esta estrategia sigue siendo el CISO (Chief Information Security Officer), pero este responsable de Seguridad tiene ahora mismo que adaptarse para saber comunicar y concienciar a la alta dirección de la importancia de esta estrategia en su negocio", afirmó Romero.
Gorka Díaz de Orbe, director de Seguridad de la Información de Bankia, puso de manifiesto cómo en su sector los riesgos en este campo habían sido crecientes en los últimos años. "Tenemos nuevas tecnologías como la nube o los servicios de voz y, por tanto, nuevos riesgos asociados, pero también hay vulnerabilidad en los sistemas tradicionales por incompatibilidades tecnológicas. El papel del responsable de Seguridad debe ser tratar de identificar dónde debe poner la organización su foco y sobre todo ahora saber transmitir a la alta dirección ese mensaje", apuntó.
Impacto en la marca
Por su parte, Jacinto Muñoz Muñoz, director de Riesgos y Gobierno de Seguridad y Medio Ambiente de Mapfre, puso el énfasis en el posible impacto en la marca. "La ciberseguridad es fundamental desde el punto de vista reputacional. Si hay un ataque de seguridad se puede perder la confianza del cliente, uno de los tesoros a preservar por una empresa. Por eso, la gestión de la ciberseguridad ya es algo absolutamente necesario para la sostenibilidad y la supervivencia de la compañía", señaló. Para el representante de Mapfre, actualmente la alta dirección tiene claro que los ciberriesgos son algo importante y reclaman tener información. "La parte del interés está conseguida, ahora lo que tenemos que intentar los responsables de Seguridad es dar una información que sea relevante y, sobre todo, clara", destacó Muñoz.
En este punto, el director de CiberSeguridad Global de Naturgy, Jesús Sánchez López, apuntó a la importancia de las personas por encima de la tecnología para abordar este reto. "Tendemos a pensar que la solución en la ciberseguridad está en la tecnología y, aunque la tecnología es importante y la necesitamos para estas amenazas, la realidad es que las personas son fundamentales para la respuesta, la vigilancia y la contención ante una crisis de este tipo". El directivo de Naturgy recordó que en más de la mitad de los casos "el vector de entrada de los ciberataques en una empresa se produce a través del propio personal interno y colaboradores y, por tanto, el factor humano en la protección es fundamental".
Como apuntó Iván Sánchez López, director de Seguridad de la Información de Sanitas, "todo al final es una cuestión de reputación". Y puso el ejemplo de que antes "un incidente de seguridad en la información en una empresa no era noticia y ahora abre portadas en la prensa de masas", indicó. "El ciudadano medio ya es consciente de la importancia de esta seguridad y el consejero delegado ve que puede impactar en el negocio, porque una brecha de seguridad en una firma cotizada ha hecho ya que ese día caiga un 30 por ciento en bolsa".
Con estos ejemplos, Israel Hernández, socio responsable del área de Business Security Solutions del sector financiero de PwC, puso de manifiesto que lo ideal para las empresas es que el comité de dirección esté, además de informado, "también capacitado, preocupado e interesado" en la ciberseguridad. "Sois sectores regulados y eso es un catalizador para avanzar en estos temas: el consejo se conciencia y el regulador te ayuda para implementarlo. Pero tras la fase de la información, lo que se necesita es que cuando el consejo despache estos temas en su agenda, la comunicación que realicen los responsables de Seguridad sea muy eficaz, porque esta es la fase realmente importante", indicó Hernández.
Todos ellos coincidieron en diferenciar entre el Consejo de administración y el Comité de dirección sobre la forma en que deben ser informados de estos temas. "Es muy distinto el consejo del comité de dirección", apuntó el directivo de Naturgy. "El consejo nace motivado ya con estos temas, pero al comité de dirección hay que convencerlo y para ello nuestra responsabilidad es informarles cada día de la repercusión que tiene este asunto en la marcha del negocio, porque al final el comité tiene que ver que estos temas son rentables", afirmó Jesús Sánchez. "El consejo te abre las puertas porque es su responsabilidad, pero el comité tiene el encargo de hacer rentable el negocio, es una responsabilidad distinta que tenemos que saber manejar".
Más demanda que oferta
Los directivos de las cuatro empresas coincidieron en que con las nuevas funciones necesarias para gestionar estas amenazas, actualmente el perfil profesional en este campo está muy demandado. Tanto, que hay más demanda que oferta, sobre todo de profesionales con experiencia en Seguridad de la información. Como señaló Jesús Romero, ahora mismo "hay mucha demanda tanto en el lado de la industria, desde empresas de consultoría, de tecnología e integradores, como en nuestros clientes, y aunque no es complicado incorporar gente joven sin experiencia, hay escasez de profesionales con experiencia. Es un freno aún en este sector y una estrechez que tenemos y marca nuestro día a día. Todos queremos que haya un poco más de masa crítica. Y no es un problema solo en España, también pasa en Reino Unido, EEUU, e incluso en un país como Israel, con una cultura importante en temas de ciberseguridad", señaló el socio de PwC.
Gorka Díaz de Orbe confirmó esta dificultad. "Buscamos gente que se pegue mucho más a la operación. Hasta ahora, los equipos de Seguridad de la información definían los requisitos y ponían en marcha las políticas, pero ahora tienen que participar en el diseño de la solución y estar muy pegados a la operación. El papel del CISO se ha transformado", apuntó el responsable de Bankia.
Para Jesús Sánchez, el déficit de profesionales viene dado por los tres perfiles de formación que se buscan ahora para este puesto. "Por un lado, un perfil muy escaso y difícil de encontrar, que realice el papel de prescriptor y que sepa convencer dentro de la organización. Por otro, hace falta un perfil tecnológico, que realice una labor preventiva constante frente a las amenazas constantes de ciberseguridad. Y, por último, hay un tercer perfil que es del profesional que sabe responder y recuperar ante incidentes", afirmó el portavoz de Naturgy. Desde Mapfre, Jacinto Muñoz lo resumió así: "La compañía necesita en este puesto perfiles que entiendan el negocio y sean capaces de interlocutar con la Alta Dirección y eso es una dificultad añadida".
Los expertos coincidieron en el nuevo rol que ha tomado el responsable de Seguridad de la Información en las empresas. "Antes esta figura era vista como el tipo raro en la empresa. Ahora toma posiciones y debe ir a la dirección con varias soluciones en cada negocio. El responsable de Seguridad de la Información ahora debe dar su visto bueno a cualquier nuevo negocio y antes debe advertir a la alta dirección de los riesgos de seguridad de esa operación. Aunque la responsabilidad final sigue siendo del comité directivo", destacó Israel Hernández. "El rol del CISO no puede ser el de un policía o el del brujo corporativo", apostilló Jesús Romero. "El CISO debe ser un compañero y facilitador para los responsables de negocio, hablar su mismo idioma y ser capaz de trasladar los riesgos tecnológicos de manera comprensible a la alta dirección, para que pueda tomar las decisiones correctas. Y habrá empresas para las que trabajar con este enfoque supondrá un gran desafío", según los responsables de PwC.
Desde Naturgy aportan otra clave en el nuevo papel del responsable de Seguridad de la Información: la creación de una red. "El CISO no debe ser una persona o un equipo centralizado. Debe crear una red, es decir, que todas las unidades de negocio estén ya involucradas en la ciberseguridad y con seguimiento de los objetivos propios. No puede ser alguien que está en lo alto de la montaña vigilando, como ocurría antes. El CISO debe crear roles en la organización que estén implicados en ciberseguridad en los distintos negocios", comentó Jesús Sánchez.
Gestión de un ataque
El momento crítico para el CISO sigue siendo la gestión de la crisis cuando se produce un ataque de ciberseguridad en la empresa. ¿Ha cambiado la forma en la que se aborda esta situación? Según los expertos, sí, y ahora se aborda de manera distinta. "En banca sufrimos bastantes ataques y esto nos da un entrenamiento de verdad ante posibles situaciones de mayor gravedad", destacó el director de Seguridad de la Información de Bankia. "No es igual una crisis de tecnología que una de seguridad. Cuando hay una incidencia de disponibilidad del servicio, de cajeros o de banca online, rara vez sale alguien a explicarlo, pero si hay un problema de seguridad siempre debe salir el responsable de Seguridad. Tenemos que reportar a los proveedores, a la Agencia de Protección de Datos y a una gran cantidad de organismos. Y tenemos a una persona solo para tomar notas y después informar incluyendo para ello al departamento de Comunicación. Por tanto, nuestro papel es fundamental y nuestra forma de actuar es transversal ante una crisis de este tipo", añadió Gorka Díaz de Orbe.
Iván Sánchez incidió en las estrategias de prevención, cada vez más utilizadas. "Hay que ser activos para que no llegue a pasar. Por política de empresa, hacemos una vez al año una preparación, una especie de simulacro, que nos sirve para preparar al comité de crisis ante un posible ataque de seguridad y saber lo que hay que poner en práctica", según informó el director de Seguridad de la Información de Sanitas. Mapfre también utiliza a menudo las simulaciones, según Jacinto Muñoz. "Tratamos que todas las situaciones estén contempladas para intentar improvisar lo menos posible. Y en cada caso vemos que personas de otros departamentos se incorporan. Es muy importante que se una el equipo de Comunicación si el ataque puede producir una crisis de reputación".
