Seguritecnia 398

SEGURITECNIA Junio 2013 31 Convergencia en Seguridad que su coordinación sea precisa con el Chief Information Officer (CIO) o el Chief Information Security Officer (CISO), que son los conocedores y quienes dirigen estrategias para la seguridad de las redes y de la información corporativa. Tal y como se ha subrayado en dife- rentes ocasiones desde estas páginas, no es necesario contratar más perso- nal para hacer frente a la convergencia, sino realizar cambios severos en cuanto a la organización y crear sólidas líneas de colaboración, así como contar con profesionales especializados y exper- tos en las diferentes áreas. La cibersegu- ridad se alza con la capacidad de ejer- cer como verdadera palanca de una Se- guridad sin apellidos, pues, más allá de las seguridades física y lógica, la medio- ambiental, la jurídica o la laboral, en- tre otras, son disciplinas que deben ser contempladas. Leyes: una de cal y otra de arena La naturaleza de las amenazas evolu- cionó para crear ataques dirigidos, como Stuxnet, que aprovechaba una vulnera- bilidad informática para infligir un daño físico en una central nuclear. A raíz de es- tos hechos, las administraciones públicas comenzaron a mover ficha en términos legislativos. El objetivo era, en primera instancia, proteger a los operadores crí- ticos y, en segundo lugar, crear estrate- gias de ciberseguridad nacionales. Tras la aprobación de la Ley PIC en España, to- das las miradas estaban puestas en la fu- tura Estrategia Española de Ciberseguri- dad (EECS) y en la nueva Ley de Seguri- dad Privada. En el caso de la esperada estrategia, el texto aún no se ha aprobado, segura- mente a la espera de ajustarlo a las últi- mas exigencias de la Agencia Europea para la Seguridad de la Información y de las Redes (ENISA). Además, la EECS servirá de guía para los responsables de la direc- ción, control y gestión de la ciberseguri- dad nacional y, como consecuencia, de salvaguarda para la economía de España. Por otra parte, el anteproyecto de la Ley de Seguridad Privada se hace eco por primera vez de la ciberseguridad, aunque no con la profundidad y precisión que es- mente la atención un dato proveniente de Estados Unidos. Según el portal de analistas 451 Security, un 27 por ciento de las compañías estadounidenses re- porta sus funciones de seguridad física y lógica a un único director ejecutivo. Te- niendo en cuenta que la dirección uni- ficada es el máximo grado de la conver- gencia en la práctica, el futuro resulta bastante alentador, aunque no hemos hallado datos que trasladen esta cues- tión al Viejo Continente. Como el aceite y el vinagre La designación de un responsable único de Seguridad, llámese CSO o director de Seguridad Corporativa, es la parte más compleja del proceso convergente. Ha quedado constancia en anteriores edi- ciones del Seg 2 que no es sencillo ha- bilitar un puesto de estas características, pero antes es requisito imprescindible desterrar la creencia de que es necesario que atesore conocimientos sobre Seguri- dad de la Información y Seguridad Patri- monial al máximo nivel, un requisito que no es imperioso para una labor de coor- dinación. Si ambas disciplinas se mantie- nen como elementos separados, la orga- nización es más costosa y los procesos, más complejos. Seguridad física y lógica han de funcionar como el aliño de una ensalada: el aceite y el vinagre logran el efecto deseado únicamente si están bien ligados entre sí y mezclados con los ingredientes principales. La separación en silos y el aislamiento de los profesionales deriva en una segu- ridad descoordinada, en una organiza- ción con empleados confusos, que no actúan por miedo a entrar en conflicto con las políticas establecidas. En Seguri- dad, lo último que desearía escuchar la alta Dirección ante un posible ataque o brecha de seguridad es: “Eso no era res- ponsabilidad mía”. Por este motivo, los lí- deres de la Seguridad Corporativa deben ejecutar un plan coordinado, un pro- grama global de riesgos que evalúe la organización como un todo, expuesto a las amenazas globales. Un CSO tiene la obligación de velar por la ciberseguri- dad sin necesidad de supervisar directa- mente al departamento de TI. Basta con respuesta más allá de cualquier adjetivo que podamos sumarle al sustantivo Se- guridad. La convicción sobre la necesidad de abrazar esta teoría aumenta y así lo re- conocen las últimas medidas conjuntas aprobadas por el Ministerio del Interior y el Ministerio de Industria, Energía y Tu- rismo, totalmente comprometidos con la ciberseguridad (páginas 6-19). Sin embargo, lo más preocupante es que la Seguridad Integral no alcance un reflejo contundente en las organizacio- nes, como apuntaban algunas consulto- ras cuando el Seg 2 iniciaba su andadura. Gartner indicaba en el año 2009 que en 2012 el número de organizaciones que contaría con proyectos que integrasen ambas disciplinas se situaría en un 70 por ciento. RED SEGURIDAD se ha puesto en contacto con la consultora, que asegura no disponer de datos actualizados que permitan valorar el acierto o desacierto de su previsión. Por otra parte, Information Week re- veló, a partir de una encuesta realizada en 2012 en Estados Unidos, que la mitad de las organizaciones no había integrado las funciones de sus departamentos de seguridad física y lógica. Además, este 50 por ciento manifestó no contemplar nin- gún plan favorable a la convergencia, un porcentaje que no se ha alterado, ya que el mismo estudio, llevado a cabo por este semanario norteamericano en 2009, obtuvo idéntico resultado. No obstante, su conclusión difiere sig- nificativamente en función del territorio. ASIS Internacional publicó un informe en Europa, donde a la pregunta “¿Consi- dera importante combinar las diferentes facetas/actividades de seguridad?”, úni- camente un once por ciento respondió que no, mientras que el 89 por ciento se mostró a favor de estrategias globales. El 71 por ciento de los que respondieron afirmativamente, opina que es vital dar el paso, a tenor de la naturaleza física/ digital de las amenazas, mientras que el 46 por ciento justifica su posición por el ahorro de costes que supone una estra- tegia convergente de Seguridad. Para traducir en cifras el estado ac- tual de la convergencia, llama poderosa-