Seguritecnia 481

SEGURITECNIA Diciembre 2020 39 Entrevista bio de amenazas proveniente de esta transformación digital acelerada puede llegar a compensar en parte ese poten- cial descenso del presupuesto especí- fico de seguridad. ¿Cómo está evolucionando la posi- ción y capacidad ejecutiva de la segu- ridad corporativa en el organigrama de las empresas? ¿Qué tipo de com- pañías le otorgan más valor a la fun- ción de seguridad? Tal y como se ha podido comprobar en el Estudio de Seguridad Corporativa , pu- blicado por Deloitte y la Fundación Bo- rredá, el reporte de la función de segu- ridad se realiza cada vez a un nivel más alto, incluyendo en su mayor parte al Consejo de Dirección, la Presidencia o la Dirección General. Este movimiento no solo viene dado por las exigencias que existen en ciertos sectores, relativas a mantener la independencia entre líneas de defensa y una involucración perma- nente de la alta dirección, sino por la potencial repercusión que puede tener un incidente en la operativa y reputa- ción de la entidad. Ligado a esto, cabe destacar que en ciertas entidades grandes no se aprecia el valor que aporta la función de segu- ridad, la identifican como un centro de costes o un requerimiento legal. Es fun- damental trabajar en esto, dado que te- ner la percepción de que la función de seguridad tiene poco valor puede con- llevar dificultades a la hora de obte- ner recursos para la protección y, como consecuencia, una mayor probabilidad de sufrir un incidente. Las amenazas que más preocupan a la seguridad corporativa son las de carácter cibernético. ¿Cree que esa preocupación de los responsables de seguridad está en consonancia con la inversión y recursos que se propor- ciona a esta área? La tendencia de los últimos años, y que continuará en los siguientes, es una rápida evolución hacia la transfor- mación digital, que estará unida a la aparición de nuevas amenazas. Los re- cursos actuales son insuficientes en la mayor parte de las entidades, so- bre todo una vez que se ha compro- bado que aquellas entidades que más recursos han dedicado a la cibersegu- ridad han sido capaces de responder de forma mejor y más rápida frente a incidentes. Al contrario, las entidades que han dedicado recursos insuficien- tes han visto cómo su operativa se ha visto muy afectada y, en muchos ca- sos, han tenido numerosas dificultades para volver a la normalidad. En cualquier caso, y más aún en es- tos momentos de incertidumbre, es ne- cesario dedicar de forma eficiente e in- teligente los recursos, identificando los principales riesgos que afectan a las en- tidades y aprovechando las medidas que mejor los pueden mitigar. ¿Cómo cree que va a evolucionar en los próximos años el gobierno de la seguridad dentro de las compañías para abarcar tanto la seguridad tradi- cional como la ciberseguridad y otros aspectos como la resiliencia? Dependerá del tipo y tamaño de la or- ganización, así como de su tradición; pero lo que es indudable es que será necesario establecer unos mecanismos de coordinación cada vez más ágiles y efectivos, que permitan que las accio- nes de cada área responsable vayan orientadas en una misma dirección, y que las acciones se complementen en- tre ellas para alcanzar un nivel de pro- tección adecuado. De hecho, cada uno de estos ám- bitos requiere de una especialización muy específica. Es muy distinto el co- nocimiento necesario para protegerse frente a amenazas físicas y ciberame- nazas. Es por eso que, independiente- mente de la ubicación dentro del orga- nigrama, será necesario tener personas con alto nivel de capacitación y respon- sabilidad en cada uno de estos ámbitos, aunque puedan estar en áreas o depar- tamentos diferentes. La ciberseguridad es protagonista del marco normativo de seguridad ac- tual, con novedades normativas o re- formas en los últimos años. Una de las últimas es la relativa a las redes y sis- temas de la información, en lo que se conoce como marco NIS. ¿Cuáles diría que son los principales retos que pla- nea este marco a la seguridad corpo- rativa de las organizaciones? Por un lado, tener un marco lo suficien- temente detallado como para que las entidades tengan claro qué requisitos deben cumplir; pero que, a la vez, sea flexible para que pueda adaptarse a las distintas entidades por tamaño, sec- tor, etc. Además, será necesario ver cómo, una vez se publique el reglamento de desarrollo del Real Decreto-Ley NIS [de