La altísima preocupación de las entidades por las ciberamenazas, tal y como se muestra en el IV Estudio de Seguridad Corporativa, elaborado por la Fundación Borredá y Deloitte, está provocada fundamentalmente por el incremento de su número, por el mayor grado de sofisticación de los ataques y por el gran impacto que los incidentes están teniendo en las organizaciones, lo que hace que las entidades pongan el foco en protegerse frente a dichas amenazas.
Sin embargo, el crecimiento de los recursos dedicados a la protección no se ha producido con la misma intensidad que el incremento exponencial de las necesidades. Esto genera una sensación de escasez de recursos económicos dedicados y de personas disponibles con una formación adecuada en materia de ciberseguridad.
Esta situación, que ya se apreciaba de forma previa a la COVID-19, se puede ver agravada en el corto plazo ante el incremento −o al menos modificación− de los riesgos de seguridad a los que se exponen las entidades y ante un escenario en el que se prevé una mayor prudencia a la hora de dedicar recursos. Todo esto podría provocar que algunas entidades no sean lo suficientemente resilientes ante disrupciones graves que puedan afectarlas, poniendo en riesgo su propia supervivencia.
Es por ello que las entidades, ahora más que nunca, no deberían descuidar la implantación de medidas de seguridad en un entorno que, durante estos últimos meses, tanto por la transformación digital que ya se venía produciendo como por las acciones que se han visto obligadas a acometer para dar continuidad a las actividades productivas, han incrementado drásticamente su nivel de exposición. De la misma manera, la formación continua en seguridad debe apreciarse como una inversión que permite a las entidades estar mejor preparadas ante la incertidumbre de lo que pueda ocurrir en el futuro.
Aumento de la resiliencia
Relacionado con todo esto, no solo las entidades están poniendo el foco en el ámbito de la ciberseguridad para mantener un nivel de seguridad que les permita estar relativamente tranquilos, sino que los reguladores y autoridades competentes también están participando en el aumento de la resiliencia del entorno. Para ello, se han establecido regulaciones que cubren la seguridad desde diferentes perspectivas: la Directiva NIS y su transposición en España desde el punto de vista de la seguridad de las redes y sistemas que afectan a los servicios esenciales, la Ley PIC y su reglamento desde la vertiente de la protección de las infraestructuras, el Esquema Nacional de Seguridad desde la perspectiva del sector público, el Reglamento General de Protección de Datos desde la privacidad, etc. Pero esto no solo queda aquí, sino que también existen normas, guías o estándares sectoriales, recomendaciones de los reguladores o autoridades competentes, peticiones específicas de los supervisores, etc.
Evidentemente, esto está provocando que una de las principales preocupaciones que está en constante crecimiento desde hace bastantes años no sea tanto el incumplimiento de las regulaciones, sino la complejidad regulatoria a la que se enfrentan, tal y como se puede apreciar en el IV Estudio de Seguridad Corporativa.
Si bien es cierto que las últimas directrices, tanto a nivel nacional como internacional, tienden precisamente a buscar una convergencia que simplifique este entorno, es fundamental que se haga un esfuerzo especial en este aspecto. Los recursos se podrán dedicar así al objetivo último, que no debe ser el cumplimiento regulatorio en sí mismo, sino el de mantener un nivel de seguridad que facilite la prevención frente a ataques y la resiliencia de las entidades.
Mientras tanto, las organizaciones deben rodearse de expertos en regulación de seguridad desde un punto de vista técnico. Esto posibilitará la interpretación de las exigencias de los supervisores, el establecimiento de los mecanismos necesarios para gobernar, la supervisión del cumplimiento de todos estos requisitos y la elaboración de los procesos necesarios para poder comunicar y reportar la información necesaria a los reguladores.
De la misma forma, igual que existe una clara visión de la complejidad a la que la función de seguridad se enfrenta con motivo de las exigencias regulatorias, también se debe trabajar en que la propia función de seguridad no se perciba dentro de la entidad como un punto que aumenta la entropía de la organización, sino como una fuente que aporta valor al propio negocio y a la sociedad.
De hecho, esta percepción de la función de seguridad dentro de la entidad es un aspecto que, aunque en el corto plazo pueda parecer que no tiene un gran impacto, es necesario prestarle una atención especial para que pueda desarrollarse de forma exitosa. Sin embargo, tal y como se ha visto en el IV Estudio de Seguridad Corporativa, un 30 por ciento de las entidades consideran que la función de seguridad se ve únicamente como un centro de costes o un requerimiento legal, y que no presta ningún valor a la organización.
Doble efecto
Este hecho puede provocar un doble efecto. Por un lado, la sensación de que los recursos se están malgastando, sea cual sea la situación: si no hay incidentes o problemas, porque parece que no había un riesgo real; y si se produce un incidente, porque las funciones de seguridad no se han realizado correctamente. En segundo lugar, una función que se vea en la organización como un duro trámite a intentar salvar es difícil que logre su objetivo, que no deja de ser establecer los mecanismos de seguridad que permitan a la entidad conseguir sus objetivos de negocio de forma segura.
Es por ello que es necesario demostrar el valor que se proporciona a la organización desde la función de seguridad, que es mucho más del que, incluso, los profesionales de la seguridad a veces podemos ver a simple vista. Este valor se debe cuantificar económicamente, identificando el ahorro que se obtiene por las acciones preventivas, de detección y de respuesta que se llevan a cabo, así como las ventajas competitivas que ya aprecian los clientes por relacionarse con empresas que se consideran seguras.
Tal y como se ha visto en el IV Estudio de Seguridad Corporativa, un 30 por ciento de las entidades consideran que la función de seguridad se ve únicamente como un centro de costes o un requerimiento legal
Además, esto no debe verse como un acto publicitario que mejora la percepción de la función de seguridad. Por el contrario, se ha de poner de manifiesto que facilitará la obtención de aquellos recursos que hacen falta para mantener el nivel de protección y, como en un círculo virtuoso, la rueda se retroalimentará para aumentar la protección de la entidad y la capacidad de resiliencia ante los eventos que puedan ocurrir.
No obstante, para lograr esto es fundamental contar con una visibilidad de 360 grados de la situación de seguridad, de forma que pueda obtenerse toda la información que impacte en la seguridad de la organización, explotarse de forma inteligente y con las herramientas necesarias, así como utilizar las habilidades y capacidades necesarias para reportar lo que es realmente importante.
Para concluir, el Estudio pone de manifiesto la alta y creciente preocupación por las ciberamenazas, la creciente preocupación por la complejidad regulatoria y la percepción de que, en ocasiones, la seguridad aporta poco valor a la organización. Todos estos aspectos no se están viendo reducidos a raíz de la situación provocada por la COVID-19, sino más bien todo lo contrario. Por ello, es fundamental que en todas las instancias, desde la propia función de seguridad de las entidades, pasando por las entidades en su conjunto y llegando, incluso, a reguladores y supervisores, no se disminuyan los esfuerzos que ya se estaban llevando a cabo para poder mantener o incrementar la protección del entorno. Algo que permitirá afrontar los ataques, incidentes y problemas con unas garantías adecuadas que redunden en el propio desarrollo económico de la sociedad.
