Si analizamos los principales retos y desafíos a los que se enfrentan hoy en día los C-Level de la ciberseguridad en las organizaciones, encontramos aspectos transversales a la propia seguridad lógica y de índole muy diversa como son los relativos al propio negocio, los nuevos fenómenos y los legales y regulatorios. En este contexto, el CISO debe esgrimir una estrategia de 360 grados que le permita cubrir la totalidad de las amenazas tradicionales al mismo tiempo que articular un planteamiento balanceado y alineado con los objetivos de la alta dirección.
Sin duda, es tendencia la inteligencia artificial. Lo dice el World Economic Forum, pero también ha llegado de sobremanera a la sensibilidad empresarial; no es una simple moda e impacta en todos los aspectos posibles en materia de seguridad de la información, protección de datos y cumplimiento normativo. Mientras (todavía) asumimos como sociedad la transformación digital, el aterrizaje de la inteligencia artificial generativa conlleva grandes y significativos cambios en el manejo de información y deriva en nuevos modelos de interacción con los considerados actores tradicionales, que trascienden nuestras dimensiones conocidas hasta el momento.
Encontramos también un mayor acercamiento entre el negocio y la ciberseguridad, porque no olvidemos que los algoritmos de aprendizaje que permiten la mejora y automatización de procesos se alimentan de datos que cada vez son más relevantes para la continuidad del negocio. Si a esto le sumamos la complejidad creciente y las dimensiones exponenciales de los ciberataques, nos encontramos en un escenario en el que proteger es necesario, pero también lo es el control de la información que generamos y la forma en la que trabajamos con los datos.
Regulación de ciberseguridad
Un año convulso en el que veremos cercana la entrada en aplicación de normativas comunitarias como son el Reglamento Dora (Digital Operational Resilience Act) y las directivas NIS 2 (sobre seguridad de las redes y los sistemas de información) y CER (sobre la resiliencia de las entidades críticas).
Asimismo, la reciente aprobación del Reglamento de Inteligencia Artificial AI Act, junto con estas normativas, subraya la centralidad del concepto de ‘ciberresiliencia’ en el debate actual. Estas normativas son exigentes y, cuando entren en vigor, podrán acarrear sanciones significativas. Las empresas han desarrollado políticas de cumplimiento centradas en un mejor control de los activos, especialmente en la resolución de incidentes.
Deseos
Entrando en el ámbito de los deseos, el papel del CISO debe evolucionar desde un punto de vista funcional para englobar la totalidad de funciones propias de seguridad de la información, desde la operación hasta la coordinación de políticas con la alta dirección. En este sentido, cobrarán gran relevancia los órganos reguladores, ya que tienen la llave para otorgar un nivel organizativo imprescindible para el mejor ejercicio de las funciones de esta figura.
Otros aspectos deseables serían crear un punto único de contacto para la notificación de incidentes, un inventario informativo de éstos que permita registrar fielmente sus dimensiones o la esperada armonización normativa que posibilite poner orden en un ámbito cada vez más regulado.
No menos importante será ver la posición responsable del tejido empresarial con la implementación de los principios del Código de Buen Gobierno de la Ciberseguridad, como buenas prácticas dirigidas a sustentar el modelo de buen gobierno que facilite la gestión de la seguridad de las redes y los sistemas de información y contribuya a mejorar el proceso de toma de decisiones en este ámbito por parte de los órganos de gobierno de las organizaciones.
La entrada ISMS Forum presenta los desafíos y oportunidades para los ‘C-Level’ de la ciberseguridad en tiempos de transformación se publicó primero en Red Seguridad.
