Miguel Olías de Lima, manager de Risk Advisory especializado en Ciberseguridad de Deloitte.

¿Cuántas veces hemos escuchado acerca de políticas y procedimientos de ciberseguridad que se quedaron en un cajón cogiendo polvo en la esquina de alguna compañía? Supongo que lo habrás oído en más de una ocasión.

Lo cierto es que, a pesar de todo, las políticas y procedimientos son necesarios. Al fin y al cabo, sin ellos nos quedaríamos sin las herramientas requeridas para reflejar cuál es la voluntad de la compañía en materia de ciberseguridad.

La política no solo delimita el rango de actuación, sino que, además, en gran parte satisface las necesidades del plan y la estrategia de ciberseguridad. Estos documentos nos ayudan a definir lo que es realmente importante y lo que no en materia de protección y ciber resiliencia para el negocio.

Entonces, ¿por qué han quedado tan denostados? ¿Por qué no se les da el valor que requieren? El problema radica en la burocratización del gobierno de la ciberseguridad y en la falta de flexibilidad de estos cuerpos normativos para reflejar la realidad de la compañía.

En un entorno tan cambiante como el que vivimos, la digitalización del negocio obliga a digitalizar también muchos elementos de su ecosistema. Entre ellos, las políticas y sus procedimientos.

La única forma de conservar el valor del marco procedimental de ciberseguridad en estos nuevos tiempos es a través de dos principios básicos: la agilidad y la automatización.

Agilidad

La agilidad es necesaria. Cuando se requiere consultar un procedimiento y que este sea cumplido es de vital importancia que el individuo se sienta cómodo en el proceso y encuentre rápidamente la información que necesita. Si no, acabará saltándose la norma.

La agilidad también hace referencia a la minimización de ideas y contenido. En un mundo tan cambiante es necesario crear estructuras rápidas y que respondan con agilidad a las necesidades del ahora.

Para tal fin, es más que necesario no intentar recoger en los procedimientos las infinitas casuísticas que se pueden dar. En estos casos, es mejor aplicar el principio de Pareto: el 20% del esfuerzo cubre más del 80% las situaciones.

Más de una compañía ha generado un cuerpo normativo de tal magnitud que empuja a los usuarios y empleados a vivir en un océano de tickets abiertos con la categoría de “excepcionalidad”.

En el reciente estudio “El estado de la Ciberseguridad en España” de Deloitte, más de 60 CISOs mostraron en un 58% de los casos una insatisfacción con la regulación actual. Bien sea porque esta se concibe como ineficaz, poco específica para su sector o directamente innecesaria.

Si las compañías internamente no hacen el esfuerzo de agilizar sus procedimientos de ciberseguridad, teniendo en cuenta que ya de por sí se tienen que enfrentarse a una regulación evidentemente mejorable, el impacto para el negocio es inevitable. Los mejores negocios hoy en día pueden dejar de serlo en un periodo corto de tiempo. Solo sobrevivirán en un entorno tan cambiante los que se adapten con mayor rapidez y no necesariamente los que predominan en el presente.

Automatización

El segundo principio que debe marcar el camino a la hora de desarrollar dichas políticas de ciberseguridad debe ser el de automatización.

Cuando se quiere aplicar un procedimiento de forma eficaz y, además, verificar fácilmente su cumplimiento, la automatización es la mejor aliada.

Los SOCs están sufriendo una enorme transformación gracias a las herramientas de automatización, entre las que podemos destacar XOAR.

En la medida de lo posible, todas aquellas políticas y procedimientos que se quieran hacer cumplir y que sean de verdadera importancia para la compañía deben construirse siempre bajo la filosofía de la automatización. Al menos este debe ser el aspiracional.

Esta automatización va a generar: santificación del usuario, el cual no se desgastará con tareas repetitivas; facilidad para comprobar su cumplimiento y evitar el fallo humano; ahorro de costes; mayor nivel de ciberseguridad general y, a su vez, mayor agilidad.

Esto se hace más evidente en el caso de los playbooks de respuesta ante ciber incidentes, donde el tiempo apremia y cada hora de respuesta anticipada puede traducirse literalmente, en algunos casos, en millones de euros. Eso sin contar que en tiempos de ciber crisis pocas personas se acuerdan de aquel documento guardado en el cajón.

No todo se puede automatizar y además es cierto que hay que entender que existen casos en los que es bueno que el ser humano ejerza su voluntad para realizar una acción u otra. No obstante, dicho esto, al igual que las empresas están convergiendo hacia ecosistemas digitales y eficientes, la ciberseguridad más tradicional también debe hacerlo.