Gianluca D’Antonio, Academic Director, IE Master of Cybersecurity; Partner, Deloitte; Chairman, ISMS Forum. /  Carlos A. Saiz, Vicepresidente, ISMS Forum Spain; Director, Data Privacy Institute; Attorney, Partner and Head of Governnance, Risk & Compliance practice, Ecix Group.

Otro año más, desde el CISO WorkGroup de ISMS Forum, hemos recopilado los principales retos a los que se enfrentan los profesionales de la Ciberseguridad y la Privacidad en las organizaciones. Para este año 2020, llaman la atención algunos ítems importantes que pasan a ser una de las mayores preocupaciones de los CISOs y que, a continuación, desgranamos de forma sucinta.

Para comenzar, hemos de resaltar que se ha colocado en primer lugar uno de los aspectos de los que todo el mundo habla, el “Third Party Risk Management”. Y es que queda patente cada vez que se publica algún tipo de ataque que existe una importante dependencia de las compañías versus sus proveedores, por lo que el perímetro de seguridad de las organizaciones ya no está compuesto solamente por sus propios activos, sino que es necesario un esfuerzo extraordinario para conocer mejor los niveles de seguridad y Compliance de sus proveedores, así como dotarse de medios para homologar, clasificar, y en definitiva, generar diferentes grados de confiabilidad de los mismos. Este proceso permite tomar mejores decisiones y más precisas en cuanto a contratación, responsabilidades, penalizaciones, etc. Esta tarea de “diligencia debida” hacia la cadena de suministro no solamente es una buena práctica para mitigar riesgos, sino que resulta obligatoria por normativa como la de protección de datos o protección de infraestructuras críticas.

Junto a este punto que ocupa el puesto número uno, podemos mencionar otros que son muy cercanos, como el número siete relativo a las certificaciones de proveedores, procesos y profesionales, y el número once relativo a la gestión de incidentes de los Vendors y proveedores. Con esto, se ponen de manifiesto las estrechas relaciones de dependencia entre todos los actores de una sociedad hiperconectada como la actual. La gestión de los riesgos relacionados con el uso de las nuevas tecnologías se configura como un conjunto de actividades complejas por la naturaleza de las relaciones que derivan de la explotación de los sistemas de información.

El auge de los ciberincidentes pondrá a la prueba la capacidad de las organizaciones de gestionar una respuesta eficaz y apropiada bajo todos los puntos de vistas: legal, operativo, económico y reputacional. La resiliencia se impone como una misión crítica a la hora de asegurar la viabilidad de las operaciones. La proactividad en las tareas de entrenamiento y en los ciberejercicios constituirá un banco de prueba y la selección natural entre organizaciones resilientes y frágiles.

También cabe destacar otro de los ítems que viene situándose en el top 5 desde hace años y que para este 2020 se sitúa en el puesto número cuatro. Se trata del awareness y la concienciación en las organizaciones a todos los niveles, desde la capa directiva a todos los usuarios. La generación de campañas de concienciación, contenidos interactivos, gamificación, etc., se está convirtiendo en un aspecto clave y necesario a realizar todos los años en la organización. La creación de una adecuada cultura de ciberseguridad y privacidad, y la capacidad de tener indicadores para medir su evolución en la compañía son aspectos nucleares para un CISO.