Cuando hablamos de ciberseguridad, muchas veces solemos situar esta disciplina en un plano superior. La tratamos como algo que está fuera de nuestro alcance, que no terminamos de entender, y esto nos ocasiona cierta intranquilidad debido a la falta de control. Además, se trata de una sensación que históricamente ha sido alimentada por los profesionales del sector —aquellos adolescentes un tanto frikis, sentados frente a mesas llenas de monitores en habitaciones oscuras— y, tal vez, también por los propios medios de comunicación.
El CISO debe sacudirse el estigma de stopper y empezar a asumir un papel directivo en las compañías
Pongamos un poco de sentido común a todo esto. Tal y como nos recuerda Andrés de Benito, director de ciberseguridad en Capgemini, esta disciplina no es más que un ejercicio de gestión de riesgos. Hay que saber hasta qué punto la empresa está dispuesta a exponerse, y eso hay que valorarlo teniendo en cuenta el apetito por el riesgo de su comité ejecutivo y de sus accionistas. Muy interesante la reflexión, ya que define la ciberseguridad en sus justos términos: como un área más de la organización que es necesario gestionar de forma adecuada. Ni más ni menos.
Posicionar la ciberseguridad
De hecho, ya es hora de que la ciberseguridad alcance el nivel que le corresponde en la escala de prioridades empresariales. Aunque les ha costado un tiempo, todos los perfiles relacionados con la digitalización han entrado ya con fuerza en los comités de dirección en todo tipo de organizaciones, y este es un estatus al que tiene que aspirar también la ciberseguridad. Al final, se trata de proteger una serie de activos que, cada vez más, conforman la base sobre la que se sustentan la mayoría de los modelos de negocio actuales.
La seguridad ya no está limitada a la defensa por barrera, las soluciones de tecnología pueden acompañar al servicio
Eso sí, no hay que confundir seguridad con bloqueo. Los directivos responsables de esta área deben entender el papel que desarrolla la seguridad dentro de la organización, y saber equilibrar las necesidades asociadas a la generación de negocio y los riesgos que ello comporta. Jesús Mérida, CISO de Iberia, lo explica muy bien en la entrevista que nos ha concedido. El responsable de seguridad debe estar cerca de negocio, entender por qué y cómo se quieren hacer las cosas, conocer de primera mano las soluciones y tener todos los datos para poder evaluar el riesgo de manera adecuada.
El CISO debe sacudirse el estigma de stopper que tradicionalmente le ha marcado. Debe empezar a asumir un papel directivo en las compañías, analizando los riesgos de una determinada acción, pero también todo lo relacionado con los costes o con el beneficio. Además, tal y como nos recuerda Jesús Mérida, hoy la tecnología permite flexibilizar muchas cosas: la seguridad ya no está limitada a la defensa por barrera y es posible lograr que las soluciones de tecnología acompañen al servicio.
