Aunque ya nos encontramos en pleno despliegue de la primavera, me ha parecido interesante volver la mirada atrás, a los primeros días del mes de enero, una época del año en la que es muy común encontrarnos con informes, listados o artículos de todo tipo en los que se trata de vaticinar cuáles serán las tendencias que están por venir —en este caso en el ámbito de la ciberseguridad— o cuáles serán los eventos más significativos que tendrán lugar a lo largo del año que está comenzando.

De hecho, yo mismo publiqué uno de esos listados sobre las tendencias que se iban a vivir durante este año en mi perfil de LinkedIn, tratando de identificar aquellas áreas a las que se debería prestar más atención a lo largo de 2022.

Aunque lo que planteé sigue siendo válido, la primera semana de abril se produjo un hecho sin precedentes que, cuando menos, altera las que deberían ser las prioridades de cualquier empresa en el ámbito de la ciberseguridad. Y no, no me estoy refiriendo a ciberataques rusos ni a amenazas cibernéticas sobre la cadena de suministros.

Nueva regulación

Efectivamente, hablo de la propuesta de la Comisión de Mercados y Valores de los EE. UU. (U.S. Securities and Exchange Commission) para aprobar un marco legal que regule el gobierno, la gestión de riesgos y la divulgación de incidentes en el ámbito de la ciberseguridad. Puede parecer solo una normativa más, pero no lo es. Se trata de un cambio realmente importante. Enorme.

Las estrategias de transparency by design serán fundamentales en el desarrollo de nuevas iniciativas de negocio

De hecho, en veinte años de carrera nunca he visto una propuesta de regulación que potencialmente pueda cambiar tanto la cultura de ciberseguridad como esta puede llegar a hacerlo. Además, y esto es lo más importante, cambiarla a mejor.

Imaginemos un escenario en el que cualquier empresa, independientemente del sector en el que opere, esté obligada a, entre otras cosas:

• Hacer públicas sus políticas y procedimientos para la gestión de riesgos que provengan de ciberamenazas.
• Comunicar a sus inversores, a través de los formularios correspondientes de la Comisión Nacional del Mercado de Valores, cualquier incidente de ciberseguridad en un plazo de como máximo cuatro días tras la confirmación del episodio en cuestión.
• Difundir los mecanismos mediante los que el Consejo de Administración monitoriza y gestiona los ciberriesgos.
• Divulgar el nivel de experiencia del consejo de administración en el ámbito de la ciberseguridad, si existiera.

Resumiendo, la regulación actual obligaría a las empresas a adoptar unos niveles de responsabilidad y transparencia nunca vistos hasta ahora. Esta nueva situación forzará a desarrollar una mejora importante de la cultura de ciberseguridad en las empresas, algo que afectará de forma clara a sus órganos de gobierno e incluso a la alta dirección.

La regulación actual obligaría a las empresas a adoptar unos niveles de responsabilidad y transparencia nunca vistos

Es cierto que, en el momento de escribir este artículo, la propuesta está todavía abierta a comentarios, y que, además, se trata de una regulación estadounidense. Pero, del mismo modo que tras la aprobación del Reglamento General de Protección de Datos (RGPD) en la Unión Europea siguieron la creación de la California Consumer Privacy Act (CCPA) y, algo más tarde, la Ley Gral de Proteçao de Dados Pessoais (LGPD) en Brasil, es muy fácil adivinar que otros países adoptarán regulaciones similares tanto para organismos públicos como para empresas privadas.

Consecuencias

En cualquier caso, volviendo a la propuesta en sí, desde un punto de vista práctico, las consecuencias que se derivan de esta regulación son de un calado muy importante. Por citar solo algunas, a partir de su aprobación:

• La estrategia de ciberseguridad será un tema recurrente en la agenda de la junta directiva de las organizaciones.
• Las inversiones en ciberseguridad pasarán a ser una prioridad estratégica para la compañía.
• El conocimiento y la experiencia en el área de la ciberseguridad se convertirá en algo codiciado entre los miembros de los consejos de administración.

Comunicar el estado de la ciberseguridad de una empresa en términos entendibles por el negocio no es sencillo

Además, por supuesto, esta moneda también tiene otra cara. Puesto que el CISO podría convertirse en un miembro permanente del consejo de administración, la organización de seguridad de las empresas deberá reflexionar sobre si está preparada para tal nivel de escrutinio y transparencia.

Comunicar el estado de la ciberseguridad de una empresa en términos entendibles por el negocio no es sencillo. No se aprende de la noche a la mañana. Además, teniendo en cuenta que la ciberseguridad durante muchos años se ha percibido como una disciplina puramente técnica, no de negocio, estas organizaciones van a tener que hacer un esfuerzo muy significativo para adaptarse. Esto, seguramente, derivará en la necesidad de reclutar nuevo talento, con habilidades ligeramente distintas a las actuales.

Capa extra de transparencia

De este modo, a los temas a los que me refería originalmente en el Listado de Ciberamenazas para el 2022 (el factor humano, la guerra por el cibertalento, la siempre presente amenaza del ransomware…) hay que añadir también esa capa extra de transparencia que requerirá un ajuste en todos los programas. Además, será necesario acompañarla de un proceso claro y conciso mediante el que reportar a nivel ejecutivo el estado de la ciberseguridad de la compañía, así como su impacto en las diferentes líneas de negocio.

Transparency by design

Por último, también es importante remarcar que las regulaciones de este estilo marcan un antes y un después. Del mismo modo que después del RGPD proliferaron las estrategias de security & privacy by design, ahora veremos cómo estrategias de transparency by design se vuelven fundamentales en el desarrollo de nuevas iniciativas de negocio.

Es más, hacia el final de ese listado publicado en LinkedIn menciono también la irrupción de la computación cuántica y los metaversos como áreas donde las empresas empezarán a desarrollar nuevos productos y servicios en 2022, y que tendrán un gran impacto en los programas de ciberseguridad.

Desde luego, todas las iniciativas en estas nuevas áreas de negocio, o en cualquier otra, deberán incorporar mecanismos nativos —la palabra clave aquí es nativos— para garantizar el correcto nivel de ciberseguridad y, a la vez, la capacidad de proporcionar transparencia al respecto a los diferentes órganos de gobierno de la compañía.

Cualquier otra cosa se traducirá en una falta de confianza del mercado y de los inversores, y no creo que a ninguna empresa le apetezca encontrarse en esa posición.