Y el juego cambió

Nadie puede negar que el mundo de la tecnología es altamente cambiante, que lo que hoy consideramos una novedad y un gran avance, en dos años será algo desfasado, en parte gracias a Gordon Moore y su ley sobre la evolución de dicha tecnología. Pero si hay un campo que ha cambiado y ha roto muchos esquemas es el de la seguridad informática.

Daniel Puente, CISO Wolters Kluwer Tax & Accounting España.

En menos de una década, hemos pasado de considerar la seguridad como una pequeña parte de la gestión de los sistemas de información, basándola en la implementación de algunas listas de control de acceso (ACL), el mantenimiento de algún firewall perimetral y alguna cosa más, a ser una piedra angular de las estrategias de todas las empresas, dotándola cada vez de más importancia y atribuyéndole funciones que hasta ahora no existían o estaban ensiladas en otros departamentos.

Y con esto, cambia la figura del responsable de seguridad (CISO), hasta ahora muchas veces más próximo al departamento de redes que a la figura de un gestor de algo tan importante como la información de la empresa. Figura que ahora vemos en ocasiones ocupada por reconocidas personalidades de la escena hacker de hace unos años, incluso en compañías punteras a nivel nacional, y cuyo encaje dentro del organigrama ha dado lugar también a un debate que mayoritariamente se ha resuelto con una tendencia clara a reconocer la importancia de este perfil colocándolo en el board de la compañía, quedando así fuera de toda dependencia de otros departamentos que podrían poner en juego la objetividad de sus decisiones.

Pero el CISO ya no está solo, ahora tiene bajo su paraguas diferentes perfiles, desde las figuras de un red team y un blue team, equipos dedicados a buscar vulnerabilidades y a defenderlas respectivamente, hasta los diferentes arquitectos de seguridad de cada una de las soluciones que se posean, y sin olvidar que en algunas compañías incluso los roles relativos a compliance (ISO 27001, GDPR, etc.) también dependen de él.

Una vez ubicado el departamento de seguridad, hay que dotarlo de presupuesto y categorizarlo. ¿Es un gasto? ¿Es una inversión? Resulta harto complicado explicar cómo se va a realizar una inversión en distintas soluciones de seguridad que tienen como gran objetivo que no suceda nada, que nadie note nada y que sea lo más transparente posible. Por desgracia, la seguridad no tiene un efecto directo y visible en el cliente, no se implementan opciones ni capacidades a los productos en portfolio, únicamente se intentan hacer más seguros y confiables, algo que, por otra parte, el cliente ya presupone al establecer una relación con la compañía.

Pero ¿cómo calculamos el retorno de la inversión en seguridad? ¿Cómo calculamos qué impacto tendría en los ingresos de la compañía que hubiese una fuga de información? ¿Y cómo valoramos un daño en la imagen y reputación? ¿Debemos extrapolar las consecuencias sufridas por otras empresas tras un incidente de seguridad? ¿Debemos compararnos con redes sociales que han sido hackeadas y los datos de sus usuarios filtrados? ¿Con compañías aéreas que sufren una fuga de datos? ¿Con universidades que son atacadas y exponen los datos de sus alumnos? Son preguntas que no quedan resueltas realizando un simple ejercicio de análisis de impacto en el negocio (BIA).

El escenario tan cambiante hace que las estrategias se deban definir a corto plazo, y la transversalidad de la seguridad hace que nos planteemos soluciones muy dispares entre sí, debiendo abarcar desde formación en concienciación para toda la compañía hasta soluciones tecnológicas de alto nivel, como computación cuántica. En ese trayecto no olvidamos soluciones con nombres variopintos y que llevan los acrónimos a un nuevo nivel, como los IDS, IPS, WAF, IRM, DLP, etc.

Es extraña la semana en la que no aparece una nueva amenaza, desde malware que se aprovecha de nuestra capacidad de computación para minar criptomonedas hasta campañas de phishing muy logradas, que dejan en absoluto ridículo los viejos e-mails recibidos de príncipes nigerianos.

Pero no todo es negativo. Mientras ese panorama parece engullirnos, el mundo no para y tareas como la formación continua, conocer cada producto que aparezca en el mercado, estar al día de las amenazas actuales, hacen que se haya generado un clima de camaradería entre colegas del sector difícil de imaginar en otros entornos.

Actualmente la consideración y reputación de estos perfiles de responsable de seguridad se están viendo altamente valorados, no es difícil encontrar a día de hoy a muchos de ellos como ponentes estrella en conferencias, presentes en todos los medios de comunicación o incluso siendo consultados por estamentos gubernamentales.

Está claro que el juego ha cambiado… ¡pero la partida sigue su curso!