Red Seguridad 085

Además de WannaCry, ¿creen que ha habido otros puntos de inflexión para impulsar la concien- ciación en materia de ciberseguri- dad en las empresas? E.M.: Según nuestros datos, lo que más ha evolucionado últimamente es la inversión en privacidad debido al Reglamento General de Protección de Datos (RGPD); pero no por moti- vos de concienciación, sino porque las compañías están obligadas. Es decir, el miedo a tener una multa parecía más importante al miedo a recibir un ataque. D.M.: Estamos intentamos advertir a las organizaciones de que posi- blemente no están focalizando sus esfuerzos donde hay más riesgos, y les estamos ayudando a reflexionar sobre qué recursos dedicar y hacia dónde enfocarlos. Precisamente el RGPD acaba de cumplir un año de su entrada en vigor. ¿Cuál es su valoración al respecto? ¿Han mejorado las empresas o todavía tienen que esforzarse mucho más? E.M.: Las organizaciones han mejo- rado bastante, aunque no lo suficien- te. De todas maneras, sí que hemos visto que la privacidad ha sido una de las áreas donde más y más rápido ha crecido la madurez en nuestros clientes; sobre todo en Europa por la impulsión del RGPD. Pero debe seguir creciendo más. E.M.: Absolutamente. D.M.: Las organizaciones se cen- traron, sobre todo, en la parte más visible, que es la más cercana al ciudadano y la más formalista, por- que se les acaban los plazos. Pero en lo relativo a cómo se protege la información, a cómo se implementa en los sistemas y en los mecanismos de seguridad y a las directrices que persigue el RGPD, todavía queda en la compañía. Con los tiempos actuales, su postura debe ser más de un habilitador de todo lo que la orga- nización quiere realizar, especialmente en sus agendas digitales. La agenda digital es un coche que el CISO tiene que conducir para que su papel den- tro de la empresa evolucione de una forma correcta. D.M.: El CISO tiene que convertirse en un facilitador a la hora de tomar riesgos, ya que la transformación implica que los haya; pero esta figura tiene que ser la que ayude a equili- brar cuánto riesgo es asumible por parte de la organización para no ser un freno a la transformación. ¿A qué peligros se enfrentan los CISO que no tomen riesgos? E.M.: El CISO que no tome riesgos está acabado. Nosotros no estamos comprendiendo –algo que los CISO sí– que no existe una protección perfecta, que no existe el riesgo cero. El riesgo es parte del negocio y, efectivamente, quien mejor los manejan son los institutos financie- ros, concretamente de una forma positiva y no necesariamente nega- tiva. D.M.: El CISO que no ayude a tomar riesgos acabará arrinconado dentro de la organización y no estará en las mesas en las que se toman las decisiones. mucho por hacer, como por ejemplo mejorar las capacidades de detec- ción de incidentes, de notificación, el privacy by design … Hay muchas cosas que, como son menos visibles para el ciudadano, se han pospuesto, y ahí aún queda mucho trabajo por hacer. Futuros incidentes de seguri- dad podrían demostrar que no se ha hecho lo suficiente en esos ámbitos. ¿Cuál creen que debe ser la posi- ción del CISO en el organigrama de las organizaciones? E.M.: Es complicado. Uno de los ponentes de la Jornada Internacional de la Seguridad de la Información precisamente decía que el 78 por ciento de los CISO querían reportar al CEO. Esto cuadra bastante con nuestros números. Los CISO están saliendo cada vez más de la orga- nización de IT, que es algo positivo, aunque lo hacen demasiado des- pacio debido a la importancia de su papel dentro de las empresas. Obviamente, el CISO tiene que tener su propio presupuesto y su propia línea directa con el CEO, y no puede subordinar sus prioridades a las de IT. Esta es una de las causas por las que ocurren incidentes en las empresas. Además, el CISO debe aprender que no es una línea de defensa; no es el controlador de todo lo que ocurre Durante la entrevista, Mastranza y Madrid trataron temas tan acuciantes como la concienciación en materia de ciberseguridad, la protección de datos o el papel del CISO en las organizaciones. 76 red seguridad segundo trimestre 2019 empresa entrevista