Esta pregunta es muy habitual. A ver si lo puedo explicar de la manera más sencilla posible.
La ciberseguridad tiene dos “momentos” en los que actúa: tiempo de paz, es decir, situación en la que no tengo ningún ataque y “situación de guerra”, es un término que se emplea, aunque la connotación de hoy día sea bastante triste. Es el momento en el que te atacan, cuenta con ello. Lo importante no es eso, sino el daño que provocará a tu organización y/o a tus clientes.
Si no gestionas la ciberseguridad estarás conviviendo con un “impacto potencial” alto. En función de la gestión que realices sobre tu entorno, el impacto real será menor.
Empezamos con un análisis de vulnerabilidades, servicio que ya te va a dar visibilidad de dónde tienes los sistemas de información más débiles y vulnerables. El trabajo en este ámbito consiste en eliminar o controlar estas vulnerabilidades. Si esos elementos internos, y otros externos, los monitorizas, podrás actuar antes y de manera específica ante cualquier alerta o umbral no tolerable. Si, además, operamos los elementos de seguridad de los que te tienes que dotar para protegerte, podremos reaccionar prácticamente en tiempo real sobre el evento. Y si finalmente, a toda la componente tecnológica le acompañas con asesoramiento técnico, organizativo o normativo que incida sobre el activo “persona”, para que no se convierta en la puerta de entrada de un ataque, estarás minimizando la probabilidad de ocurrencia y el impacto sobre tu organización.
Partiendo de este entorno “gestionado”, en el momento en el que ocurra el ciberincidente estarás en una situación de impacto menor, línea verde, que si no has hecho nada en tiempo de paz, que ya de partida estarás generando un impacto elevado, líneas rojas.
A tener en cuenta que, el impacto global de la organización será el operacional por no entregar el servicio o proceso, además del reputacional, legal, económico, etc. En función del tiempo y del servicio afectado (crítico para el negocio o interno de apoyo), el impacto será exponencial o más tendido.
Con un servicio gestionado, en “tiempo de guerra” tendrás un equipo específicamente dedicado a eliminar la brecha y la afección sobre tus SSII.
Así de sencillo y así de complicado. Cada elemento mencionado supone la participación de un equipo de expertos específico. De nada vale que contrates un CISO. Mejor dicho, no pretendas disponer de una gestión de la ciberseguridad con una única persona que aglutine todo el conocimiento requerido, no existe. No obstante, sí será interesante que el rol exista, que participe en los foros de decisión del negocio y que pueda incorporar el factor riesgo, seguridad, así como el resto de las cuestiones mencionadas a la hora de decidir.
Joserra Concha
