El aumento del número de ciberataques y el enorme impacto económico que están teniendo en las empresas obligan a las compañías a replantear su estrategia de ciberseguridad y poner el foco en un tema que conviene tomarse bien en serio si queremos evitar disgustos innecesarios.
Y es que las cifras hablan por sí solas. El coste medio que un ciberataque supone para una empresa ha pasado de 54.388 € de 2020 a 105.655 € en 2021, casi el doble en apenas un año. Por otro lado, si antes de la pandemia decíamos que una de cada dos empresas había sufrido un incidente de ciberseguridad, ahora ese porcentaje se sitúa en un 94%.
Desde luego son indicadores muy preocupantes que encuentran su explicación en el proceso acelerado de transformación digital que estamos viviendo. La digitalización de los negocios lleva implícita una mayor exposición de nuestros activos por lo que la probabilidad de sufrir un ciberataque aumenta de manera considerable.
Las empresas, conscientes de esta situación, han empezado a tomar medidas orientadas a disminuir la superficie de exposición y minimizar los ciberriesgos. Muchas de ellas han formalizado este paquete de actuaciones en un Plan Director de Ciberseguridad y es al amparo de esta nuevas necesidades donde surgen nuevos roles especializados en esta materia.
Pero en la práctica abordar el tema no resulta tan sencillo y las compañías se preguntan cuál es la mejor manera de integrar estos expertos de seguridad en sus equipos y cómo conseguir que esta integración sea exitosa y se vea reflejada de manera positiva en los indicadores de riesgo que antes hemos mencionado.
Analicemos la situación con el fin de identificar el mejor modelo para implantar la ciberseguridad en nuestra empresa así como las diferentes variables que tenemos que tener en cuenta antes de dar ningún paso en falso. En este sentido, veremos que el tamaño de nuestra empresa resulta determinante.
España es un país donde el tejido empresarial está compuesto mayoritariamente por pymes y micropymes. Muchas de ellas ni tan siquiera cuentan con un departamento de informática medianamente formalizado; sin embargo, también están obligadas a cubrir sus necesidades en materia de ciberseguridad porque los riesgos son ciertos y siguen creciendo día tras día.
En este tipo de empresas, la solución ideal pasa por contratar los servicios de una compañía especializada en ciberseguridad que, tras un análisis personalizado de los riesgos, ayude a implantar las medidas oportunas para desarrollar la actividad en un entorno controlado.
Cuando la empresa comienza a tener cierto tamaño, lo normal es que cuente con un Departamento de IT correctamente estructurado para dar soporte a las operaciones de la compañía. Aquí encontramos a los técnicos de microinformática, sistemas, desarrolladores… todos ellos liderados por el director de IT.
En este escenario, integrar un perfil dedicado exclusivamente a la ciberseguridad no termina de justificarse pues, por un lado, la tarea quizás no sea tan ingente como para cubrir una jornada completa de trabajo y por otro, el grado de especialización impide doblar roles y sobreponerlo, por ejemplo, con un técnico de sistemas.
La fórmula que suele ir bien en estos casos es el outsourcing de los servicios de ciberseguridad a una empresa especializada, pero trabajando codo con codo con el departamento de IT de la compañía. El director de IT acaba actuando como una especie de médico de familia que, sin ser especialista en ninguna materia, es capaz de identificar las dolencias y derivarlas al equipo de especialistas correspondiente.
Este modelo está dando muy buenos resultados y en muchas ocasiones se acaba creando una Oficina Técnica de Seguridad (OTS) compuesta por personal interno y externo que se integra en el organigrama de la empresa.
Pero cuando la compañía tiene un volumen considerable que justifica la contratación de un experto en ciberseguridad aparece la figura del CISO (Chief Information Security Officer). Se trata de un profesional dedicado exclusivamente a la ciberseguridad de la empresa que lidera la Oficina Técnica de Seguridad.
Este rol es sumamente interesante, pues debe poseer una serie de conocimientos y habilidades más allá de los puramente técnicos. El CISO debe mediar entre los diferentes departamentos de la empresa para lograr que el binomio negocio-seguridad esté perfectamente balanceado y permita que la actividad se desarrolle de la manera más óptima posible.
El CISO puede tener a su cargo un equipo propio, si el volumen de la actividad así lo justifica, y/o combinarlo con agentes externos, incluyendo la coordinación con un SOC (Centro de Operaciones de Seguridad) que por lo general suele estar fuera de la empresa. También hay que destacar que el CISO se convierte, de manera natural, en el aliado perfecto del DPO (Delegado de Protección de Datos) dando cobertura al cumplimiento normativo en el marco del RGPD (Reglamento General de Protección de Datos).
Sobra decir que todos estos roles que están surgiendo relacionados con la tecnología (CISO, CIO, CTO, CDO…) son de reciente creación y vienen muy de la mano del proceso de transformación digital en el que estamos inmersos, por lo que existe una escasez preocupante de estos perfiles en el mercado que el tiempo terminará por resolver, pero que por lo pronto tendremos que saber lidiar en el corto plazo.
En resumen, todas las empresas, ya sean grandes o pequeñas, deben preocuparse por implementar las medidas de seguridad necesarias para que su actividad se desarrolle a pleno rendimiento sin sobresaltos, y al mismo tiempo deben encontrar el modelo de integración del equipo de ciberseguridad en su estructura de tal forma que sea sostenible y escalable.
Un reto al que muchas compañías se están enfrentando por primera vez y que todavía no terminan de resolver de manera satisfactoria. El camino promete ser largo, pero no queda otra que empezar a moverse si queremos evitar disgustos innecesarios.
