Francisco Lázaro Anguís, presidente del Grupo de Calidad y Seguridad de Autelsi y CISO de Renfe, expuso días atrás durante el Congreso Autelsi celebrado en Salamanca tanto las preguntas como las respuestas que, sobre ciberseguridad, se plantean todo tipo de organizaciones. A través de un trabajo elaborado por el citado grupo, la conclusión que extraía el responsable es que “la Dirección General tiene que estar interesada en la ciberseguridad, pero esta no tiene que estar alineada con el negocio, tiene que formar parte del negocio”. Tras esta aseveración, entiende Francisco Lázaro que la ciberseguridad es muy importante, “pero no se la dota de los medios adecuados, y no puede haber ningún proyecto que no incluya un análisis de riesgos, requerimientos e identificación del responsable de la información”. A este respecto, es de la opinión de que la ciberseguridad es competencia de todos, “no es del CISO, el responsable de negocio es el que tiene la responsabilidad de ponerla en funcionamiento”.
El CISO de Renfe ofrecía algunos datos: que el 41% de los ejecutivos de negocio creen que la ciberresiliencia se debe establecer como una prioridad del negocio, mientras que solo el 13% de ellos la incorporan a su estrategia de negocio. “No hay negocio si no hay ciberseguridad”, esgrimía Lázaro Anguís como respuesta.
Pero una cosa es evidente, según se desprende del estudio de Autelsi, el CISO tiene asignadas ciertas funciones y, en cambio, debe tener medios, asesoramiento legal, independencia… porque el CISO no debería depender del CIO. “La ciberseguridad protege al negocio. El mensaje tiene que llegar de forma clara a los responsables del negocio y estos deben tener interés”.
Vectores de ataque
En cuanto a los ataques, Francisco Lázaro menciona que, cada vez más, se reciben correos creíbles por lo que hay que hacer un cambio de mentalidad: el 35% de los que reciben un phishing van a picar, van a dar sus contraseñas, mientras que con campañas internas se baja al 5%. Y no depende de ser una gran compañía, “no por ser pequeño se olvidan de uno, y cada vez es más habitual atacar a la cadena de suministro”. Por ello, recomienda contar con una figura que provea los servicios de seguridad, sea la empresa pequeña o mediana, y si es proveedor de la Administración, es obligatorio: “Hay que tener un CISO para que haya interés en la organización”.
El responsable de negocio es el que tiene el compromiso de poner la ciberseguridad en funcionamiento
Cuando se habla de la cadena de ataque, desde Autelsi se menciona la explotación directa de vulnerabilidades, por navegación y a través del phishing, el correo que se envía, como las tres vías de entrada.
Otro problema es saber cuántas compañías tienen clasificada la información, porque si no está clasificada, ¿cómo sabemos la que se está filtrando y cómo ejercer una protección eficaz?
“Poco a poco la práctica de la ciberseguridad está mejorando y cada vez más existen estructuras organizativas adecuadas para ello”, sentencia el presidente del Grupo de Seguridad de Autelsi.