El mundo actual cambia a pasos agigantados y la ciberseguridad no se queda atrás. En materia regulatoria, vivimos uno de los momentos más intensos para las organizaciones y que tendrá un impacto enorme en la sociedad. Y es que garantizar la confianza digital, en una situación como la actual, en la que la hiperconectividad forma parte de nuestro día a día, es sin duda una de las prioridades más acuciantes y retadoras.

Empecemos por el principio. Las nuevas regulaciones pretenden sentar las bases para que las organizaciones tengan políticas de ciberseguridad que generen confianza a los usuarios y, sobre todo, que sean resilientes. Por eso, el pasado mes de diciembre se aprobaron tres nuevas normativas coordinadas entre ellas.

Por un lado, la Directiva NIS 2, el marco regulador general de la ciberseguridad para garantizar un elevado nivel común de seguridad en las redes y la información. En la práctica, pone el foco en los órganos de gobierno de las organizaciones que prestan servicios esenciales para la sociedad. El comité de dirección se tendrá que poner las pilas, así sin paños calientes, ya que asume la principal responsabilidad en la gestión de cibericidentes. De ahí que la formación vaya a jugar un papel más destacado que nunca.

Las otras dos normativas ponen el foco en sectores críticos y de vital importancia para la sociedad. El Reglamento DORA aborda la resiliencia operativa digital del sector financiero y la Directiva de resiliencia en entidades críticas amplía los sectores considerados así, incluyendo por ejemplo el Farmacéutico. Además, determina los riesgos que pueden perturbar sus actividades, establece protocolos a seguir y la forma de notificación, entre otras cuestiones.

Por tanto, sí, se avecinan cambios inminentes y de gran calado. La inversión en ciberseguridad tendrá que dejar de ser vista como un gasto más. Ahora, hay que percibirla como una gran oportunidad para las compañías, ya que ayudará a salvaguardar el negocio y la reputación de las mismas. Habrá que ir más allá y apostar más que nunca por la concienciación interna que tendrá que estar entre los objetivos más prioritarios. Todos los empleados deben saber cuál es su papel en la política de ciberseguridad de la organización y lo importante que es reducir el máximo posible las oportunidades de ciberincidentes.

Pero es que, además, la futura Directiva de ciberresiliencia obligará a que la ciberseguridad forme parte también de la estrategia de producto de las organizaciones. Y es que todos los productos y servicios que incorporen hardware y/o software deberán acreditar el cumplimiento de unas medidas mínimas de seguridad.

Puede que a estas alturas de este artículo te estés haciendo una pregunta que voy a plantearte ahora mismo: ¿qué pasa con el CISO? La respuesta es sencilla: cobra un papel todavía más protagonista. Las nuevas regulaciones le empoderan y a partir de ahora tendrá que reportar directamente al comité de dirección.

No es la única figura que sale reforzada. Los auditores de sistemas también lo hacen. No sólo serán los encargados de dar garantías a los órganos de gobierno, sino que también deberán participar en las validaciones de productos y servicios antes de su comercialización.

Así que si tuviera que destacar una sola idea de todo lo comentado hasta el momento es que la confianza digital pasa a estar en el centro de las organizaciones. No es algo opcional, es algo estratégico y de obligado cumplimiento. ¿Por qué? Porque será la que refuerce su servicio y su credibilidad y la que hará que los clientes estén seguros utilizando su producto o servicio, y, por tanto, lo elijan.

Al fin y al cabo, todas las organizaciones forman parte de una cadena de suministro que ofrece productos y/o servicios a sus clientes y, a su vez, actúan como consumidores de sus proveedores. En definitiva, todo el ecosistema debe avanzar en la confianza digital para que los mercados funcionen y todas las personas podamos aprovechar el potencial de la tecnología sin miedo a sus efectos secundarios.

En un reciente estudio de ISACA se ponía sobre la mesa que sólo el 10% de los profesionales de ciberseguridad confía plenamente (subrayo esta última palabra) en la estrategia de confianza digital de sus compañías. No puede haber lugar a dudas.

Las organizaciones no se lo pueden permitir ni tampoco la sociedad. Estos mismos profesionales ponían sobre la mesa que la falta de formación y capacidades (lo apuntaba el 52%) y la falta de compromiso de los líderes (según el 42%) son dos de los principales obstáculos para establecer una estrategia de seguridad adecuada.

Desde luego, las nuevas normativas van encaminadas a combatir esto. Es cierto que hay que tener una variable muy en cuenta, que los ciberataques son tan cambiantes y evolucionan tan rápido que es casi imposible garantizar una estrategia 100% efectiva frente a ellos. Pero lo que sí que se puede hacer es reducir al mínimo lo que se deja en manos del azar (o más bien en manos de los ciberdelincuentes).

Hay mucho en juego: la reputación y la supervivencia de las organizaciones; la pérdida de clientes; el aumento de ciberincidentes; la vulneración de la privacidad; o la interrupción de servicios esenciales para la sociedad, entre otros.

Nos jugamos mucho y por eso, más que nunca, hay que apostar por una estrategia de confianza digital solvente y resiliente, que sea capaz de adaptarse al escenario tan vertiginosamente cambiante en el que vivimos. Toca estar preparados para los desafíos actuales y para los que vendrán.

Si eres una Pyme o un autónomo puedes usar la herramienta de autoevaluación gratuita E-Qualify Corporate para obtener una visión global de tu posicionamiento de ciberseguridad.

All you need is LEET!

Recibe nuestras notificaciones desde este enlace