El CISO en 2023; con mayor inversión, cerca del negocio y con el foco en la concienciación

La industria de la seguridad continuará el camino marcado en los últimos años, el de la consolidación. Y lo hará sin tambalearse, o al menos no más que otros sectores, tras un convulso 2022 que dejó el inicio de una guerra, la de Ucrania, y una incipiente inflación económica global. También problemas en la cadena de suministro y una nueva estrategia geopolítica en la que Europa está promulgando, a golpe de ley, la importancia de su soberanía digital. Todos estos son factores que pueden hacer que se revise a la baja cualquier tipo de previsión. Pero, decíamos, la seguridad sigue su curso y el más negativo de los indicadores se puede interpretar como positivo si examinamos el recorrido histórico. Por ejemplo, los presupuestos de las compañías aumentarán; hasta el 50% de las españolas así lo hará, y la cifra de crecimiento global, según un estudio de Canalys, será del 13,2%. Además, para 2025, el gasto alcanzará los 2.200 millones de euros a nivel local, tal y como revela IDC, lo que supondrá un repunte de un 8% interanual.

La única connotación negativa al respecto será, eso sí, la de la contratación. Pero no ya tanto por dicha crisis monetaria como por la brecha de talento, que ha lastrado ya los últimos ejercicios. Por ello, el CISO tendrá que ser más selectivo y se impulsará, de nuevo, la automatización. Cuenta de ello dan varios de los máximos responsables de protección en sus organizaciones, consultados por CSO. Por ejemplo, Gustavo Lozano, CISO de ING, cree que, a pesar de operar en un sector muy maduro como el financiero, lo que ve de otros colegas es que a base de “esfuerzo y trabajo” se está incrementando los presupuestos, así como las capacidades y las funciones de los equipos de seguridad. “Por otro lado, creo que la regulación, la que hay y la que viene, es una palanca que se puede usar para conseguir más gasto. No olvidemos que la normativa insta a la responsabilidad de los consejos”.

"La regulación es una palanca que se puede utilizar para conseguir más inversión"

Gustavo Lozano, CISO de ING

En este sentido, Juan José Nombela, CISO global de Proeduca, compañía basada en la educación superior online, opina lo mismo: “Si me hubiesen preguntado hace tres años hubiera dicho otra cosa; pero a día de hoy, los consejos de administración están preocupados por lo que ven en las noticias y por la legislación, tanto la que les afecta como la que no”, argumenta. “Esto hace que todos nos pongamos las pilas y que si vamos a pedir más dinero no nos pongan tantas trabas como antes. Es más, a veces son los propios directivos los que empujan y proponen, los mayores aliados. Ojalá esto se mantenga”.

Estas palabras ponen de manifiesto no solo que la tendencia ha cambiado, sino que el máximo responsable de seguridad ya se suele sentar, en muchas ocasiones, en el denominado level C por los ingleses, son parte indisoluble del negocio. “Están comprobando que la seguridad es totalmente necesaria, y que si hay un incidente la repercusión va a ser mucho mayor”, apostilla Elena Ruiz, CISO de Cepsa Exploration and Production.

"Los directivos están comprobando que la seguridad es necesaria y que si hay un incidente la repercusión va a ser muy importante"

Elena Ruiz, CISO de Cepsa Exploration and Production

Prioridades de cara a 2023

Que la ciberseguridad es negocio se nota también en el hecho de que cada división tiene unas prioridades muy dispares según lo que se esté cociendo en la operativa de la compañía. Los CISO han pasado de ser una barrera a ponerse, por defecto y desde el diseño, en la producción de nuevos servicios y herramientas. Por ejemplo, Juan Cobo, CISO global de Ferrovial, cuenta que, en una organización que se define como madura, su reto pasa por afianzar el concepto de plataforma con el que llevan trabajando desde hace tiempo. “Queremos consolidar soluciones y sacar lo mejor de ella; automatizar sus decisiones y orquestar su respuesta a las amenazas”. Asimismo, al igual que Lozano, de ING, pone el foco en la identidad, ya que muchos ataques vienen por ahí y ya no tanto por el malware. “La lucha contra el fraude, para nosotros como banco, es prioridad absoluta”, añade Lozano.

"En estos últimos días se están publicando en redes sociales ataques contra varias instituciones españolas, por lo que debemos subir el nivel de seguridad y estar más alerta"

Ana Salazar, cybersecurity manager de Hijos de Rivera

Pero, como se apuntaba, no todas las firmas están en el mismo estado. Y, lo que tiene en mente Nombela se resume en “nube, nube y nube”. Aunque se trata de una universidad online, nativa digital, “todavía hay muchas nubes privadas y estamos dando el salto a la pública. Una vez superados los EDR, el siguiente paso es la nube”. En el caso de Cepsa, Ruiz explica que la casuística es distinta, en medio de un proceso de migración y separación de la infraestructura. “Queremos tener un sistema estable con independencia de la seguridad. Y, en ese aspecto, nos movemos a modelos de Zero Trust y a entornos cloud, que son ahora los más productivos. No tenemos nada on premise”. Por su parte, Ana Salazar, cybersecurity manager en Hijos de Rivera, asegura que se va a seguir trabajando en el análisis de todos los procesos de TI que dan soporte a negocio, "intentando además anticiparnos a las exigencias en materia de seguridad cuando surgen nuevos proyectos, para que nazcan con la protección de serie". Asimismo, añade, "queremos seguir implantando controles que nos ayuden a medir estos objetivos, y las medidas de seguridad que tienen nuestros proveedores y colaboradores".

"Veo el panorama de ciberataques con preocupación y mucho trabajo por delante"

Juan Cobo, CISO global de Ferrovial

En lo que sí están todos de acuerdo es en la importancia de la concienciación; desde el primer empleado hasta el último directivo. El viejo mantra de que el usuario es el eslabón más débil de la cadena de la protección está siendo sustituido para ser la primera línea de defensa. Un caso concreto es el de Ferrovial, que también aplica a la cultura corporativa su concepto de plataforma. “Lo hacemos para medir qué significa este concepto y que se trabaje de una forma conjunta. Se trata de una actitud, de la primera declaración de intenciones”, asevera Cobo. Aunque, matiza, “no podemos dejarlo todo en su mano, hay personas que siempre pueden cometer errores”.

Panorama de ciberataques

Otro de los grandes debates que se ha abierto en la industria, más allá de que haya sido recurrente en los últimos años, es el de cómo ha cambiado el panorama de ciberataques, sobre todo a raíz del estallido de la guerra en Ucrania en febrero de 2022. Preguntados al respecto, la mayoría coincide en que no ha habido un cambio sustancial relacionado al evento más allá de lo que se preveía. Es decir, que los ciberdelincuentes se siguen sofisticando, buscan nuevas formas de entrar en los sistemas y aumenta el volumen de incidentes. En España, y con los últimos datos oficiales de 2021, se registraron más de 305.000 delitos informáticos, un 6,1% más con respecto al año anterior, según el informe del Sistema Estadístico de Criminalidad (SEC). En volumen, ya es el tercer país del mundo a la hora de que sus empresas reciban amenazas. Además, otro estudio del Foro Económico Mundial (FEM), que ya pone al cibercrimen entre los principales peligros mundiales, estima que casi el 95% de los líderes de TI cree que ocurrirá un ciberataque catastrófico en los próximos dos ejercicios.

"Muchas veces los directivos son ya nuestros mayores aliados, los que empujan y proponen en cuestiones de ciberseguridad"

Juan José Nombela, CISO global de Proeduca

En lo referente al conflicto bélico, Cobo cree que “ha habido algunos colectivos más afectados, seguro, pero creo que, en general, a los países occidentales no nos ha impactado tanto”. Lo que sí es cierto, prosigue, es que todo se ha vuelto digital, y depende de sistemas de TI. “Al final, el cibercrimen es un negocio muy lucrativo, y eso es lo que más importa. Veo el panorama con preocupación y con mucho trabajo por delante”.

Por su parte, Lozano comenta que no ha notado un cambio de tipología en los incidentes, aunque sí se ha intensificado la parte de denegación de servicios y el daño a la reputación. “Hay que tener muy controladas las marcas, los dominios y los sistemas expuestos. En definitiva, todo lo que está conectado, porque puedes recibir un ataque a cualquier hora y cualquier día”, concluye. Sin embargo, Salazar avisa: "Por lo que vemos en las alertas de ciberinteligencia, en estos últimos días se están publicando en redes sociales ataques contra varias instituciones españolas, por lo que debemos subir el nivel de seguridad y estar más alerta. Tenemos que pensar incluso en posibles caídas de CPD si la escalada bélica fuera a más. Por ahora, está geolocalizada en una zona, pero no se sabe hasta dónde puede llegar".