"El CISO debería reportar a dirección y estar más cerca de negocio que del área de sistemas"

Mario Moreno/ Vídeo: Juan Márquez

Con más de 150 años de historia, más de 76.000 trabajadores y operativa en 130 países del mundo, Marsh se ha configurado como uno de las principales aseguradoras y agentes de riesgo de todo el globo. Su senior manager de seguridad y resiliencia de negocio, Enrique Maza, explica las singularidades de trazar una estrategia de ciberprotección interna en un sector, además, hiperregulado. 

¿Cuáles son las particularidades de la compañía a la hora de trazar una estrategia de ciberseguridad teniendo en cuenta la historia, las múltiples localizaciones y el volumen de la fuerza laboral?

Efectivamente, hay muchas particularidades según los países y los sectores en que operamos. Para afianzar una buena estrategia de seguridad, creemos que lo primero que hay que hacer es contar con un buen CISO y un buen equipo que conozca la tecnología que se usa en la casa y entienda del negocio, lo que es muy importante para nuestros clientes. En muchas ocasiones hay CISO con un perfil muy técnico pero que no son capaces de entender el negocio con tanta profundidad como sería deseable. Hay que entender que los sistemas de información dan soporte a los procesos de negocio. Partiendo de esa base, se sientan los pilares de la ciberseguridad. En segundo lugar, hay que hacer un buen análisis de riesgos que permita saber el universo de amenazas contra las que hay que protegerse. Para eso, es fundamental cuantificar el riesgo, que en Marsh nos permite conocer dónde actuar primero, porque los recursos son limitados en todas las compañías. En esa gestión hay que encontrar un equilibrio entre la operativa y la seguridad y tener en cuenta que hay distintas formas de actuar e incluso saber que hay que asumir riesgos cuando la operativa lo requiera. Por último, hay que estar preparados para recuperarnos ante un incidente. En ciberseguridad, hagas lo que hagas siempre estás expuesto y es probable que haya un ataque. Esta es la estructura básica para una buena estrategia.

Entonces, ¿en la pirámide jerárquica de Marsh la ciberseguridad no es un stopper y se alinea con el negocio?

Sí. En muchos clientes a los que damos soporte hemos encontrado que el CISO siempre es el que dice que no, una barrera. Pero el negocio tiene que estar por encima de los sistemas de información. Bajo mi punto de vista, el CISO debería reportar directamente a dirección y estar más cerca, incluso, de negocio que del área de sistemas. 

Teniendo en cuenta que el principal activo del sector asegurador es el dato, y lo hiperregulado del mismo, ¿es más importante si cabe adoptar esta postura? ¿Desde vuestra posición tenéis que poner freno a muchas propuestas?

En cuanto al cumplimiento normativo, no nos queda otra opción que decir que no si nos podemos enfrentar a posibles sanciones. Pero sí que es cierto que esa figura de stopper tiene que ser desterrada. El CISO tiene que encontrar ese equilibrio entre procesos de negocio y seguridad.

Tras la pandemia de la COVID-19, uno de los principales riesgos empresariales es la seguridad. ¿Cómo ayudan a los clientes desde este aspecto?

El número de incidentes ha aumentado exponencialmente en los últimos meses, incluso a doble dígito. Las empresas que no tenían un nivel de madurez elevado tienen que correr para aumentar su protección, sobre todo tras la generalización del teletrabajo y las conexiones de equipos remotos y domésticos. La figura de un CISO es fundamental en esto, pero hay muchas compañías sin recursos y esta figura recae en el responsable de sistemas. Nosotros ayudamos a los clientes con esa oficina de CISO externalizada que ofrecemos para trazar esa estrategia de seguridad. La exposición al riesgo ha cambiado considerablemente tras la pandemia. La seguridad es un proceso continuo. 

Lea la entrevista completa en la revista digital 'ComputerWorld'