¿De la seguridad al cumplimiento? El papel del CISO ante el crecimiento de la ciber-regulación
24 de octubre de 2024 • NH Collection Eurobuilding, Madrid
La UE lidera la normativa mundial sobre ciberseguridad inteligente. Pero, ¿qué significa esto para los profesionales de la seguridad?
Crear protecciones reales en el ciberespacio
Gran parte de la expectación actual en torno a la ciberseguridad se centra en la IA y sus implicaciones tanto para los atacantes como para los defensores. Sí, la IA reduce las barreras de entrada para los atacantes y les ahorra dinero y tiempo en la elaboración de ataques y el posterior "procesamiento" de las respuestas de los defensores. Pero, sobre todo, se trata de un problema de volumen: habrá más ataques, como ocurrió con la industrialización digital del fraude.
Y sí, la IA puede crear nuevos tipos de ataques, como los deepfakes, que son algo más que un problema de volumen.
Pero el mayor cambio en ciberseguridad es, en realidad, la respuesta normativa que está surgiendo. En EE.UU., esto ha llegado a través de la SEC, que considera la ciberseguridad como un problema material para las partes interesadas y, por lo tanto, trata de impulsar las normas a través de la protección de los inversores.
La UE ha adoptado un planteamiento más completo y sensato, que consiste esencialmente en reconocer que el ciberespacio es una entidad real en la que operan los ciudadanos, las empresas y el Estado, al igual que en el mundo físico, por lo que necesita las mismas protecciones que éste.
Esto significa que necesitamos que los legisladores, los reguladores y las fuerzas del orden creen el tipo de marcos que damos por sentado en el mundo físico.
DORA, NIS2, la Ley de Ciberseguridad, la Ley de Resiliencia Cibernética y, más adelante, la Ley de Inteligencia Artificial de la UE, son intentos pioneros en el mundo de dotar a la ciberseguridad de una base moderna acorde con la amenaza que supone para las economías, las infraestructuras y la estabilidad política.
Se trata de un cambio enorme para los profesionales de la ciberseguridad. Significa, sin duda, que la alta dirección se verá obligada a presupuestar el cumplimiento de esta nueva normativa. Pero, ¿mejorará realmente la seguridad? ¿Atraerá recursos a las funciones de cumplimiento? ¿Se centrará más en la resiliencia (lo que ocurre después de una brecha) que en la seguridad, porque se asume que la brecha es inevitable? Y puesto que las normativas quedan necesariamente desfasadas en cuanto se publican, ¿desviarán la seguridad hacia la protección frente a los tipos de amenazas anteriores en lugar de hacia la prevención de lo inesperado?
Todo esto requerirá nuevos enfoques y nuevas habilidades por parte de los CISO. Necesitan comprender las normativas y cómo adaptar sus esfuerzos de seguridad a ellas. Necesitan desarrollar o trabajar con la supervisión del cumplimiento.
Tienen que ser capaces de trabajar con la empresa para explicar los costes y beneficios del cumplimiento de la normativa. Y tienen que ser capaces de adherirse a normas externas fijas, cuando antes quizá se sentían capaces de operar de forma autónoma.
El e-Crime & Security Congress Spain analizará el creciente ecosistema de regulación global para ver dónde deben priorizar los CISO, dónde están los mayores retos y cómo cumplir de forma asequible y segura.
Y, por supuesto, también abordaremos los temas que nos habéis pedido: ransomware, seguridad humanocéntrica y cultura de seguridad, IA, seguridad de terceros y todo lo demás.
