La sala ProtAAPP de la RootedCON ha reunido a varios responsables de la seguridad informática de distintas entidades pública, quienes han contado algunas de sus desafiantes experiencias en una mesa redonda alejada de los convencionalismos y las grabaciones.
Respetando su decisión de preservar un entorno neutral y desideologizado, ninguna cita será atribuida a los participantes; animamos a que las ideas presentes en este texto no se relacionen con los integrantes de la mesa, si no que sean consideradas una materialización de la opinión pública de su sector laboral.
DONDE HAY UN CISO, TODO VA MEJOR
Dentro de las vivencias de ser CISO está la de ser visto «como una obligación en vez de una prioridad». En este sentido, se ha abordado la frustración de trabajar en un entorno donde ven a uno como un gasto y no como un pilar que posibilita la continuidad del negocio o los servicios: y es que nadie puede rebatir que donde hay un CISO, todo va mejor.
Y es que pese a parecer demasiado críticos con la directiva, son los primeros que entienden que no se deben tomar de manera personal ninguna de las decisiones o dificultades que surgen en el trabajo y que existe un margen en manos de la suerte: un día se les puede rechazar un proyecto de un par de miles de euros y al día siguiente pueden acceder a un gran fondo de millones de euros: «Sabemos que el foco de un ayuntamiento no es la ciberseguridad».
También está el recelo de los CISO del sector privado: Admirables CISO, aunque pueda existir la percepción de que los ayuntamientos y gobiernos disponen de grandes recursos financieros, la realidad es que muchas veces están más limitados que las empresas y ademas, muchas veces están más desprotegidas: «Ya no es que siga sin haber MFA, es que a veces no se encuentra ni un antivirus instalado en todo un ayuntamiento. Ya diréis que plan director se puede llevar a cabo en esa situación, cuando no hay personal TIC y no se puede garantizar el cumplimiento normativo».
LA SEGURIDAD NO ES EL CISO NI EL DEPARTAMENTO DE CIBERSEGURIDA: ES LA ORGANIZACIÓN
Y es que lograr que las partes involucradas comprendan la urgencia de actuar de manera proactiva ante los riesgos cibernéticos es desesperante. A pesar de que se insiste sobre la necesidad de abordar los incidentes a tiempo, algunos directivos siguen tendiendo a esperar inmóviles a que pase algo, lo que genera una cultura de inacción peligrosa y costosa: «Veo mi estructura y me voy a la cama sabiendo como tumbarla, cuales son sus vulnerabilidades».
Por ello es importante que todos comprendan la necesidad de invertir en seguridad antes de que el departamento de ciber se se por vencido y todo se venga abajo, más cuando se habla de posibles filtraciones de datos de la ciudadanía. Ni el CISO ni el departamento de seguridad son los únicos participantes en la seguridad, sino que son los facilitadores dentro de una estructura de responsabilidad compartida. Aunque estos coordinen los esfuerzos, la seguridad debe ser entendida como una responsabilidad colectiva que involucra a todo el equipo y la organización.
TALENTO E INVERSIÓN
Y por tanto, se anima, más allá de la formación reglada, al despliegue de estrategias de concienciación más impactantes, como simulacros de ciberseguridad que permitan a los trabajadores experimentar de manera práctica los riesgos y las consecuencias de sus acciones: «Confío en mi equipo mas que nada, pero me la lían, y me he comido todo tipo de broncas por su culpa: mi trabajo en parte es hacer esa gestión humana, que no se desmadren y ayudarlos a que se sigan formando, aunque deba salir de mi bolsillo».
Administración pública, faltan recursos y personal. Muchos responsables de ciberseguridad se ven atrapados entre la necesidad de cumplir con las normativas y la falta de herramientas adecuadas para gestionarlas. Por el momento, se sobrevive de la financiación externa pero una vez que dejen de estar ahí esos las necesidades seguirán siendo las mismas o incluso más. Por mucho bastionamiento que exista, hace falta su supervisión, y por eso el reto en 2026 es seguir automatizando y manteniendo la seguridad reduciendo progresivamente los costes formando al mismo tiempo el talento adecuado.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.