La regulación en materia de ciberseguridad es uno de los mayores retos para los CISOs

La semana pasada se celebró el encuentro de expertos en ciberseguridad CISOVERSO DAY, en el que, más allá del incremento y la complejidad de ataques, se expuso que preocupaciones como la ineficaz regulación actual en materia de ciberseguridad, la ciberseguridad como una nueva burbuja laboral ante la ausencia de profesionales, la falta de formación y experiencia y la necesidad de reciclarse constantemente ante las oportunidades económicas detrás del Blockchain o los NFT, son las que más afectan a los CISOs.

La regulación legal en materia de ciberseguridad es uno de los grandes retos que afrontan los CISO, las compañías y los usuarios. Como señaló Ofelia Tejerina, presidenta de la Asociación de Internautas, “la legislación se hace en caliente. El legislador legisla rápido y legisla mal. No es clara la normativa y nos encontramos con que el sector privado de las empresas, en concreto las aseguradoras, va a ir sacando adelante muchas cosas que el legislador no es capaz”.

Sobre esta misma cuestión se pronunció Borja Adsuara, experto en derecho, estrategia y comunicación digital, que añadió, además, que normas como “el RGPD son de imposible cumplimiento y cómo parece que persiguen más un objetivo sancionador y recaudatorio que de protección. ¿Cómo es posible que la ley de protección de datos sancione a una pyme por incumplimiento y no sea sancionable la administración pública si aparecen por ejemplo historias clínicas de pacientes de un hospital público en la basura?”.

Según concluyeron los expertos durante la mesa redonda centrada en Blockchain, el futuro va a ser descentralizado gracias a esta tecnología, y el riesgo está en el talento, la falta de él en muchos casos y la complicación a la hora de retenerlo. “Se está produciendo una burbuja tecnológica y, en concreto, en el área de Blockchain. La falta de profesionales con suficiente conocimiento y experiencia está haciendo que se esté contratando y pagando a gente por encima de su experiencia”, señaló Oscar Delgado, CIO en hackrocks.

La comunidad de profesionales de la ciberseguridad puso de relieve, además, la necesidad de formarse. “La inversión en seguridad tiene un ROI muy claro: que la empresa continúe con su actividad evitando incidentes de seguridad. Para ello la formación es una necesidad. Necesitas reciclarte constantemente”, puntualizó Jesús Valverde, de AENOR.

Por su parte, el experto en seguridad y terrorismo, Thomas Hurd, Head of the UK’s Office of Security and Counter-Terrorism, señaló cinco claves que aconseja a cualquier CISO: 1 Más acción y menos discusión, centrándose en solucionar problemas y no debatir sobre ello; no adoptar un posicionamiento público frente al rasomware, debido a las implicaciones que pueda tener a nivel reputacional hacer pública la postura sobre pago de rescate y para no dar pistas a los atacantes; hacer entender a la dirección de la empresa que no basta con un backup, ya que es necesario un plan de prevención y contingencias; considerar disponer de criptomonedas, ya que para pagar rescates va a haber que hacerlo vía criptomonedas; y formar al equipo sobre los riesgos de ciberseguridad, políticas de recuperación de datos, prevención, etc.