La Gestión del Riesgo transforma la industria de Ciberseguridad

Javier Perea, Asesor del Centro de Investigación de Seguros del IE y miembro del Consejo Asesor del Máster en Ciberseguridad del IE

Juan Carlos Crespo, Director de la División de Ingeniería, Telecomunicaciones, Ciberseguridad y Analytics en Informática El Corte Inglés

El gran crecimiento de los entornos abiertos e interconectados que requiere la transformación digital de las organizaciones, junto con la actual sofisticación y focalización de los ciberataques así como el fortalecimiento de las regulaciones como GDPR (General Data Protection Regulation), hacen de la ciberseguridad un aspecto crítico para los negocios en un mundo competitivo, y como tal, es una prioridad en la agenda del CEO.

A la ya compleja gestión del riesgo en relación con el tratamiento de la información en data centers, ordenadores personales, redes, y todo tipo de dispositivos móviles, tenemos que añadir la expansión del Internet of Things (IoT), lo que nos sitúa en un escenario en el que, incluso una adecuada gestión de la seguridad no garantiza evitar impactos económicos, mediáticos, o asociados a la responsabilidad civil de la empresa y de sus empleados

Hoy en día el número y la sofisticación de las amenazas, el facilitador que encuentran en la hiperconectividad, a la que nos hemos acostumbrado y de la que dependemos para nuestra vida diaria, suponen un reto de magnitud difícilmente abarcable para cualquier organización y para el cual la industria de la seguridad tiene que dar una respuesta diferente a la ya conocida, basada en soluciones puntuales a cada nuevo problema. El mercado no soporta ya la creación permanente de silos tecnológicos que generan situaciones de inseguridad insostenibles por coste, complejidad e ineficiencia.

Hacia una seguridad colaborativa

En este sentido, es fundamental la creación y adopción de un nuevo estándar, una nueva generación de arquitectura de seguridad, abierta y global, que permita a los distintos controles, ya sean de sistemas, redes o aplicaciones independientemente de su ubicación en infraestructuras propias o en la nube, comunicarse entre sí en todo momento y que sea capaz de analizar comportamientos contextualizados, transformando los datos aportados por cada uno de los controles de seguridad en información. Esta información debe convertirse en inteligencia para ayudar a la toma de decisiones inmediatas, automáticas o asistidas, que tengan en cuenta los índices de compromiso establecidos previamente por la organización.

La nueva generación de arquitectura de seguridad debe integrar y coordinar el comportamiento de cada nodo de la infraestructura TIC ante cualquier evento, adaptándose en tiempo real y elevando la seguridad a un nivel que no sería posible de ninguna otra forma. El paradigma de la nueva generación de arquitectura de seguridad incluye la conectividad permanente con centros de inteligencia globales, tanto públicos como privados, para aprovechar toda la potencia derivada del tratamiento de los eventos de millones de dispositivos conectados, que probablemente ya se hayan enfrentado y hayan diagnosticado la misma amenaza quizá tan solo una fracción de segundo antes. Una seguridad colaborativa.

La creación y adopción de esta nueva arquitectura de seguridad abierta, se hace incluso más necesaria con la irrupción del Internet of Things, donde miles de millones de “cosas” de toda índole, en ámbitos como el transporte, las infraestructuras críticas, equipamiento médico o doméstico por citar algunos, están conectados e interactuando entre sí, y en muchos casos tomando decisiones sin intervención humana.

Dando por hecho que la conectividad permanente es un elemento fundamental para el desarrollo del IoT, la seguridad es la pieza esencial que va a permitir el desarrollo empresarial de los fabricantes de dispositivos y la palanca que puede generar la suficiente confianza de los usuarios para acelerar la adopción masiva de las tecnologías en este campo. En este sentido es fundamental establecer y promover estándares que favorezcan la conexión y la gestión inteligente del flujo de información entre dispositivos, sin importar su forma, sistema operativo o el proveedor de servicios.

La alianza entre el Open Interconnect Consortium (OIC) y el Industrial Internet Consortium (IIC) es una buena muestra de la necesaria colaboración de la industria para desarrollar la interoperabilidad necesaria para el éxito del IoT, incorporando la seguridad como un elemento clave. Un paso en la dirección adecuada, pero nos esperan muchos más.

Qué exigir a nuestra póliza de ciberriesgo

Es en este contexto en el que identificamos la necesidad de pólizas de seguro que permitan una transferencia adecuada del ciberriesgo.

Para que el ciberriesgo sea sostenible tanto para la aseguradora, para el  sector del reaseguro como para las empresas que lo deseen transferir, es necesario que todos los actores involucrados, incluyendo terceros de confianza y reguladores, puedan verificar que las medidas de seguridad y de gestión del riesgo comprometido no sólo se cumplen, sino que se adaptan dinámicamente a un entorno tan cambiante. En la duración típica de un seguro se requerirán varios ciclos de adecuaciones a nuevos escenarios de amenazas y en algunos casos a cambios regulatorios.

El buen entendimiento de los nuevos desafíos que la transformación digital nos trae, requiere por un lado arquitecturas abiertas, integradas y globales de seguridad y por otro, una gestión del riesgo para el negocio continuada y adaptativa, junto con el soporte adecuado de ciberseguros. Este enfoque parece el único esquema posible para mejorar la salud a corto, medio y largo plazo de nuestros negocios y de las infraestructuras tecnológicas que los hacen posibles.

La industria de la ciberseguridad debe transformarse y colaborar con todos los actores (donde claramente incluimos ya el sector asegurador) para definir y adoptar nuevos estándares asegurados. Sólo mediante un esquema así, podremos asegurar que el cliente de nuestros clientes reciba el servicio que espera de forma segura, cómoda y fiable, en un marco de cumplimiento normativo.

Un pensamiento en “La Gestión del Riesgo transforma la industria de Ciberseguridad

  1. Pingback: La Gestión del Riesgo transforma la industria de Ciberseguridad – informatic68

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s