La formación equipos multidisciplinares de ciberseguridad en la empresas, en las que además de puestos técnicos tengan presencia abogados, economistas, comunicadores o expertos en marketing, es una necesidad real sobre la que se ha debitado en un webinar organizado por la Alianza Española de Seguridad y Crisis (aesYc).
En esta han participado los expertos Juan Cobo, CISO de Ferrovial; Elena García, CISO de INDRA, Marlon Molina, Director del Laboratorio de Ciberseguridad para los Parlamentos de las Américas, OEA y Eduardo Solís, Líder de servicios de consultoría de Entelgy Innotec Security, moderados por José Javier Martínez Herráiz, Delegado del Rector para Administración Electrónica y Seguridad de la Universidad de Alcalá de Henares.
Precisamente este último introdujo la reunión poniendo el foco en el interés de la multidisciplina, tal y como se recomienda en el texto de la Estrategia Nacional de Ciberseguridad que, según dijo, solo lo cumplen tres universidades en nuestro país. Martínez Herráiz celebró la llegada de los grados universitarios en ciberseguridad, que incluyen asignaturas de disciplinas de aspectos jurídicos, económicos y de comunicación frente a la existencia, hasta ahora, de los masters en ciberseguridad, en los que "que se daban muchas cosas en poco tiempo".
Según aseguró el profesor, "hay necesidad de empezar a formar equipos no solo de ingenieros sino con abogados, economistas, expertos en dirección de empresas y en comunicación y marketing. Aún cuesta hacer entender que esto no es cuestión de aparatos, sino de organización y normativa".
Elena García, CISO de INDRA explicó que en el riesgo ciber, que es ya un ámbito demandado por toda la sociedad, se requiere de todos los perfiles. Para esta profesional "estamos en un momento dulce y de evolución, en el que los comités de dirección de las empresas se plantean si la continuidad del negocio y el impacto es cosa solo del CISO o de toda la empresa. Hasta no hace mucho, el comité de dirección rara vez quiera oír hablar de tecnología".
Sin embargo, esta experta se mostró pesimista sobre la incorporación de los jóvenes a la ciberseguridad porque "ven en las empresas falta de interés. La retención del talento no solo va unido a la cuestión salarial; también importan las posibilidades formativas, la movilidad, etc. Son perfiles muy demandados que seguimos necesitando” por ejemplo en compañías aseguradoras, por la demanda en pólizas ciber, o en los grandes despachos de abogados.
Formación en la empresa para prevenir engaños
El CISO de Ferrovial, Juan Cobo, formado en escuelas de negocios y financieras, vio necesario hacer campañas, formar o entrenar a todos los departamentos de una empresa, para prevenir engaños y timos, porque "las personas siguen siendo el eslabón más débil y son inseguras ante una situación extrema; cualquiera puede recibir un phishing". En su opinión, en esto hay que invertir dinero y hacer responsables a todos, incluso con sanciones.
Desde su experiencia en Entelgy Innotec Security, Eduardo Solís confirmó que la supervivencia de cualquier compañía ya depende de la responsabilidad compartida en ciberseguridad por lo que ya "vemos que los cargos de CISOS cada día están más cercanos al consejos de dirección. Seguimos siendo muy técnicos; hay que hacer el esfuerzo de hablar de ciber siendo muy didácticos y claros. El CISO debe saber de negocio y la alta dirección algo de ciberseguridad".
Solís coincidió con el resto de participantes en que "hacen falta manos en los puestos de seguridad y aunque ha aumentado la oferta formativa, lo que hará crecer el sector, las empresas necesitan invertir para que crezca la demanda y aumenten los profesionales".
Por su parte, Marlon Molina, de OEA, confirmó que el área ya está en la agenda de todas las compañías como algo prioritario. "Está en el 90% de la agenda de los directivos de las grandes. El coste posterior de una brecha de ciberseguridad (como fue el caso de Facebook ante el senado estadounidense) no se lo pueden permitir. Yo he visto muchas Apps de éxito que tras una brecha de seguridad no han sobrevivido".
Para este experto, se conseguirá que la ciberseguridad tenga un estatus de confort en las empresas cuando "se hacer ver que es una cuestión de todos. Como ocurre con los equipos en el deporte. Hay que hacer simulacros y ensayar hasta que todos lo tengan interiorizado".