Comenzaré indicando que, si llevado por el título «El círculo virtuoso de la Ciberseguridad», alguien ha llegado a esta línea de esta publicación confiando en que voy a explicar un concepto universalmente aceptado entre los profesionales y eruditos en esta materia, sencillamente el titulo le habrá engañado.

Explicaré un concepto que creo firmemente sirve para cualquier empresa, sin que importe su tamaño, ni su grado de madurez en esta materia y por eso, me alejaré de conceptos firmemente debatidos e iré por otros derroteros.

Tomaré distancia respecto a principios básicos, requisitos mínimos y pilares sobre los que asentar la práctica de la @ciberseguridad. En estos, encontraríamos, por ejemplo, cuestiones tan sesudas como la gestión de inventarios, los análisis y gestión de riesgos, el proceso de gestión de incidentes y sus actividades esenciales tales como antelación, la prevención, la detección, la respuesta, la comunicación  y la recuperación, el proceso de gestión de vulnerabilidades o cuestiones técnicas tan concretas como el cifrado en reposo, transito o en uso, el doble factor, Zero Trust o  también, asuntos de Gobierno, tales como Políticas, responsabilidades y funciones, postura de seguridad (y las herramientas que la evalúan), las regulaciones (como el ENS o la tan esperada trasposición de la NIS2 – la que por cierto, se hará de rogar-) o la monitorización / gestión (palabras mayores!), de la cadena de suministro. Pero como decía al principio de esta publicación, no es sobre esto sobre lo que en esta ocasión quiero compartir (¡¡lo recuerdo, pues el párrafo me ha quedado largo y denso!!).

Si buscamos en ChatGPT (antes lo hacíamos en la rae, pero los tiempos cambian), el concepto “círculo virtuoso”, lo define, y muy acertadamente, como: una secuencia de eventos donde cada uno resulta en un efecto positivo y refuerza al siguiente, generando así una serie de resultados beneficiosos que se autoperpetúan. En un contexto más amplio, se utiliza para describir situaciones en las que una acción positiva lleva a otra, y así sucesivamente, creando un ciclo de mejora continua y beneficios acumulativos. Es lo opuesto a un «círculo vicioso», donde cada paso conduce a más problemas o resultados negativos.

Los eventos en la secuencia: interés, conocimiento, criterios, evaluación, decisión, apoyo y acción, definen lo que, para mí, es el círculo virtuoso de la ciberseguridad.

Pongamos un ejemplo, cuando hablamos de cómo involucrar a la Alta Dirección / Órganos de Gobierno en la Ciberseguridad, hablamos de expresarlo en forma de riesgos, no utilizando un lenguaje técnico, mostrando indicadores pegados al negocio, con un lenguaje que no asuste (pudiendo caer, incluso, en infantilizar los argumentos), etc. En realidad, pienso que todo es mucho más sencillo.

Si hay interés, la persona (en este ejemplo el directivo) será permeable a la información, preguntará y escuchará, empezará a tener comprensión de la cuestión y conocimiento, incluso a tener un pensamiento crítico y juicio, dónde así podrá evaluar las cuestiones, sopesándolas y por tanto teniendo un criterio propio, que por supuesto lo irá evolucionando conforme el ciclo se itere.

Con criterio, y por tanto de una forma responsable, tomará decisiones y estas, le deben llevan al apoyo y a la acción. Esta acción, puede respecto a las expectativas, tener un resultado satisfactorio, incompleto o negativo, lo que debería llevar al interés por los indicadores de seguimiento y de ahí, a que es lo que ha funcionado o lo que no ha funcionado y hete ahí, que estaremos nuevamente en el punto de inicio del ciclo. Por lo que su iteración nos llevará a mejorar la práctica de la ciberseguridad.

El apoyo es un punto esencial, para que la acción tenga el impulso y compromiso que se requiere. Apoyo en forma de ánimo y reconocimiento (que, aunque muchos no lo crean o lo den por dado, se requieren) tanto a su responsable de ciberseguridad, como a sus equipos y/o apoyo en forma económica -presupuestos- o de forma organizativa o de comunicación. El uso de mensajes tan sencillos como el famoso de Bill Gates a toda su Organización en el 2002 de “tomaros en serio la seguridad” a través de “cuando nos enfrentamos a la alternativa de añadir nuevas características y resolver asuntos de seguridad, necesitamos elegir seguridad”, es un claro ejemplo.

Así pues, en mi opinión, el interés es el detonante de la actividad, en nuestro caso de la ciberseguridad. El detonante, el interés, puede nacer de uno mismo o por cumplimiento de un imperativo legal (como el Esquema Nacional de Seguridad -RD 311/2022- o por la futura trasposición de la NIS2) o por el cuerpo normativo de la empresa, o por una combinación de estas. Y esa es la magia, que el interés no está sujeto a que la empresa sea grande o pequeña, que tenga o no recursos especializados y aunque, en principio parece evidente que los resultados serán proporcionales a las capacidades, sabemos que la actitud es más importante que la aptitud y esta, la actitud, está íntimamente ligada al interés.

Hagamos del interés un logro y de los logros, interés; ¡que fluya el círculo virtuoso de la Ciberseguridad!

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI