"Las empresas deberían medir el valor que la ciberseguridad aporta al negocio" (Gianluca D'Antonio, ISMS Forum)
Gianluca D'Antonio, presidente de ISMS Forum Spain, aboga en esta entrevista por la necesidad de indicadores que permitan a las empresas medir el retorno de la inversión en ciberseguridad y poder justificar así su peso para cumplir la estrategia empresarial.
“El cibercrimen está subiendo por el crecimiento de la economía digital”, explica Gianluca D’Antonio, presidente de ISMS Forum en una entrevista para IDGtv; “el volumen de negocio que se mueve en el mundo virtual crece y eso atrae a las mafias y organizaciones dedicadas a acciones ilegales. Estamos hablando de una cifra de más de 100.000 millones de euros al año”. Ante este panorama, la recomendación a las empresas españolas es “profesionalizar y dotar de recursos sus prácticas de seguridad de la información; y pedir indicadores y métricas para demostrar cómo esto les está aportando valor a los negocios. A veces se ve la ciberseguridad como un coste, cuando está reconocido como una inversión; el problema está en definir un marco para medir el retorno de la inversión”.
Dicha medida es imprescindible porque, como el resto de partidas presupuestarias del departamento TI “se ha visto afectada por la crisis”, asevera el portavoz de la Asociación Española para el Fomento de la Seguridad de la Información. “No obstante, se ha visto impactado en menor medida porque se venía de un nivel de inversión más bajo. Las funciones de seguridad de la información aún no han alcanzado un nivel de madurez que justifiquen un recorte”.
Estrategia Nacional de Ciberseguridad
Además de promover la seguridad de la información entre las empresas españolas, ISMS Forum Spain ha tenido un papel destacado en la demanda de una Estrategia Nacional de Ciberseguridad, que finalmente fue aprobada a finales de 2013. Sin embargo, la satisfacción con la norma no es completa; D’Antonio considera que cumple las expectativas del mercado “al 50 por ciento” aunque destaca el reconocimiento “al valor de la colaboración público-privada, que es indispensable”.
“En España, el 80% de las infraestructuras están en manos de las entidades privadas; hay mucho por hacer. En la Estrategia de Ciberseguridad se han dejado de lado determinados aspectos que hubiera sido preferible incluir como el valor económico de la Ciberseguridad, métricas a nivel de Estado para medir y un marco más definido y claro de roles y responsabilidades en la Administración Pública con respecto al gobierno de la seguridad”.
También esencial para la protección es la cooperación. Como ejemplo, D’Antonio pone los ciberejercicios que se llevan a cabo tanto en el sector público como privado, unas pruebas cuyo objetivo es medir la capacidad para resistir ante un ciberataque y la formación de su equipo humano en materia de ciberseguridad. El número de participantes en las pruebas para el sector privado ha ido incrementándose año a año y demuestra el compromiso de las empresas españolas por la seguridad. En la edición de 2013, 9 organizaciones se sometieron a estos ciberejercicios, promovidos por ISMS Forum e INTECO. La puntuación media fue 7 sobre 10 y son un claro ejemplo de “colaboración eficaz y eficiente”.
