Voy a intentar describir lo que yo creo que es una realidad social en la actualidad y que de momento le veo difícil solución. Soy directivo, universitario, tengo entre 45 y 55 años, profesional de la seguridad, conozco la legislación que me afecta y me da miedo (sobre todo la LOPD y el código penal con las responsabilidades para los directivos y la compliance), y no soy informático, ni se inglés, no tengo tiempo para casi nada y llevo algún intentando encontrar formación para mí en ciberseguridad, que es esté adaptada a mis conocimientos, responsabilidades y tiempo. Y hasta ahora no he tenido narices de encontrar algo de lo que pueda entender ni los títulos de los temas. Creo que no soy el único al que le pasa esto; que muchos se pueden identificar conmigo.
Llevamos años escuchando la importancia y transversalidad que tiene la ciberseguridad y que es una responsabilidad de todos (empresas, directivos, usuarios, etc.); y cuando esas campañas de sensibilización te afectan y te pones a buscar una solución, es decir, intentas buscar información y formación concreta no la encuentras o no sabes encajarla. Sabemos de reuniones de INCIBE y un montón de jornadas técnicas, pero cuando he asistido no he tenido la sensación de avanzar personalmente.
Como director de seguridad creo que la ciberseguridad no está enmarcada en nuestras obligaciones directas, pero la propia ley de Seguridad Privada ya nos la enmarca dentro de la gestión de la seguridad. ¿De que me sirve un plan de seguridad que no me protege realmente? ¿He puesto alarma, un vigilante, CCTV con análisis inteligente de video para que me roben por haber dejado todo abierto y con las llaves puestas desde el punto de vista Ciberseguridad?, ¿qué le digo a mi cliente, socios, LOPD, autoridades, compañías de seguros?, ¿que mi plan de seguridad integral no es seguro porque no se informática?
Por otra parte necesito una formación que me permita realizar mi trabajo, que no se lleve 5 horas diarias, que me ocupe y no me preocupe, que me vea avanzar cada vez que me ponga, que no tenga que preguntar cada 5 minutos por terminología que no entiendo. El tiempo que yo puedo dedicar al día a formarme en esto es de una hora y no la puedo perder buscando en un diccionario cada dos por tres. Yo lo he intentado dos veces con dos universidades en estos meses a través de métodos online que es lo que yo puedo hacer ya que no tengo tiempo para ir a los sitios y además la clase. Las dos veces me ha pasado lo mismo: «ya se de la importancia del MAC, de la IP, del router, de los iframes, del HTTP, Phishing, XSS, browser, coockies, HTML, URL, IoT, firewalls, malaware, que síiiiii, que lo séeeee. ¡¡¡¡QUE NO SE LO QUE SIGNIFICAAAAAAAA!!!!, ¡¡¡¡QUE NECESITO UN DICCIONARIO AL LADOOOOO!!!, ¡¡¡QUE SOY DIRECTOR Y ME DA VERGUENZA PREGUNTAR POR COSAS QUE CREO QUE SABE TODO EL MUNDO Y YO NOOOOOO!!!, ¡¡¡QUE NO SOY INFORMÁTICOOOO!!! » ¡¡¡¡SOCORROOOOO!!!!! ¡Hala! Que a gusto me he quedado.
Por otro lado tanto empresarios como directivos, de seguridad o no, estamos afectados por la legislación que desde el punto de vista personal y profesional nos va a exigir pericia. Y ya sabemos todos que la falta de conocimientos no exime del cumplimiento legislativo. En función del daño y de nuestra actuación tendremos responsabilidades penales, personales y patrimoniales que atender nosotros, mientras que la empresa u organización tendrá que atender las suyas incluidas las penales. Cuando revisé uno de los cursos recibidos por nuestro querido profesor Miguel Olmedo sobre la «Responsabilidad penal, civil y patrimonial por acciones u omisiones del personal a cargo del directivo», es cuando realmente me preocupé por mi situación. Pude comprobar entonces que no había desarrollado un plan de seguridad completo, que mis bases de datos no estaban realmente protegidas; y no lo digo solo por la competencia o privacidad de mis clientes, sino también por la posibilidad de un uso malicioso de los mismos. También he podido aprender que nuestras defensas a base de ingenierías si no tienen un gran apoyo formativo y de procedimientos sirven de poco. Basta ver cualquier video de Youtube sobre cómo apropiarte de los datos de cualquier dispositivo aprovechando un wifi falso, para que te entre un sudor frío por el cuerpo.
En cuanto a las responsabilidades penales de las empresas u organizaciones y las famosas Compliances Penales ¿qué queréis que os cuente? Actualmente creo que se pueden escapar muy pocos y que muchos de los que tenían algo avanzado con la entrada de ISO 19601 han tenido que volver a empezar a realizar su «Compliance», como es el caso de mi empresa.
Y además es cierto que es nuestra responsabilidad y que por una cosa u otra muchos no lo hemos atendido todavía. Yo creía que era un especialista relativamente completo y veo que me tengo que actualizar y que eso no parará nunca ya que cada vez cambian las cosas más rápido. Sabemos que es más fácil vulnerar nuestra seguridad a través de Internet y con menos riesgos que hacerlo físicamente y que es muy difícil pillar a los malos.
Efectivamente, además de nuestras habilidades directivas y/o empresariales para desarrollar nuestro trabajo tenemos que CIBERACTUALIZARNOS, en mi caso CIBERAPRENDER, para CIBERPROTEGERNOS de los CIBERATAQUES y no tener CIBERRESPONSABILIDADES. Tampoco estoy tan seguro de que se esté exagerando un poco en todo esto y no me esté convirtiendo en un CIBERACOJONADO.
Director del Proyecto Ciberseguridad para Directivos
Centro Andaluz de Estudios y Entrenamiento
Etic Campus Internacional de Seguridad
Instituto Hispanoamericano de Seguridad.
