La ciberseguridad explicada a los directivos por Víctor Deutsch

'Ciberseguridad para directivos' es un libro que busca explicar la problemática y gestión de la ciberseguridad, pero de una forma sencilla, orientada a directivos, como el propio título indica, y con más foco en entender el fenómeno y gestionarlo que en profundizar en detalles técnicos en los que, de hecho, apenas entra. En ese sentido, incluso, elude la clasificación tradicional de riesgos y amenazas basados más en las características técnicas de los ataques y nos habla de los riesgos según cómo afectan a la empresa. La visión es, pues, directiva, orientada a la empresa y muy especialmente a las PYMEs.
El contenido se desarrolla a través de doce capítulos organizados en cuatro partes, como sigue:

• 'PRIMERA PARTE: RIESGOS' Explica las amenazas a que está sometida una empresa, intentando adoptar esa mirada más empresarial y menos técnica de la ciberseguridad. Incluye cinco capítulos:
  
  • '1. EL MARKETING DEL MIEDO:' Tras advertirnos contra ese 'marketing del miedo' que busca asustar como forma de provocar una reacción, habla de algunos informes serios sobre ciberamenzas para luego, a través del caso Wakefield, hablar sobre los bulos y su impacto.
  
  
  • '2. LAS AMENAZAS AL PATRIMONIO: LOS ACTIVOS:' Nos habla de cuáles son los activos en la era de internet y nos explica someramente cómo proteger los activos físicos y los activos de información.
  
  
  • '3. LAS AMENAZAS AL PATRIMONIO: LAS ESTAFAS:' Nos comienza hablando de los delitos informáticos y algunos tipos de ellos para luego explicar lo que denomina los fraudes corporativos, es decir, los que tienen su origen en empleados de la propia organización
  
  
  • '4. LAS AMENAZAS A LA CUENTA DE RESULTADOS:' Entendiendo que la alteración de la capacidad operativa de una empresa impacta en sus resultados ya sea como sobrecostes, como gastos extraordinarios o como lucro cesante, examina los riesgos que pueden afectar a esa capacidad operativa, cómo a veces los ataques se realizan por el mero 'gusto' de hacer daño y luego pasa revista a los sobrecostes que se generan.
  
  
  • '5. GESTIÓN DE CRISIS:' Comienza advirtiendo en general de las consecuencias de una mala gestión de una crisis de seguridad/reputación, para luego centrarse, por un lado, en los perjuicios económicos y, por otro, en los reputacionales.
  
  


• 'SEGUNDA PARTE: CONTROL' Tras entender las amenazas, esta parte se centra más en la protección o la seguridad propiamente dicha, de la información y se desarrolla a través de los siguientes cinco capítulos:
  
  • '6. UNA BREVE HISTORIA DE LA SEGURIDAD:' Repasa la historia de la seguridad en materia de informacion, comenzando por las redes de comunicaciones, siguiendo por las tecnologías de la información y luego por la aparición del PC y la extensión de Internet. De ahí pasa a explicar el concepto de 'perímetro' y finaliza con la seguridad de la información en la era 'cloud' más actual.
  
  
  • '7. LA SEGURIDAD EN LAS REDES DE COMUNICACIONES:' Nos habla del cifrado en redes públicas y de la tensión entre la complejidad del cifrado (que proporciona mayor seguridad) y la velocidad de cálculo (que tiende a llevar a algoritmos más simples y menos seguros). Remata con un extenso apartado dedicado al caso de las redes móviles.
  
  
  • '8. DEFENDIENDO LAS MURALLAS DE LA CIUDAD:' Nos habla de cómo en el mundo actual con internet y, sobre todo, la nube, el concepto de perímetro de seguridad se desvanece lo que lleva a un nuevo planteamiento de la seguridad en la empresa y nos introduce conceptos como los puntos de control o el acceso único a la red. Hace luego énfasis en la importancia de la concienciación. Dedica a continuación una sección a las pruebas, la gestión de crisis y la inteligencia y acaba proponiendo un modelo propio de gestión de la ciberseguridad inspirado en la cadena de valor de Porter.
  
  
  • '9. LA PARADOJA DE LAS PYMES:' Se centra en el caso específico de las PYMEs, proporcionando primero una breve visión de cómo ha evolucionado, explicando por qué la ciberseguridad es clave para la supervivencia de las PYMEs y detallando, con base en un informe de Telefónica, la situacióbn de la ciberseguridad de las PYMEs en España. Finaliza desmontando algunos mitos sobre la seguridad de las PYMEs
  
  
  • '10. CIBERSEGURIDAD EN LA INDUSTRIA 4.0:' Trata el caso especial de la empresa industrial, explicando algunos de los sistemas especiales que en estos entornos encontramos, aportando ideas sobre la seguridad en realación a Internet de las Cosas y los robots y finalizando con algunas reflexiones de orden ético.
  
  


• 'TERCERA PARTE: EFICIENCIA' Aporta una visión más operativa y organizativa de la seguridad de la información y se desarrolla en los dos capítulos finales:
  
  • '11. LAS FUNCIONES DE CIBERSEGURIDAD:' Describe lo que es un SOC (Security Operation Center) y sus operaciones de ciberseguridad tanto básicas como avanzadas. Continua con la problemática de la construcción de código seguro y con recomendaciones para construir una cultura de la ciberseguridad. Aboga luego por ver la gestión de las vulnerabilidades como un proceso continuo y remata explicando los ciberseguros y cómo son un mecanismo de transferir los riesgos a un tercero.
  
  
  • '12. LA ORGANIZACIÓN DE CIBERSEGURIDAD:' Propone un modelo de organización de las tecnologías de la información donde la ciberseguridad o un rol como el CISO juegan un papel relevante y explica, precisamente, en qué consiste ese rol de CISO (Chief Information Security Officer). Dedica mucho espacio a la problemática de la identidad y brevemente revisa la protección de la marca y reputación online. Finaaliza proponiendo un nuevo modelo de organización de la ciberseguridad que detalla más el modelo basado en la cadena de valor que había presentado en el capítulo 8.


• 'CONCLUSIONES' Una breve revisión de los principales mensajes que nos debemos quedar.

El libro finaliza con tres anexos informativos, a saber, 'ANEXO I. Estándares de ciberseguridad', 'ANEXO II. Autoridades y normativa de ciberseguridad' 'ANEXO III. Reglamento general de protección de datos'
Es curioso que el autor recurre, a lo largo de todo el texto y como forma de ejemplificar conceptos de seguridad, a historias y anécdotas relacionadas con la seguridad y en general conectadas con las guerras mundiales.
'Ciberseguridad para directivos' es, quizá, el primer libro que he encontrado que explica la ciberseguridad de una manera que es a un tiempo amena e informativa. Aunque es cierto que no entra en muchos detalles, desde luego no en los técnicos, es un gran recurso para mandos, para directivos, o para cualquiera que quiera obtener una visión abarcadora y comprensible de la ciberseguridad sin 'ensuciarse' con los detalles.
Buen recurso. 

Víctor Eduardo Deutsch

(Fuente: Ligera elaboración de la biografía en su página oficial)