Luis Reinoso: “Es más costoso sufrir un ciberataque que prevenirlo”

Pregunta: ¿Por qué la ciberseguridad es tan importante en la actualidad?

Respuesta: La ciberseguridad es un factor clave en toda organización dado que es necesario proteger tanto la información como los sistemas y conocer muy bien cuáles son las amenazas digitales. Desde el área de Ciberseguridad se busca proteger la continuidad operativa en el sentido de la tecnología y lograr una resiliencia que, en muchas ocasiones están requeridas por normativa local o internacional.

Esta resiliencia operativa es clave para poder, por un lado, mantener los riesgos en unos umbrales de tolerancia aceptables, tanto internamente como por el mercado, y poder ofrecer una garantía y una confianza a nuestros clientes.

P.: ¿Qué implica el concepto resiliencia cuando hablamos de ciberseguridad?

R.: Es muy importante tener en cuenta que la resiliencia y, sobre todo, la resistencia y recuperación que recogen normas como como el dora, tengan un componente técnico. Es decir, gran parte de este tipo de normas te exigen que pongas a prueba tus sistemas, a través de auditorías técnicas, test de intrusión o auditorías de código.

P.: ¿Qué es la CIA y porque se ha convertido en un  pilar de la ciberseguridad?

R.: Uno de los pilares ciberseguridad actual es garantizar la confidencialidad, integridad y disponibilidad de la información. Ya no es sólo necesario impedir que alguien pueda acceder a los datos sin permiso, sino que incluso los pueda alterar.

La disponibilidad es un factor clave de reputación, especialmente en el sistema financiero ya que cualquier indisponibilidad de su plataforma de acceso a banca online, ya sea por móviles, por ordenadores, genera mucha visibilidad y puede generar un daño reputacional.

P.: ¿Cómo afecta la regulación a la ciberseguridad?

R.: En la actualidad, existen múltiples normativas y leyes que aplican directamente a la protección y privacidad de la información. En los últimos años hemos visto, por ejemplo, normativas como el Reglamento de Resiliencia Operativa Digital (DORA) o la Directiva Europea sobre Ciberseguridad  (NIS2) que buscan fortalecer la ciber resiliencia de las empresas europeas, con especial foco en las entidades del sector financiero, y que  intentan minimizar el riesgo sistémico que pudiera haber ante un ciberataque.

P.: ¿Cuáles son los servicios que ofrece Forvis Mazars en Cibseguridad?

R.: Desde la Firma, hemos desarrollado una estrategia integral de servicios en ciberseguridad basado en tres pilares fundamentales: la gestión y evaluación del riesgo tecnológico; la respuesta a incidentes, así como todo el apoyo, implementación y cumplimiento normativo a los que están obligadas las organizaciones. El objetivo es crear un entorno eficaz para la protección de la información y los sistemas de nuestros clientes.

Además, también asesoramos a las compañías en la certificación de los principales estándares de seguridad, como el estándar de seguridad y privacidad de la información (ISO 27001); la norma internacional para los Sistemas de Gestión de la Continuidad del Negocio (ISO 22301). También hemos sido miembros de la mesa ejecutiva de PCI DSS, que es el estándar de seguridad del pago con tarjetas (Payment Card Industry Data Security Estandar), que nos ha permitido, por un lado, conocer los nuevos requisitos que se publicaron en la PCI DSS 4.0 así como evaluar y certificar a nuestros clientes en el cumplimiento de las protecciones para el pago de las tarjetas.

La inversión inseguridad es una decisión estratégica y ya no se ve como un gasto. Hay que tener muy claro que es más costoso sufrir un ciber ataque que prevenirlo y ya no solamente en el ámbito del daño económico. Es muy importante también tener cuenta el daño reputacional, el daño a la marca que pueden llegar a sufrir las organizaciones.