viernes, 5 de enero de 2024

La ciberseguridad explicada a los directivos por Víctor Deutsch

'Ciberseguridad para directivos' es un libro que busca explicar la problemática y gestión de la ciberseguridad, pero de una forma sencilla, orientada a directivos, como el propio título indica, y con más foco en entender el fenómeno y gestionarlo que en profundizar en detalles técnicos en los que, de hecho, apenas entra. En ese sentido, incluso, elude la clasificación tradicional de riesgos y amenazas basados más en las características técnicas de los ataques y nos habla de los riesgos según cómo afectan a la empresa. La visión es, pues, directiva, orientada a la empresa y muy especialmente a las PYMEs.

El contenido se desarrolla a través de doce capítulos organizados en cuatro partes, como sigue:
  • 'PRIMERA PARTE: RIESGOS' Explica las amenazas a que está sometida una empresa, intentando adoptar esa mirada más empresarial y menos técnica de la ciberseguridad. Incluye cinco capítulos:

    • '1. EL MARKETING DEL MIEDO:' Tras advertirnos contra ese 'marketing del miedo' que busca asustar como forma de provocar una reacción, habla de algunos informes serios sobre ciberamenzas para luego, a través del caso Wakefield, hablar sobre los bulos y su impacto.

    • '2. LAS AMENAZAS AL PATRIMONIO: LOS ACTIVOS:' Nos habla de cuáles son los activos en la era de internet y nos explica someramente cómo proteger los activos físicos y los activos de información.

    • '3. LAS AMENAZAS AL PATRIMONIO: LAS ESTAFAS:' Nos comienza hablando de los delitos informáticos y algunos tipos de ellos para luego explicar lo que denomina los fraudes corporativos, es decir, los que tienen su origen en empleados de la propia organización

    • '4. LAS AMENAZAS A LA CUENTA DE RESULTADOS:' Entendiendo que la alteración de la capacidad operativa de una empresa impacta en sus resultados ya sea como sobrecostes, como gastos extraordinarios o como lucro cesante, examina los riesgos que pueden afectar a esa capacidad operativa, cómo a veces los ataques se realizan por el mero 'gusto' de hacer daño y luego pasa revista a los sobrecostes que se generan.

    • '5. GESTIÓN DE CRISIS:' Comienza advirtiendo en general de las consecuencias de una mala gestión de una crisis de seguridad/reputación, para luego centrarse, por un lado, en los perjuicios económicos y, por otro, en los reputacionales.


  • 'SEGUNDA PARTE: CONTROL' Tras entender las amenazas, esta parte se centra más en la protección o la seguridad propiamente dicha, de la información y se desarrolla a través de los siguientes cinco capítulos:

    • '6. UNA BREVE HISTORIA DE LA SEGURIDAD:' Repasa la historia de la seguridad en materia de informacion, comenzando por las redes de comunicaciones, siguiendo por las tecnologías de la información y luego por la aparición del PC y la extensión de Internet. De ahí pasa a explicar el concepto de 'perímetro' y finaliza con la seguridad de la información en la era 'cloud' más actual.

    • '7. LA SEGURIDAD EN LAS REDES DE COMUNICACIONES:' Nos habla del cifrado en redes públicas y de la tensión entre la complejidad del cifrado (que proporciona mayor seguridad) y la velocidad de cálculo (que tiende a llevar a algoritmos más simples y menos seguros). Remata con un extenso apartado dedicado al caso de las redes móviles.

    • '8. DEFENDIENDO LAS MURALLAS DE LA CIUDAD:' Nos habla de cómo en el mundo actual con internet y, sobre todo, la nube, el concepto de perímetro de seguridad se desvanece lo que lleva a un nuevo planteamiento de la seguridad en la empresa y nos introduce conceptos como los puntos de control o el acceso único a la red. Hace luego énfasis en la importancia de la concienciación. Dedica a continuación una sección a las pruebas, la gestión de crisis y la inteligencia y acaba proponiendo un modelo propio de gestión de la ciberseguridad inspirado en la cadena de valor de Porter.

    • '9. LA PARADOJA DE LAS PYMES:' Se centra en el caso específico de las PYMEs, proporcionando primero una breve visión de cómo ha evolucionado, explicando por qué la ciberseguridad es clave para la supervivencia de las PYMEs y detallando, con base en un informe de Telefónica, la situacióbn de la ciberseguridad de las PYMEs en España. Finaliza desmontando algunos mitos sobre la seguridad de las PYMEs

    • '10. CIBERSEGURIDAD EN LA INDUSTRIA 4.0:' Trata el caso especial de la empresa industrial, explicando algunos de los sistemas especiales que en estos entornos encontramos, aportando ideas sobre la seguridad en realación a Internet de las Cosas y los robots y finalizando con algunas reflexiones de orden ético.


  • 'TERCERA PARTE: EFICIENCIA' Aporta una visión más operativa y organizativa de la seguridad de la información y se desarrolla en los dos capítulos finales:

    • '11. LAS FUNCIONES DE CIBERSEGURIDAD:' Describe lo que es un SOC (Security Operation Center) y sus operaciones de ciberseguridad tanto básicas como avanzadas. Continua con la problemática de la construcción de código seguro y con recomendaciones para construir una cultura de la ciberseguridad. Aboga luego por ver la gestión de las vulnerabilidades como un proceso continuo y remata explicando los ciberseguros y cómo son un mecanismo de transferir los riesgos a un tercero.

    • '12. LA ORGANIZACIÓN DE CIBERSEGURIDAD:' Propone un modelo de organización de las tecnologías de la información donde la ciberseguridad o un rol como el CISO juegan un papel relevante y explica, precisamente, en qué consiste ese rol de CISO (Chief Information Security Officer). Dedica mucho espacio a la problemática de la identidad y brevemente revisa la protección de la marca y reputación online. Finaaliza proponiendo un nuevo modelo de organización de la ciberseguridad que detalla más el modelo basado en la cadena de valor que había presentado en el capítulo 8.

  • 'CONCLUSIONES' Una breve revisión de los principales mensajes que nos debemos quedar.
El libro finaliza con tres anexos informativos, a saber, 'ANEXO I. Estándares de ciberseguridad', 'ANEXO II. Autoridades y normativa de ciberseguridad' 'ANEXO III. Reglamento general de protección de datos'

Es curioso que el autor recurre, a lo largo de todo el texto y como forma de ejemplificar conceptos de seguridad, a historias y anécdotas relacionadas con la seguridad y en general conectadas con las guerras mundiales.

'Ciberseguridad para directivos' es, quizá, el primer libro que he encontrado que explica la ciberseguridad de una manera que es a un tiempo amena e informativa. Aunque es cierto que no entra en muchos detalles, desde luego no en los técnicos, es un gran recurso para mandos, para directivos, o para cualquiera que quiera obtener una visión abarcadora y comprensible de la ciberseguridad sin 'ensuciarse' con los detalles.

Buen recurso. 

Víctor Eduardo Deutsch


(Fuente: Ligera elaboración de la biografía en su página oficial)

Víctor Eduardo Deutsch
Víctor Deutsch es un profesional de Tecnología de la Información, especialista en Transformación Digital y Ciberseguridad, con 30 años de experiencia en el ámbito de las empresas tanto en España como en América Latina.

Es colaborador del blog corporativo de Telefónica Empresas España desde 2016, autor de “Ciberseguridad para Directivos” (LID Editorial, 2022) y “La legión secreta del sur” (Mascarón de Proa, 2023).

Es también profesor de la Universidad MSMK y del IMMUNE Institute en España, así como escritor académico para International University of Applied Sciences (Alemania).

Puedes conocer más del autor visitando su página oficial, su perfil en LinkedIn o siguiéndole en Twitter donde se identifica como @victordeutsch.  

Ficha técnica:


EDITORIAL: LID Editorial
AÑO: 2022 
ISBN: 978-8411311595
PAGINAS: 237

No hay comentarios:

Publicar un comentario