En enero, el gobierno del Reino Unido publicó otra estrategia de seguridad cibernética, la Estrategia de seguridad cibernética del gobierno 2022que no debe confundirse con el Ciberestrategia nacional 2022publicado sólo un mes antes.
Esta nueva estrategia se enfoca en garantizar que las funciones críticas del gobierno se endurezcan frente a ataques cibernéticos para 2025, y que todas las organizaciones del sector público se vuelvan más resistentes a las amenazas cibernéticas para 2030. Este claro objetivo es bienvenido, pero ¿es realista o alcanzable?
Los plazos establecidos en la estrategia son increíblemente ajustados. Los departamentos gubernamentales tienen muchas demandas contrapuestas, los presupuestos están bajo presión y la seguridad cibernética no es una de sus principales prioridades. La implementación de la estrategia para 2025 será difícil.
La estrategia tiene dos pilares: construir una base sólida de resiliencia de seguridad cibernética organizacional, respaldada por la adopción del Marco de Evaluación Cibernética (CAF) del NCSC; y “defender como uno”, que se habilitará mediante el establecimiento de un Centro de Coordinación Cibernética del Gobierno (GCCC). Estos pilares se vinculan con el mensaje clave de alineación e integración de la Estrategia Cibernética Nacional en todo el gobierno.
Además, estos pilares se sustentan en cinco objetivos:
- Gestionar el riesgo de seguridad cibernética;
- Proteger contra ataques cibernéticos;
- Detectar eventos de ciberseguridad;
- Minimizar el impacto de los incidentes de ciberseguridad;
- Desarrolle las habilidades, el conocimiento y la cultura de seguridad cibernética adecuados.
Todos estos son sensatos y proporcionan un enfoque fácil de entender para construir un programa de transformación. Sin embargo, la experiencia sugiere que estos objetivos son difíciles, costosos y lentos de lograr, especialmente en los departamentos gubernamentales centrados en las operaciones.
La integración será clave
El éxito estará determinado por los niveles de integración logrados en el gobierno, las regiones, con socios de la industria y organizaciones especializadas, tal vez incluso con nuestros aliados internacionales.
La estrategia permite la integración intergubernamental a través de la creación del GCCC y el uso de la CAF. También será importante integrarse con todas las personas necesarias para implementar esta estrategia; no se trata solo de especialistas en seguridad cibernética. También se necesitarán especialistas en recursos humanos, comerciales y tecnológicos, así como especialistas en gestión de programas y cambios, para integrar la seguridad cibernética en una organización.
El gobierno también debe buscar aprender de las experiencias y capacidades de industrias como los servicios financieros o la infraestructura nacional crítica (CNI), que han desarrollado enfoques más maduros para la seguridad cibernética.
Estas organizaciones ya utilizan las herramientas de esta estrategia (incluido el CAF), y podemos aprender de sus ofertas. También han pasado por viajes largos y difíciles para llegar a sus capacidades actuales. Al saber dónde se equivocaron, se pueden evitar estos escollos y la entrega se puede centrar más en las respuestas correctas y, por lo tanto, acelerar.
Involucrar al liderazgo temprano
Desarrollar las habilidades, el conocimiento y la cultura de seguridad cibernética adecuados es un objetivo clave en esta estrategia y sustenta los otros cuatro.
Aunque la estrategia se enfoca principalmente en capacitar y mantener la fuerza laboral cibernética y aumentar la conciencia cibernética en todos los departamentos, todo esto puede esperar ya que primero se debe involucrar al liderazgo operativo.
Para que este trabajo comience rápidamente, el liderazgo organizacional y departamental debe comprender y priorizar la entrega de esta estrategia. Esto requerirá una dirección estratégica desde arriba, informada por informes claros de gestión de riesgos cibernéticos, con todos los impactos alineados con los efectos operativos.
Ayudar a los altos ejecutivos no técnicos a comprender los riesgos cibernéticos y compararlos con otros riesgos operativos respaldará su toma de decisiones y conducirá a la entrega acelerada de los resultados de la estrategia.
Un bocado a la vez
En todo el gobierno, los procesos para justificar la inversión en grandes programas y obtener aprobaciones suelen ser largos y retrasan el inicio de la ejecución. Esto se verá exacerbado con los desafíos presupuestarios actuales, ya que los departamentos tienen que priorizar y hacer más con menos. En particular, muchos departamentos más pequeños y sus organismos independientes comenzarán desde una posición menos madura, lo que les dará mucho que hacer.
Para abordar esto, deben adoptar un enfoque de ‘pensar en grande, comenzar en pequeño y escalar rápido’ mientras interactúan continuamente con todas las partes interesadas. Eso significa invertir tiempo en comprender el trabajo requerido, dividirlo en partes prioritarias y manejables y buscar formas de comenzar la entrega rápidamente. Esto podría ser iniciando un pequeño proyecto que pueda justificarse rápidamente o adjuntando entregables, como un proceso de diseño seguro, a programas existentes (no necesariamente programas de seguridad cibernética) que ya están financiados.
Mientras se realiza este trabajo de entrega inicial, los departamentos pueden enfocarse en crear programas de transformación cibernética más grandes para permitir que el trabajo se amplíe y se entregue rápidamente. Se ha demostrado que este enfoque acelera la entrega y mejora las capacidades de seguridad cibernética para muchas organizaciones en todos los sectores. Fue especialmente eficaz al ofrecer las principales mejoras requeridas para asegurar el trabajo remoto durante la crisis de Covid-19, particularmente ayudando a las pequeñas y medianas empresas a adaptarse rápidamente en circunstancias difíciles.
Esta combinación de integración, liderazgo claro y división de la tarea en partes manejables será fundamental para cumplir de manera sostenible las ambiciones de la estrategia y comenzar la entrega rápidamente para generar aceptación y confianza.
Este artículo fue escrito por Laura Marsden, experta en seguridad cibernética y servicios públicos, y Chris Goslin, experto en transformación cibernética de PA Consultoría.