Durante años en ciberseguridad industrial he escuchado frases como “yo creo que estamos bien”, “la auditoría salió correcta” o “tenemos muchas medidas implantadas”. Y sin embargo, cuando ocurre un incidente real, esas frases desaparecen. Porque en ese momento ya no valen las opiniones. Solo valen los datos.
Cumplir normas no significa estar preparado para un ciberincidente.
Recientemente escribí sobre algo incómodo pero necesario, cumplir normas no significa estar preparado para un ciberincidente. Cumplir ordena, ayuda y es necesario, pero prepararse es otra cosa. Prepararse es demostrar que, cuando algo falla, la organización sigue funcionando.
La auditoría es una foto, mientras que la madurez es una película
También hemos hablado de madurez organizacional. Y aquí hay otra verdad incómoda, la auditoría es una foto, mientras que la madurez es una película. Una auditoría puede decirte cómo estabas ese día. La madurez te dice cómo evolucionas, cómo reaccionas y cómo sobrevives cuando el contexto cambia.
Tener un procedimiento no significa saber ejecutarlo bajo presión
Y luego está el checklist. Todos necesitamos checklists, son útiles y necesarios, pero tener algo en un checklist no significa tener capacidad real, tener un procedimiento no significa saber ejecutarlo bajo presión, tampoco tener tecnología significa saber usarla en un incidente real.
El ICSO no debería llevar opiniones a la dirección, debería llevar evidencias
Aquí es donde el rol del ICSO cambia. Ya no es solo alguien que explica ciberseguridad, es alguien que convierte la seguridad en medible. El ICSO no debería llevar opiniones a la dirección, debería llevar evidencias, tendencias y métricas de preparación, en definitiva, datos que permitan decidir.
Porque la conversación correcta no es “¿tenemos esto implantado?”. La conversación correcta es “¿qué pasaría si mañana ocurre este escenario?”. Y la siguiente pregunta aún más importante: “¿tenemos capacidad real para responder?”.
Modelos de madurez y plataformas como MACIN empiezan a tener sentido
Aquí es donde modelos de madurez y plataformas como MACIN empiezan a tener sentido. No para poner etiquetas ni para tener rankings, sino para entender de verdad dónde estamos, qué brechas existen y qué impacto tienen sobre la resiliencia real del negocio.
El futuro de la ciberseguridad industrial no busca tener más y mejores controles. Necesita tener más claridad, más evidencia y mejor capacidad demostrable. Va de poder mirar al Consejo y hablar en términos de preparación real, no de implantación teórica.
Porque al final, en industria, la ciberseguridad no es una opinión, es una capacidad. Y las capacidades, igual que la seguridad física o la continuidad operativa, se demuestran con datos.
José Valiente
Director del CCI
– –
Más información sobre la Plataforma MACIN aquí