El pasado día 28 de enero se publicó en el BOE el RD 43/2021, por el que se desarrolla la llamada “Ley NIS” de seguridad de las redes y sistemas de información cuya aplicación va a tener un alto impacto en las organizaciones y las empresas afectadas.
Para explicar la importancia de la nueva normativa, ISACA Madrid y aesYc, celebraron un webinar con la presencia de 1600 inscriptos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.
Para Alonso Hurtado, socio de ECIJA y vicepresidente de ASCOM, La gran expectación se debe a que esta norma supone un antes y un después en el marco regulador de la ciberseguridad.
Entre otras novedades introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con responsabilidad legal ante la autoridad reguladora. Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.
“Al igual que ocurre en el mundo del Compliance, o en el de la Protección de Datos, es absolutamente determinante la obligación de designar un responsable específico que se encargue de dar cumplimiento a las obligaciones normativas, en este caso en materia de Seguridad de la Información”, aclara Hurtado en esta entrevista.
¿Con que conclusión se marcha del debate organizado por ISACA sobre esta nuevo RD Ley que analiza el reglamento del desarrollo de la Directiva NIS?
La primera de todas ellas es el buen estado de salud de la seguridad de la información en España, de las ganas de seguir mejorando y creciendo por parte de todos los agentes implicados, tanto públicos, como privados. Prueba de ello son los más de 1000 asistentes, con representantes de todos los sectores implicados, que llegamos estar conectados en el evento.
Como segunda y principal conclusión el hecho de que este nuevo Reglamento nacional, viene a determinar y concretar con mayor exactitud las medidas que deben adoptar las organizaciones afectadas para lograr aumentar y mejorar la seguridad de la información y que las medidas en él establecidas se orientan, todas ellas, a lograr que aquellos operadores del mercado, sobre los que se sustentan una gran parte de la actividad económica presente y futura de España y de Europa, aumenten su nivel de seguridad de la información, siendo ésta absolutamente determinante para su viabilidad.
¿Qué opinión le merece que dicho RD Ley obliga a ciertas empresas que gestionan servicios esenciales a contar con un Responsable de Seguridad de la Información?
Estoy totalmente de acuerdo con dicha medida, de hecho, considero que llega tarde esta mayor generalización de la obligatoriedad. Al igual que ocurre en el mundo del Compliance, o en el de la Protección de Datos, es absolutamente determinante la obligación de designar un responsable específico que se encargue de dar cumplimiento a las obligaciones normativas, en este caso en materia de Seguridad de la Información.
¿Cree que esta figura podrá extenderse en el resto de las empresas de nuestro país, sabiendo que nuestro tejido empresarial son pymes con escasos recursos?
Sin duda alguna creo que esta figura terminará por extenderse al resto de organizaciones, pero quizá mediante fórmulas más flexibles, mediante la externalización de estas en entidades especializadas.
De hecho, siempre he pensado que este tipo de medidas abre una oportunidad grandísima para las entidades prestadoras de servicios, altamente especializadas, que mediante la concentración de servicios, logren además de una altísima especialización, la escalabilidad necesaria para poder lograr que todo el tejido empresarial acceda a servicios de seguridad de la información y Compliance que cumpla con la calidad mínima exigida.
No obstante, y sin perjuicio de lo anterior, tal y como comentamos en la jornada, quizá este Reglamento no llega en el mejor momento presupuestario para la mayoría de las organizaciones, pero sin duda alguna, sí llega en el momento exacto en el que el uso de tecnologías de la información ha sido, es y seguirá siendo absolutamente determinante para el correcto funcionamiento de la económica nacional y global.
¿Cuál debe ser el perfil profesional de este experto en seguridad que ahora este RDLey pone en primer plano, más jurídico o más volcando al aspecto tecnológico?
Sin duda alguna creo que esta figura terminará por extenderse al resto de organizaciones, pero quizá mediante fórmulas más flexibles, mediante la externalización de estas en entidades especializadas.
De hecho, siempre he pensado que este tipo de medidas abre una oportunidad grandísima para las entidades prestadoras de servicios, altamente especializadas que, mediante la concentración de servicios, logren además de una altísima especialización, la escalabilidad necesaria para poder lograr que todo el tejido empresarial acceda a servicios de seguridad de la información y Compliance que cumpla con la calidad mínima exigida.
Da la sensación que hay un paralelismo entre el compliance officer y este RSI ¿Cómo cree que puede encajar en los programas de compliance el tener que diseñar los riesgos cibernéticos?
Efectivamente. Es uno de los aspectos que pusimos de relieve. La figura del Responsable de Seguridad de la Información, la del Compliance Officer y la de propio Delegado de Protección de Datos presenta múltiples puntos de coincidencia, en tanto todas ellas se encuentran en la segunda línea de defensa de la organización.
La tecnología y, particularmente la ciberseguridad es, sin duda alguna, una de las necesidades principales de los programas de Compliance. Considero que en este momento hace falta especialistas con conocimientos suficientes en Compliance y en Ciberseguridad, algo que desde ASCOM estamos promoviendo permanentemente con acciones formativas específicas en materia de ciberseguridad y Compliance desde el Instituto de Estudios de Compliance (IECOM).
¿Qué es lo más complicado para un compliance officer de entender en materia de ciberseguridad en estos momentos?
Probablemente, la principal barrera para un Compliance Officer en relación con la ciberseguridad y la tecnología en general, no es tanto el conocimiento normativo, sino el conocimiento de la tecnología en sí misma, cómo funciona, y cómo pueden aplicarse de forma efectiva las normativas aprobadas.
Si bien siempre defiendo que el Compliance Officer no puede saber de todo (es imposible) , sí debe tener unos conocimientos mínimos para poder coordinar la actividad relacionada con cada una de las áreas en las que su función se desarrolla.
Da la sensación que la gestión de una brecha de seguridad es uno de los elementos claves en un ciberataque ¿Qué consejos plantea para poder minimizar ese ciberataque y no dañe a nuestra reputación?
Planificación previa y coordinación plena en la organización. Esas son las dos claves necesarias para lograr salir lo mejor parado posible de una brecha de seguridad. Como se suele decir siempre, existen dos tipos de organizaciones, las que han sufrido un ciberataque, y las que lo van a sufrir.
¿Cree que en el futuro habrá una certificación que avale al propio RSI o a la empresa en materia de buenas prácticas de ciberseguridad?
Sin duda alguna. Como ha ocurrido en el mundo del Compliance, y CESCOM es probablemente el mejor ejemplo, en el mundo de la ciberseguridad y en particular de la acreditación de los profesionales de la ciberseguridad, las certificaciones de seguridad van a jugar un papel determinante en los próximos años.
Las certificaciones van a permitir acreditar la diligencia debida por parte de los profesionales, así como de las organizaciones, si bien no van a permitir exonerar de responsabilidades en caso de que se den los requisitos para que estas se cumplan.