Armonizada la ciberseguridad europea con el NIS-2
Ya está aquí. Poco a poco Bruselas va extendiendo su mano en cuestiones de ciberseguridad y ahora llega al cenit con la aprobación de la Directiva NIS-2, que mejora la resiliencia y la capacidad de respuesta ante ciberincidentes en toda la Unión Europea. De esta forma, quedará armonizada la ciberseguridad europea con el NIS-2.
Hay que remontarse al 6 de julio de 2016, fecha en la que entró en vigor la Directiva 2016/1148 del Parlamento Europeo y del Consejo sobre las medidas que garantizaban un nivel común de seguridad de las redes y sistemas de la información. Esta instrucción fue conocida con el nombre de Directiva NIS, del inglés Network and Information Security.
Pero debido a la rapidez con que se desarrolla la técnica y el ingenio de los ciberdelincuentes, pronto se empezó a trabajar en una actualización y ampliación, que se la ha bautizado, con una increíble creatividad, como NIS-2. El Parlamento Europeo la aprobó por amplia mayoría en mayo de este año y aunque todavía falta que el Consejo Europeo (el gobierno de los países de la UE) la apruebe, se espera que entre en vigor en 2023. Por supuesto que la nueva normativa se integra totalmente en la amplia legislación que Bruselas ha ido creando sobre el tema, especialmente el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).
Un marco normativo común
Lo más llamativo de la Directiva es que pretende garantizar un nivel elevado de protección y mejorar la resiliencia en todos los Estados de la Unión. Y es que Bruselas reconoce que en muchos ámbitos no existe una cultura de aplicación de la ciberseguridad y la poca coordinación entre Estados lleva a una falta de respuestas comunes.
Destacamos los siguientes puntos de la NIS-2.
- Será obligada la notificación en los diferentes sectores que cubre: energía, transporte, sanidad e infraestructura digital.
- Creación de la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) para mejorar la coordinación en la gestión de incidentes de ciberseguridad a gran escala.
- Se amplían y aclaran algunos conceptos, como “entidades esenciales” o “sectores críticos” y se introducen los “sectores importantes”, como por ejemplo gestión de residuos; sector aeroespacial; producción, transformación y distribución de alimentos; fabricantes y proveedores de servicios digitales; servicios postales de mensajería y la fabricación, producción y distribución de sustancias y mezclas químicas.
- La legislación será de aplicación tanto para la administración como para las medianas y grandes empresas de ciertos sectores catalogados como “importantes” en el redactado de la norma. Estos ámbitos comprenden, por ejemplo, los servicios postales, la gestión de residuos, las industrias química, farmacéutica y alimentaria, la fabricación de maquinaria pesada, vehículos y aparatos digitales, etc.
- Quedan excluídos del ámbito de aplicación de la Directiva la defensa o seguridad nacional, seguridad pública, policía, poder judicial o los parlamentos y bancos centrales.
- Se va a promover la cooperación público-privada a través de los ppp (Public – Private – Partnerships). Para ello se van a desarrollar asociaciones público-privadas especializadas en ciberseguridad.
- Se preocupará de la seguridad de las cadenas de suministro así como las relaciones con los proveedores. Para ello se va a permitir a las empresas exigir a sus proveedores el cumplimiento de la normativa en caso de ser operadores críticos.
- La responsabilidad recaerá sobre la dirección de la empresa, ya que deberá preocuparse de cumplir las medidas de gestión de riesgos de ciberseguridad.
- Se podrá sancionar. Las amonestaciones, instrucciones y multas podrían ser de hasta dos millones de euros e incluso llegar a suponer el 2% de los ingresos anuales de la organización.
- Nacen nuevas obligaciones como pudieran ser el uso de cifrado de extremo a extremo. Se impone la privacidad por defecto y desde diseño, la respuesta a incidentes y gestión de crisis, la certificación de sus servicios, productos y/o sistemas bajo esquemas europeos de certificación de la ciberseguridad de acuerdo con normativa comunitaria, o el tratamiento y divulgación de vulnerabilidades.
- En muchos casos se deberán crear nuevos departamentos y/o procesos internos para cumplir los requisitos de la Directiva, así como la selección de perfiles con capacidades digitales para cumplir estos requisitos, todo ello colaborando con entidades esenciales e importantes.
Podéis leer un extracto de la norma en esta web del Parlamento Europeo AQUÍ.
Y también podéis leer la Directiva al completo, en castellano, AQUÍ.
Como es habitual, los estados contarán con 21 meses para trasponer la nueva norma a su legislación nacional. Como podéis ver muchas empresas tendrán que adaptarse a esta normativa y además, en muchos casos, deberán contar también con certificaciones. Por ejemplo, en España será necesario que tengan el certificado del Esquema Nacional de Seguridad (ENS).
Es justo señalar que muchos de estos servicios para empresas ya los esta ofreciendo TECNOideas, como es el caso del CISO Externo o el de las certificaciones como el ENS.
Imagen principal: S. Hermann / F. Richter en Pixabay
- Publicado en Certificaciones, CISO, General, Normativa, Noticias
Aumento de litigios por problemas en la protección de datos y ciberseguridad
Se ha publicado recientemente en el BOE el nuevo Esquema Nacional de Seguridad (ENS), una certificación necesaria para toda empresa que trabaje con la Administración.
La nueva regulación se adapta a las diferentes leyes estatales y europeas e incide en el papel de los CISO. ¿Y dónde queda el papel del delegado de protección de datos (DPD)?
¿Qué es un CISO?
Es la persona encargada de la seguridad de los sistemas de la información. La ley obliga, en determinados casos, a tener esta figura en plantilla, siendo un activo muy valioso, que debe integrarse dentro de la estructura y organigrama de la empresa, a alto nivel.
Tiene que organizar la ciberseguridad de la compañía y es el responsable máximo del tema, así como el interlocutor con la Administración, incluidos los trámites cuando hay un percance.
No hay que olvidar que cualquier empresa, pequeña o grande, de cualquier sector, tiene una gran exposición de sus activos. Si estos no se protegen, puede llevar a la pérdida de partes valiosas de la empresa y, por supuesto, puede afectar a la continuidad del negocio.
¿Cuál es el problema?
La realidad del CISO no se corresponde con lo expuesto. ¿Cuenta con los recursos necesarios? ¿Se recorta su presupuesto desde áreas como dirección o finanzas, que poco saben de ciberseguridad? ¿Es un cabeza de turco? ¿Tiene que estar siempre en alerta? ¿Sufre burnout? Son muchos los problemas que puede tener un CISO, como podéis ver en este artículo publicado en nuestro blog. Quizá por todo ello, se permite que el CISO pueda ser externo a la empresa o incluso que forme parte de otra compañía de servicios de ciberseguridad.
Casos reales. ¿Es el CISO siempre el responsable?
Os explicamos a continuación un par de casos reales, de problemas con mayúsculas de dos empresas muy conocidas y con implantación global.
• CISO de SolarWinds.
SolarWinds es una empresa estadounidense con sede en Austin (Texas) y que desarrolla software para empresas. Unos piratas informáticos llevaron a cabo un ataque a la cadena de suministro a través de SolarWinds y violaron las redes de varios departamentos del gobierno de EE.UU., incluida la agencia a cargo del arsenal de armas nucleares del país. Todo eso como parte de una campaña mundial de ciberespionaje de meses de duración revelada en diciembre de 2020. Parece el caso más claro de “cabeza de turco”, por la resonancia que tuvo el caso, y porque le acusaron de negligencia. Resultado: lo demandaron por nada más y nada menos que 1.500 millones de dólares.
• CISO de UBER.
Este caso es diametralmente opuesto al anterior. Encubrió un posible pago de ransomware. Recordamos que pagar a ciberdelincuentes es delito. Y a este delito abría que añadir que si había sido negligente en su cargo, doble error.
Acabamos dejando claro el concepto de NEGLIGENCIA. Según la Real Academia Española es:
1. f. Descuido, falta de cuidado.
2. f. Falta de aplicación.
Conocer la legalidad
Como podéis ver, y siguiendo nuestro título de hoy, Aumento de litigios por problemas en la protección de datos y ciberseguridad las leyes cobran un protagonismo esencial. Por eso nos pusimos en contacto con uno de los despachos profesionales más especializado en Derecho Tecnológico: Tecnogados, con el que colaboramos asiduamente. Y les pedimos que nos explicaran su visión de estos temas. Y el resultado es este post compartido que estáis leyendo. Como venimos de casos reales, retoman el tema con un caso real vivido directamente.
En Tecnogados estuvimos muy atentos a la resolución de la Agencia Española de Protección de Datos, la nº E/09159/2020, respecto a la brecha de privacidad que sufrió la empresa Mapfre.
En dicha resolución, se puede leer la actuación de la compañía en relación al ataque que sufrió por la infección de un ransomware, y como la empresa una vez puesta la denuncia pertinente, comunico los hechos al INCIBE y CCN-CERT, así como publicó lo acaecido en su web y redes sociales.
De las actuaciones llevadas a cabo pudimos ver como la empresa, una vez detectado el virus, realizó una búsqueda en la web de VirusTotal y como en esa fecha el malware también era indetectable.
Mapfre también obtuvo las evidencias forenses necesarias para detectar el origen de la infección, con el fin de evitar posibles reinfecciones.
En relación a las medidas proactivas que tenía implementadas, consta que la compañía estaba suscrita a un código de conducta en materia de protección de datos y contaba con un plan de contingencia. El conjunto de actuaciones, como no pudo ser de otra manera, acabo con el archivo del expediente.
¿Y qué queremos haceros ver con todo esto? Pues que el trabajo en materia de ciberseguridad (CISO) va unido de la mano al del delegado de protección de datos (DPD). Donde el primero dice que medidas técnicas aplicar y, el segundo, que información proteger respecto a datos personales o potencialmente identificables.
Ambas figuras CISO y DPD también deberían tener una obligada colaboración, respecto a que medidas implementar en ciberseguridad y privacidad, desde el diseño y por defecto, donde la anticipación y la proactividad sean un valor para garantizar el cumplimiento normativo y así cumplir con el Reglamento Europeo de Protección de Datos, en relación a principios como la minimización de información para cumplir la finalidad del tratamiento o implementar medidas que permitan cumplir efectivamente el ciclo de vida del dato y el efectivo ejercicio del derecho de supresión del interesado.
Respecto al ENS y en relación al perfil de nuestros lectores, aquí cabría traer a colación que pasa con aquellas pymes que trabajan para la Administración, sobre todo en dos aspectos.
Primero, que requisitos tienen que cumplir estas empresas con relación al trabajo que llevan a cabo a entidades públicas y que medidas tiene que aplicar.
En este sentido, sería interesante que la Autoridad pertinente estandarizará procedimientos de cumplimiento para que cualquier proveedor de servicios de la Administración supiese que medidas tiene que aplicar.
Pero, en segundo lugar, también sería interesante para los entes públicos, el saber que requisitos tendrían que sacar en sus concursos, para que el candidato pueda garantizar un nivel óptimo de cumplimiento en materias como la ciberseguridad y la privacidad y que estos pudieran ser un factor determinante para la adjudicación del trabajo.
Por último, indicar que teniendo que ser el CISO y el DPD personas distintas dentro de la organización conforme al ENS, su labor, sin embargo, es totalmente complementaria donde, por un lado, uno aporta el conocimiento técnico y el otro garantiza el cumplimiento normativo.
Imagen principal: Pete Linforth en Pixabay
- Publicado en Ataques / Incidencias, CISO, Consultoría, Formación, Historia, Normativa, Noticias, Protección de datos, Seguridad
Hoy es el CISO Day 2022
Posiblemente no exista una figura más relevante en el mundo empresarial relacionado con la ciberseguridad que el CISO, o persona encargada de la seguridad de los sistemas de la información. Por ello nos parece más que justificada la iniciativa de dedicarle un evento. Así nació el CISO Day, que en pocos años ya ha pasado a ser el mayor evento de España en torno a la figura del CISO.
En tan solo cuatro años este evento ha alcanzado una notoriedad muy merecida. Basta mirar los temas a tratar en la presente edición para corroborarlo: estrategia, ciberinteligencia, hacking, ciberseguridad o ciberinnovación.
La iniciativa de organizar un CISO Day la tuvo CyberSecurity News, el mayor medio de comunicación especializado en el sector de la ciberseguridad en España. Y naturalmente sigue siendo el organizador del evento. Eso sí, cuenta con el apoyo institucional del Centro Criptológico Nacional y los necesarios patrocinadores.
El CISO Day 2022 se celebra en los Cines Palacio de Hielo de Madrid y cuenta con dos salas. El congreso tiene un formato híbrido, presencial por un lado y virtual por otro. La buena noticia es que se puede seguir en directo a través del canal de YouTube de CyberSecurity News. Aun así hay que comprar la entrada. En la web del certamen, www.cisoday.es, tenéis el programa completo, los ponentes y todo lo relacionado con la jornada, que comienza a las 9.15 con la bienvenida a cargo de Vicente Ramírez, redactor jefe de CyberSecurity News y creador del CISO Day.
TECNOideas puede ser vuestro CISO Externo
Os queremos recordar que la figura del CISO es esencial. Tanto es así que la ley 43/2021 especifica que las empresas de ciertos sectores estratégicos, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Tenéis toda la información sobre la ley, los sectores definidos como estratégicos en el anexo de la norma y las opciones que os ofrecemos en el apartado Normativa/Compliance de nuestra web.
El trabajo del CISO es verdaderamente indispensable y poco tiene que ver con el que realiza un informático. Sin embargo es también muy estresante y dado el nivel que se le exige, implica una remuneración elevada, que muchas empresas ne se pueden permitir. Quizá por todo ello la propia ley también reconoce la posibilidad que el CISO sea externo. Y ahí es donde TECNOideas os puede ayudar.
Para entenderlo mejor, os invitamos a leer un par de artículos publicados en este blog. En el primero de ellos, explicamos detenidamente las funciones que debe tener un CISO.
En el segundo os explicamos la problemática que están teniendo los CISO en todo el mundo, como por ejemplo el burnout y por eso lo titulamos 5 motivos para preferir un CISO externo en ciberseguridad.
¡Que disfrutéis del día!
- Publicado en CISO, Congresos, Evento, General, Medios de comunicación, Normativa, Noticias, Seguridad, Servicios, Sobre TECNOideas
Español 
Català