Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Vidal Valdunciel, Key Account Manager de Panda Security

Un nuevo marco legislativo para el sector TIC

Se da la circunstancia de que, casi en el mismo periodo de tiempo, tiene que llevarse a cabo por parte de los países miembros de la Unión Europea la puesta en marcha de dos normas europeas distintas y que tendrán fuerte impacto en el uso de las Tecnologías de la Información y las Comunicaciones (TIC) por parte de administraciones públicas y empresas.

Por un lado está el Reglamento UE 2016/679, conocido como Reglamento General de Protección de Datos de la Unión Europea (RGPD) –que deroga la Directiva 95/46/CE–, cuyo objetivo es establecer “las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”.

Por otro, la Directiva Europea 2016/1148, o Directiva NIS, para la seguridad de redes y sistemas de información, cuyo objetivo es “establecer las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión a fin de mejorar el funcionamiento del mercado interior”.

La implantación de las medidas para cumplir ambas normativas pone en evidencia la dependencia de las TIC en cualquier ámbito de actividad de las personas, administraciones públicas y empresas, y más en un entorno transfronterizo y global. Además, aparecen en escena potenciales problemas de seguridad asociados a la utilización de las TIC. Pero también, denotan la voluntad de conseguir cierta armonización de estrategias, adopción de medidas y cooperación entre los países de la Unión Europea.

Cómo afecta

El factor común de las diferentes normas europeas es obligar a los distintos sectores de actividad afectados a dotarse de las medidas de seguridad idóneas para garantizar la correcta protección y gestión de los datos de su negocio, la continuidad de su actividad y la prestación de los servicios; si bien, se incorporan medidas coercitivas en caso de incumplimiento de la normativa (multas y sanciones), debiendo ser éstas la última medida extrema. Las empresas y organizaciones debieran considerarlo como una oportunidad para mejorar sus sistemas de información y adoptar las medidas técnicas y organizativas necesarias; pocas ocasiones hay como ésta para justificar y conseguir presupuestos adicionales en las organizaciones.

Si tenemos en cuenta el objetivo y contenido de cada una de las normas, la consideración de las TIC y el impacto en las empresas es diferente.

En el caso del RGPD, su objetivo es la protección de los datos personales en el contexto de su utilización en los procesos de negocio de empresas y organizaciones, sea por medios físicos o automatizados. El papel que juegan las TIC como herramienta de soporte para la organización y para los procesos que garanticen el cumplimiento de las políticas de protección de los datos personales en su actividad de negocio. Reconoce la realidad de la masificación del tratamiento y comunicación automatizado de los datos y recomienda tecnologías específicas para su protección, como es el cifrado, la seudonimización, entre otras, pero el mayor impacto en las empresas será la clasificación de los datos, definición de políticas a aplicar, responsabilidades y procesos de soporte a la política de protección del dato.

Por su parte, si hablamos de la Directiva NIS, las TIC son un objetivo en sí mismo dentro de su desarrollo y en el preámbulo de dicha norma se indica: “Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior”.

La Directiva NIS fomenta el desarrollo de una estructura de colaboración entre los países, con la creación de grupos de cooperación entre autoridades competentes y los centros de notificación de incidentes a nivel de cada país (CSIRT). Además, se centra especialmente en establecer requisitos en materia de seguridad y notificación de incidentes en lo que denomina operadores de servicios esenciales y proveedores de servicios digitales, nominando sectores específicos como Energía, Transporte, Banca, Infraestructuras Mercados Financieros, Sanidad, Agua, Infraestructuras Digitales y servicios como mercado en línea, motores de búsqueda y servicios ‘cloud’.

La selección de las empresas y organismos considerados como operadores de servicios esenciales será realizada por la autoridad competente que se defina en cada Estado y existe un plazo hasta el 9 de noviembre de 2018 para dicha selección. Otra fecha importante es el 10 de mayo de 2018, cuando se deben tener aplicadas todas las medidas a nivel de administraciones públicas y empresas.

Es necesario destacar que la Directiva NIS tiene bastantes paralelismos con la Ley de Infraestructuras Críticas y que de alguna manera esta última se verá afectará en la transposición. De hecho, algunas de las compañías ya designadas como operador crítico podrán ser nominadas como operador de servicios esenciales en el marco de la Directiva NIS.

vidal-panda

Por resumir, el RGPD afectará a todas las empresas y la Directiva NIS solo afectará las empresas y organizaciones nominadas como operadores esenciales. Si bien, de cara a afrontar su adaptación, sí existen planes y tareas comunes a acometer como:

  •  Análisis de la situación actual desde el punto de vista de organización, responsabilidades y procesos y grado de adaptación a las exigencias de las directivas y normativa.
  •  Análisis del grado de cobertura de las infraestructuras y servicios TIC a las exigencias de cambio de la organización y los procesos de negocio.
  •  Plan y presupuesto de dotaciones (recursos humanos, infraestructuras TIC, comunicación…).
  •  Plan de Gestión del Cambio.
  •  Ejecución planes de adaptación.

En cuanto a aspectos específicos de infraestructuras y servicios TIC, las tecnologías que pueden ser aplicadas son muy variadas, si bien hay una necesidad común, que es dotarse de la seguridad idónea en los componentes y canales más críticos de los procesos de negocio y prestación de servicio. De este modo, se hace necesario especificar el puesto de trabajo y la red (intranet/extranet), ya que es patente que muchas de las brechas de seguridad se inician por dichos componentes. Aún más, en el contexto actual de incremento de los ciberataques a empresas y organismos, ya sea por puro negocio para los ciberdelincuentes u otro tipo de intereses más difusos.

Soporte de un ‘partner’

En este entorno cada vez más complejo es interesante valorar el colaborar con un proveedor externo. Las oportunidades de ayuda y colaboración por parte de los proveedores TIC a las empresas y organizaciones en sus procesos de adaptación a las diferentes normativas europeas van a ser numerosas y con servicios y tecnologías muy variadas: servicios de consultoría, auditoría, servicios de datacenter, servicios disaster recovery y BRS, desarrollos a medida, productos y soluciones on-premise y cloud. En el ámbito de servicios y productos o soluciones de seguridad vinculados de manera específica al RGPD, cabe destacar los sistemas de gestión y acreditación de consentimiento; y los sistemas de cifrado y anonimización/seudonimización de datos.

Y además, de manera horizontal, existe la necesidad de disponer de una buena solución de protección del puesto de trabajo, que es el elemento más próximo a los usuarios de los sistemas de información y el eslabón más débil en cuanto a potencial fuga de datos y ciberataques.

Hablando del sector de proveedores TIC en España, considero que tenemos un ecosistema muy variado y amplio capaz de cubrir las posibles demandas que surjan para ayudar a las empresas a su adaptación a las nuevas normas europeas. Aunque pueda haber oportunidades nuevas muy de nicho, el factor innovación y confianza partner tecnológico pesará en la decisión de las empresas de contar con unos o con otros.

En resumen, nos movemos en un entorno cada vez más complejo y exigente por las demandas de los reguladores. La colaboración con un tercero dará a las empresas acceso a un conocimiento y una experiencia que les permitirán adaptarse a la normativa y, además, aprovechar para asegurar un elemento clave del negocio como son los datos. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual