redseguridad 076

directiva nis sobre la mesa 16 red seguridad primer trimestre 2017 aportando todos los actores involu- crados, sin esconder información, no poniendo trabas… "Solo cuando esto se dé, se podrán dar pasos en la línea de la colaboración", apuntó. Mitxelena, de S21sec, recalcó tam- bién la importancia de la "transparen- cia" en este proceso. "Lo importante es que todos ayudemos, porque si no somos capaces de colaborar, estamos perdidos. Los problemas que se pue- den dar en ciberseguridad son muy serios. Por eso, las propias situaciones que se vayan sucediendo son las que nos van a obligar a estar coordinados". Por su parte, Zubieta, de GMV, fue un paso más allá al apuntar la necesidad de exigir a los CSIRT que colaboren entre ellos. "Si uno está obligado a reportar incidentes a este tipo de orga- nismos, pero luego no se coordinan entre ellos, no se podrán beneficiar de las buenas prácticas y de la experien- cia que hayan tenido otras empresas", comentó, para después añadir que, de bien, el directivo matizó que también depende de la cuantía de las multas, ya que algunas empresas pueden verse tentadas a saltarse las normas por- que obtienen muchos beneficios que les permiten hacerlo. Por eso, según Mitxelena, es preciso también "cambiar las actitudes" de los directivos. Algo que ya se está produciendo, tal y como apuntó Martínez, de Metro de Madrid, con la reciente reforma del Código Penal, que ha impulsado "la concien- ciación por parte de los responsables de las organizaciones". En otras palabras, como afirmó García Carmona, de Daranorte, se trata de fomentar "la conciencia al respecto y la formación, porque España es un país acostumbrado a las sanciones". Y en este contexto, la homologación también ayudará a remover muchas conciencias. "Es importante apostar por los conceptos de calidad y compro- miso, y también exigirlos", puntualizó Mitxelena, de S21sec. Y es que, para el esa forma, "sí se puede llegar a conse- guir una colaboración efectiva". De igual forma se manifestaron el resto de los asistentes. Por ejemplo, Santos, de ISMS Forum, defendió el actual modelo de colaboración entre los CERT nacionales y la confianza que hay para comunicarse entre ellos. "Tenemos que aprovechar ese mode- lo, porque si esto se traslada, puede ser posible la colaboración", apuntó. Se trata, como se encargó de resal- tar García Carmona, de Daranorte, de "crear algo, pero sin romper con lo que ya hay". A su juicio, "hace falta una capa de coordinación y de gobierno para poder hilvanar todas las partes". El papel de los operadores Una vez analizadas las implicaciones que debe tener la adaptación de la Directiva al ordenamiento jurídico espa- ñol, los asistentes centraron su aten- ción en los operadores de servicios esenciales y los proveedores de servi- cios digitales, puesto que tanto unos como otros tendrán la obligación de establecer medidas mínimas de seguri- dad para proteger sus redes y sistemas de la información. Sin embargo, la definición de los segundos no deja de estar muy clara. Así lo expresó Mitxelena, de S21sec, para quien, según su interpretación, "los proveedores de servicios digitales se pueden referir a empresas que dan soporte a los distintos sectores afecta- dos". En palabras de Antonio Martínez, "parecen empresas que dan servicio a operadores, más que operadores en sí mismos". En cualquier caso, la norma indica que estas compañías tendrán que trasladar sin dilación a la autoridad competente o al CSIRT nacional aquellos incidentes de seguridad que sufran y puedan afec- tar a la continuidad de sus actividades. Claro que, en caso de no cumplirse, la Directiva obliga a los Estados miembros a que establezcan un régimen de multas “efectivas, proporcionadas y disuaso- rias” para las empresas que no sigan sus disposiciones. A juicio de todos los expertos asisten- tes, las sanciones son necesarias para que todas las organizaciones acaben cumpliendo la norma. Y es que, como señaló García Carmona, de Daranorte, "mientras que no haya sanciones, no se hace nada". Por su parte, Mitxelena, de S21sec, apuntó en el mismo sentido. Ahora Pablo Municio Gerente de riesgos IT de Deloitte "Los impactos asociados a incidentes varían en función de cada sector; las exigencias a nivel de 'reporting' y comunicación de brechas de seguridad, deberían estar alineadas con esos factores específicos" Antonio Martínez Responsable de Seguridad Informática de Metro de Madrid "La Directiva NIS es un tanto ambigua sobre los operadores, por lo que nos va a suponer muchos esfuerzos para hacer que converjan todas las leyes que hay en el ordenamiento jurídico español"