REDSEGURIDAD 083

8 red seguridad cuarto trimestre 2018 servicios esenciales sobre la mesa hemos sido designados como infraes- tructura estratégica, por lo que también dependemos del CNPIC. Sin duda, la ventanilla única agilizaría los trámites; pero tiene que haber una coordinación detrás entre todos ellos". Y de la misma forma opinó Benito, de GMV, para quien, dependiendo del sector, "las empresas pueden tener un gran número de autoridades compe- tentes a las que notificar, de tal forma que si no hay una coordinación entre ellas, puede resultar muy complicado para nosotros", matizó. La clave, por tanto, es saber si la Administración se encuentra realmente preparada para canalizar esas notifica- ciones de incidentes destacados como, por ejemplo, el que se registró el año pasado con WannaCry. Precisamente, esto es algo a lo que hizo referencia García, de Mapfre: "Con WannaCry tuvimos un ejemplo de todo esto, y se vieron carencias tanto en las organi- zaciones, como en los proveedores y en las propias instituciones, porque es muy difícil estar preparado para un ata- que de esas características", comentó. Eso sí, según apuntó Manchado, de Naturgy, "la Administración está traba- jando en mejorar la coordinación de los diferentes organismos para tener una mayor y mejor capacidad de respuesta ante incidentes". Aun así, todavía queda mucho cami- no por recorrer. En opinión de Benito, de GMV, "simplemente basta con echar un vistazo al presupuesto asignado por el Gobierno del Reino Unido para temas de ciberseguridad, el cual ronda los mil millones de euros. En cambio, dudo mucho de que el asignado a todos los organismos relacionados con este tema en España supere los cien millones de euros", sentenció. Para finalizar este apartado dedicado a las notificaciones, se habló sobre la necesidad de que la información envia- da sea confidencial y se trate como tal. Esto, que en principio puede resultar obvio, no es algo que tuvieran tan claro los integrantes de la mesa. "Desde el punto de vista tecnológico, todas las comunicaciones que establecemos con la Administración van cifradas, por lo que en ese sentido podemos estar tranquilos", argumentó Manchado, de Naturgy. Ahora bien, continuó: "Lo que pase a partir de ahí no lo podemos saber". Y es que, según explicó García, de Check Point, "mientras esa infor- mación la maneja un pequeño número de personas, esta se quedará en ese círculo. Sin embargo, a medida que la conozca más gente, será susceptible de ser filtrada, porque habrá quienes tengan otros intereses que no están estrictamente relacionados con el tema de la seguridad. Y todo ello con el agra- vante de que, al final, el damnificado es la empresa que comunica". Por ello, para García, de Mapfre, se trata simplemente "de un tema de confianza". "Primero tienes que decidir qué información vas a dar; y si alguno de estos organismos tiene una fuga, se produciría un daño total al sistema, pero eso ya estaría fuera de nuestras competencias". Sí es cierto que, para intentar paliar en parte este problema, según contó Benito, de GMV, se intentaron poner en marcha algunas "iniciativas que actua- ban como un nodo en el tema de las notificaciones, de tal forma que anonimizaban la información y luego la enviaban al resto de interesados para que pudieran estar al tanto. Sin embargo, no acabaron de cuajar y se desecharon". El régimen sancionador De esta forma, se llegó a otro de los temas importantes para todos, pero que el real decreto-ley tampoco desa- rrolla con especial detalle. Nos referi- mos a las sanciones para las empre- sas que incumplan los procedimientos establecidos en la normativa, partiendo de la base que estableció Manchado, de Naturgy: "A pesar de que muchos incidentes son globales y pueden afec- tar a todo el planeta, la Directiva NIS deja en manos de cada país el estable- cimiento de un régimen sancionador, de tal forma que el órgano al que hay que reportar es único para cada uno de ellos. Pero, ¿qué sucederá cuando afecte a varios? Ahí va a haber un dile- ma", sostuvo. José Luis Domínguez VP Customer Business Developmen de ElevenPaths (Telefónica) "El nuevo reglamento que desarrolle la ley recientemente aprobada debería ir en línea con el trabajo que los operadores esenciales ya venimos realizando, fruto del desarrollo de otras normas como la Ley PIC" Mario García Director general de Check Point Iberia "Las sanciones tienen que ser adecuadas, en el sentido de conseguir el efecto que buscan. No solo han de ser suficientes para hacer reaccionar y que las empresas cumplan con lo que deben, sino que también han de ser justas y proporcionadas" Patrocinado por: