Evento patrocinado por Deloitte

Notificación de ciberincidentes: a la espera de un reglamento NIS

La transposición de la Directiva NIS al ordenamiento jurídico español puso negro sobre blanco la exigencia de que los operadores estratégicos comuniquen los incidentes de seguridad que sufran. La Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada en enero, resuelve muchas dudas respecto al modo de llevar a cabo ese procedimiento; pero para las empresas afectadas por la norma será necesario conocer el reglamento de desarrollo para aclarar definitivamente todos los aspectos que implica.

Sobre la mesa Deloitte. Gestión de ciberincidentes.

De izq. a dcha., Rubén Frieiro (DELOITTE), Ana Borredá (RED SEGURIDAD), Ramón Ortiz (MEDIASET), Elena Matilla (REE), Enrique González (RED SEGURIDAD), Mariano J. Benito (GMV), Concepción Cordón (EMASA), Antonio Martínez (METRO DE MADRID), Agustín Valencia (IBERDROLA) y Alberto Sánchez (CNPIC).

David Marchal

Han pasado cerca de cinco años y medio desde que el Consejo de Ministros aprobara la primera Estrategia de Ciberseguridad Nacional de España. Durante este tiempo, las ciberamenazas y retos en torno a la seguridad en el ciberespacio han evolucionado de tal manera que era necesario revisar el documento sin más dilación para adaptarse a los desafíos actuales. En ese lustro, además han surgido nuevas normas, como la Directiva NIS o la recién estrenada Cybersecurity Act de la Unión Europea, u otros documentos cruciales para la protección de España como es la nueva Estrategia de Seguridad Nacional de 2017.

Precisamente esta última fue uno de los motivos de adaptación de la nueva Estrategia Nacional de Ciberseguridad para que organismos, empresas y resto de actores involucrados en este asunto remen con coherencia en la misma dirección.

Por ello y por su reciente aprobación, durante el último «Sobre la Mesa…» de Red Seguridad, dedicado a la gestión y notificación de ciberincidentes –organizado con la colaboración de Deloitte–, quisimos antes preguntar a los participantes su valoración acerca de este documento estratégico.

Sin duda, el encuentro contó con un panel de excepción con la presencia de Alberto Sánchez, jefe de Sección en la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC); Elena Matilla, CISO de Red Eléctrica Española (REE); Concepción Cordón, responsable de gestión de riesgos de la Empresa Municipal Aguas de Málaga (EMASA); Antonio Martínez, coordinador de Seguridad Informática de Metro de Madrid; Agustín Valencia, responsable del área OT de Iberdrola; Ramón Ortiz, CISO de Mediaset; Mariano J. Benito, CISO de GMV; y Rubén Frieiro, socio de Risk Advisory de Deloitte experto en ciberseguridad.

Todos ellos coincidieron en señalar la importancia de la aprobación de la Estrategia Nacional de Ciberseguridad, porque, en palabras de Sánchez, del CNPIC, «el país necesitaba un documento así, a raíz de la publicación en 2017 de la Estrategia Nacional de Seguridad». A juicio de este profesional, con el documento se ponen de manifiesto dos aspectos destacados, como son: por un lado, «garantizar la seguridad y la resiliencia de los activos estratégicos; más concretamente habla acerca de las infraestructuras críticas y la necesidad de prevenir, detectar y responder a los ciberataques«, y por otro, «la potenciación de los ciberejercicios, que consideramos básicos y necesarios para prevenir y estar preparados ante posibles crisis».

Sobre la mesa Deloitte. Gestión de ciberincidentes.
Los participantes dieron su opinión sobre la Guía de Notificación y Gestión de Ciberincidentes y se cuestionaron cómo quedará notificado este tema en el futuro desarrollo reglamentario del Real Decreto-Ley sobre seguridad de las redes y sistemas de información.

Por su parte, Martínez, de Metro de Madrid, subrayó que esta Estrategia será buena en tanto en cuanto permita desarrollar con claridad dos de las líneas de acción del objetivo de ciberseguridad de la Estrategia Nacional  de Seguridad de 2017: «alcanzar las capacidades tecnológicas de la industria española para que no dependamos de otros países y desarrollar las capacidades profesionales impulsadas por los centros de enseñanza».

Precisamente sobre este último punto insistió en su valoración Cordón, de EMASA, quien destacó que el texto estratégico impulsa el desarrollo de una «cultura de ciberseguridad», con «una línea de acción orientada a la formación de colegios y universidades». Y es que, como señaló la invitada: «si no hay concienciación desde la infancia, poco vamos a poder hacer después».

De igual manera opinó Frieiro, de Deloitte, para quien este documento resulta importante en la medida en la que ayuda a «la generación de talento, que es el éxito del futuro y la diferencia competitiva». No obstante, aunque se mostró de acuerdo con los objetivos y líneas de acción que marca la Estrategia, remarcó que «el verdadero reto es comprobar que luego se cumplen». Para ello, consideró apropiado destinar «una clara dotación presupuestaria dedicada a implementar, desarrollar e implantar todas las líneas de acción» del documento.

Por su parte, para Ortiz, de Mediaset, lo fundamental es que «se mencionan conceptos como ciberidentidad, estableciendo un derecho del ciudadano a la protección digital»; y se hace hincapié en «el plan integral de cultura de ciberseguridad«.

Ahora bien, a pesar de esta valoración positiva general, varios de los presentes calificaron la Estrategia de «continuista». Así lo manifestó Matilla, de REE: «Es mucho menos transgresora que la de 2013 y continúa con un camino que se había iniciado en ella». «Seguimos sin ver ese paso de llevar de verdad la ciberseguridad a la sociedad mediante acciones específicas», complementó. Además, remarcó la necesidad de «poner el foco en potenciar la industria española de ciberseguridad», y agregó: «si queremos que España sea una nación puntera en ciberseguridad, la Administración tiene que desarrollar de verdad esta línea de acción».

De igual forma se pronunció Benito, de GMV, quien ve «pocas novedades» en la Estrategia, puesto que «reincide en elementos tratados antes». Y añadió: «entendemos que todo lleva su tiempo, pero seguimos sin dotación presupuestaria y sin unas referencias claras en la Administración».

En este sentido, Valencia, de Iberdrola, formuló un pequeño matiz. Aunque es cierto que resulta continuista, «a veces, para que las cosas sean buenas tienen que perdurar en el tiempo», apuntó. Como parte positiva, destacó la importancia que la Estrategia otorga a la colaboración público-privada. «Somos colaboradores en la estabilidad del país, y dentro de cómo canalizar esas colaboraciones a partir del trabajo realizado para las guías de notificaciones, se pone de relevancia que la seguridad es global,», reconoció el responsable de OT de Iberdrola.

¡Sigue Leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital