El pasado 8 de septiembre se publicó en el Boletín Oficial del Estado el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, el cual transpone al ordenamiento jurídico español la Directiva de la UE 2016/1148 (conocida como Directiva NIS), que tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales.
Con el objetivo de conocer la opinión de algunas empresas afectadas por esta normativa, como son las infraestructuras estratégicas, la revista RED SEGURIDAD, en colaboración con la compañía de ciberseguridad Check Point Security Technology, organizó una mesa redonda para hablar del tema. En ella participaron Carlos Manchado, CISO de Naturgy; Mariano Benito, CISO de GMV; José Luis Domínguez, VP Customer Business Developmen de ElevenPaths (Telefónica); Miguel Ángel Gallego, responsable de Seguridad de la Estación Sur de Autobuses de Madrid y Grupo Avanza; José María García, responsable de Seguridad en Infraestructura Digital de Mapfre; y Mario García, director general de Check Point Iberia.
Para comenzar, los asistentes hicieron una valoración general de la nueva normativa aprobada. El sentimiento común fue que el texto final ha estado en sintonía con lo que se esperaba de él y no ha supuesto muchas sorpresas porque sus líneas maestras ya eran conocidas por todos. Sin embargo, para Manchado, de Naturgy, «hay cuestiones que en la ley no se mencionan explícitamente, por lo que, para salir de dudas, deberemos esperar al desarrollo del reglamento que, presumiblemente, llegará durante el primer semestre del próximo año». Ahora bien, este texto legal, según apuntó Domínguez, de ElevenPaths, «debería ir en línea con el trabajo que los operadores esenciales ya venimos realizando, fruto del desarrollo de otras normativas como la Ley de Protección de Infraestructuras Críticas (PIC)«.
En cualquier caso, todos coincidieron en que se podían haber aligerado los plazos y haberse aprobado antes esta normativa. «Sabemos que los tiempos de la Administración son complicados, pero hemos tenido veinte meses para transponer la Directiva y, al final, se ha aprobado fuera de plazo», puntualizó Mario García, de Check Point. Al menos, eso sí, como subrayó Benito, de GMV, «hay que reconocer que esto supone un primer paso para regular e impulsar la seguridad en el entorno corporativo dándole una mayor visibilidad, aunque después tenga que verse ampliada por el futuro reglamento».
Comunicación de incidentes
Hecha esta primera valoración general, se abordó a continuación un tema que preocupaba a todos los asistentes a la mesa redonda: la comunicación de incidentes. Según apuntaron varios de ellos, todo parece indicar, a expensas de lo que establezca el reglamento, que este procedimiento se llevará a cabo tecnológicamente a través de la herramienta Lucía (Listado Unificado de Coordinación de Incidentes y Amenazas), desarrollada por el CCN-CERT.
Mariano Benito, de GMV, reconoció no obstante el esfuerzo realizado por la Administración a la hora de asignar un punto único de comunicación de incidentes. Y es que la Administración pondrá a disposición de las empresas una ventanilla única a través de la que se canalizará la relación con las infraestructuras estratégicas, algo que resulta «fundamental», en opinión de Domínguez, de Telefónica, para mejorar las comunicaciones entre unos y otros. Al respecto, García, de Mapfre, se mostró preocupado por su funcionamiento, especialmente desde el punto de vista del backend. «Si se establece un único punto de relación, pero luego internamente el proceso se divide en varios caminos, y nos llegan las comunicaciones de distintos sitios, no habremos avanzado nada. Habrá que ver cómo se determina. Por tanto, desde mi punto de vista, la dificultad no es tanto la ventanilla única, sino lo que hay detrás de ella», comentó este profesional.
A este asunto también se refirió Gallego, de Grupo Avanza, quien ratificó las palabras de García y puso como ejemplo la Estación Sur de Autobuses de Madrid. «En nuestro caso, somos una licencia concedida por el Ayuntamiento de Madrid, pero, debido a que nuestra ocupación es el transporte por carretera, también entran en juego la Comunidad de Madrid y el Ministerio de Fomento. Además, hemos sido designados como infraestructura estratégica, por lo que también dependemos del CNPIC. Sin duda, la ventanilla única agilizaría los trámites; pero tiene que haber una coordinación detrás entre todos ellos».
Y de la misma forma opinó Benito, de GMV, para quien, dependiendo del sector, «las empresas pueden tener un gran número de autoridades competentes a las que notificar, de tal forma que si no hay una coordinación entre ellas, puede resultar muy complicado para nosotros», matizó.
La clave, por tanto, es saber si la Administración se encuentra realmente preparada para canalizar esas notificaciones de incidentes destacados como, por ejemplo, el que se registró el año pasado con WannaCry. Precisamente, esto es algo a lo que hizo referencia García, de Mapfre: «Con WannaCry tuvimos un ejemplo de todo esto, y se vieron carencias tanto en las organizaciones, como en los proveedores y en las propias instituciones, porque es muy difícil estar preparado para un ataque de esas características», comentó.
Eso sí, según apuntó Manchado, de Naturgy, «la Administración está trabajando en mejorar la coordinación de los diferentes organismos para tener una mayor y mejor capacidad de respuesta ante incidentes».
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
Archivado en:
