Es habitual encontrar en las entidades departamentos enteros, en mayor o menor medida, trabajando cada uno por su cuenta como si estuviesen jugando en distintas competiciones, en ligas diferentes.
De hecho, en ellas encontramos planes directores de seguridad, análisis de impacto del negocio, planes de continuidad de negocio, compliance, códigos éticos, políticas de privacidad, políticas de clasificación y tratamiento de la información, procedimientos de gestión y notificación de brechas de seguridad, procedimientos de gestión y notificación de ciberincidentes, planes de seguridad de operador y planes de protección específicos para aquellos organismos y empresas que han sido designados operadores críticos, declaración de aplicabilidad de medidas de seguridad para los operadores de servicios esenciales, certificaciones de conformidad con distintas normas nacionales e internacionales….
Las organizaciones, con las herramientas anteriormente descritas, pueden tenerlo todo, o casi todo, para implementar una adecuada privacidad y ciberseguridad. Sin embargo, siguen sin proteger adecuadamente sus activos, el core de sus negocios. Falta una adecuada interacción entre ambas.
Es hora de que las empresas den el paso definitivo para conseguir una seguridad integral capaz de afrontar los desafíos de una sociedad digitalizada, donde la información y los datos personales son los ejes que mantienen la rueda que hace girar el mundo.
Un mundo que, por otro lado, busca la sostenibilidad en una sociedad de economía circular que intenta aprovechar al máximo los recursos y, por supuesto, las sinergias entre los mismos.
Legislación
Con las últimas normativas y estrategias establecidas tanto a nivel nacional como europeo, poco a poco se han ido engranando las piezas del ecosistema digital, acercando posturas entre ambos ámbitos. Y su revisión ha sido incrementada con los últimos acontecimientos, siendo sin duda la COVID-19 la aceleradora de dicha revisión. De hecho, todas las miradas se han dirigido a la ciberseguridad como tabla de salvación de la sociedad debido a la «digitalización por inmersión» a la que el mundo entero se ha visto abocado.
En España, la legislación en la administración electrónica se consolidó con el Esquema Nacional de Seguridad (ENS), que ha resultado ser la herramienta perfecta para mejorar la seguridad de las tecnologías de la información y la comunicación en la Administración Pública, y cuya influencia ha ido creciendo. No en vano, en breve se publicará el nuevo ENS, aprovechando la experiencia adquirida en estos años.
Es hora de que las empresas den el paso definitivo para conseguir una seguridad integral capaz de afrontar los desafíos de una sociedad digitalizada
Por su parte, la normativa de protección de infraestructuras críticas, la Ley PIC de 2011, sentó las bases para dotar de seguridad a las infraestructuras críticas que soportan servicios esenciales. Gracias a ella se mejoraron y aumentaron los sectores de aplicación que la directiva europea proponía, algo que ha sido relevante para agilizar la aplicación de otras directivas relacionadas y que actualmente también están siendo revisadas.
En cuanto a la privacidad, ya se avanzó bastante con el cambio de paradigma que el Reglamento General de Protección de Datos inculcó. Esta normativa se centró en la seguridad del dato personal, con un enfoque de gestión de riesgos para dotar de las medidas adecuadas en aras de una mejor protección de los datos personales y, por ende, de la privacidad.
Asimismo, la Directiva NIS, que busca mejorar la seguridad de las redes y sistemas de comunicaciones de los servicios esenciales, se convirtió en España en la primera ley de ciberseguridad (Real Decreto-ley 12/2018) propiamente dicha con su reciente reglamento de desarrollo, el Real Decreto 43/2021. No obstante, la NIS.2 ya está gestionándose.
En definitiva, en plena crisis, la ciberseguridad y la privacidad se han hecho inseparables debido al considerable aumento de la información que navega entre las redes, con un alto porcentaje de datos de carácter personal.
Esto se debe no solo al teletrabajo, sino a la inmensidad de trámites que se han habilitado de manera telemática como consecuencia de la imposibilidad de movilidad de los ciudadanos por las restricciones impuestas a raíz de la crisis mundial.
Visión estratégica de la privacidad y la ciberseguridad
En todo este contexto surgen las figuras del CISO, RSI, RSE, DPO, CIO, CMR, CTO, etc. Pero más allá del nombre que se le ponga, deben ser alguien con visión estratégica, mando ejecutivo, habilidad de trabajo en equipo, que no le tiemble el pulso cuando tenga que poner encima de la mesa propuestas que sabe que no van a gustar aunque sean necesarias, etc. En definitiva, ha de ser alguien que dirija y coordine todas las acciones necesarias para conseguir un único objetivo común. Tiene que conseguir que todos remen en la misma dirección, aprovechando ese viento a favor.
Y es que la privacidad y la ciberseguridad ya van de la mano; son inseparables. Precisamente, en el Máster Oficial en Ciberseguridad de la Universidad Internacional de Valencia ofrecemos un plan de estudios que incluye todos estos aspectos a través de cuatro bloques: Desarrollo, implantación, operación y mantenimiento de sistemas de la información; Protección de activos de la información; Auditoría de sistemas de la información; y Gobierno y gestión de tecnologías de la información.
De este modo, se prepara al alumno tanto para ser capaz de detectar vulnerabilidades y proteger los activos y la privacidad de la empresa como de gobernar de forma estratégica la ciberseguridad, alineando las necesidades de negocio con las de seguridad.
