Red Seguridad 092

red seguridad primer trimestre 2021 13 corportivo red seguridad En la misma línea argumental, el repre- sentante del DSN recordó que “España aprovechó la ocasión” cuando se traspuso la Directiva NIS “utilizando la normativa so- bre protección de las infraestructuras críti- cas para ampliar los sectores que afectan a la norma europea”. “Esto ha conllevado que prácticamente todos los servicios esenciales identificados bajo el paraguas de la normativa NIS, a la vez sean opera- dores críticos”, explicó Ruiz Vázquez. Aun con ello, este profesional opinó que to- davía quedan retos respecto a la norma, como, por ejemplo, “reforzar las estructu- ras actuales en relación con los centros de respuesta a incidentes de referencia y a las de autoridades competentes”. Papel del CISO Sin duda, uno de los aspectos que des- pertó mayor interés en torno al Reglamen- to NIS era conocer si tendría en cuenta la figura de responsable de seguridad de la información (RSI). Finalmente, así ha ocu- rrido, pues era una reclamación constante por parte del sector de la Ciberseguridad. “Cuando se recibieron los comentarios de la consulta pública del borrador del Reglamento NIS, todas las asociaciones hicieron hincapié en la importancia de incluir esta figura. Era prácticamente una obligación incluirlo y, además, hacerlo bien, con criterios técnicos y estratégicos. Porque la madurez de la ciberseguridad de una organización viene determinada muchas veces por el estatus del CISO, es decir, dónde está situada esa persona y a cuántos escalones de la alta dirección”, desarrolló el representante del DSN. La decisión ha sido aplaudida, aun- que existen diferentes puntos de vista a la hora de aclarar la responsabilidad de este profesional. “Vemos bien formalizar la figura del RSI, pero vemos más rele- vante establecer sus responsabilidades. Podemos discutir si encajan en primera o segunda línea del organigrama, pero res- ponsabilidades hay muchas en relación con la tecnología dentro de la organiza- ción”, reflexionó Puig, de Banco Sabadell. Lázaro sostuvo que “las responsabi- lidades recaen en la organización, que tienen que tener unas políticas de segu- ridad claras y aprobadas”. “Es más, en las funciones se dice que el RSI propone las medidas al órgano correspondiente de su aprobación, y por lo tanto hay una res- ponsabilidad de los órganos de dirección de la compañía”, desarrolló. Para el representante de ISMS Forum, “es muy importante que se haya definido esta figura” y considera “muy bueno” que la ley hable de la posición que debe te- ner cercada a los órganos de dirección. Aun así, también indicó la necesidad de dirimir exactamente qué quiere decir la norma cuando habla de la posición e in- dependencia del RSI en las empresas. De Andrés añadió que la propia Ley NIS “establece sanciones, pero para la orga- nización”, lo cual muestra que la respon- sabilidad final recae en esta. “Creo que se ha hecho muy bien a la hora de signar las responsabilidades y, de hecho, hay un punto que dice que el RSI puede apoyarse en servicios de terceros, pero tiene que formar parte de la propia entidad, es de- cir, no puede externalizarse”. Debilidades y ausencias Pero si la designación del RSI es una de las cuestiones que han provocado más satisfacción, también existen diferentes controversias con el Reglamento NIS. Fun- damentalmente porque no ha despejado todas las dudas del sector. En ese sentido se pronunció De Andrés, quien planteó in- terrogantes en torno a los proveedores de servicios digitales. Con esta norma “aún hay muchas empresas que tienen dudas sobre si son o no proveedores de servicios digitales; si bien es cierto que la Directiva NIS no deja mucho margen a los países, la duda sigue quedando”, expresó. Por su parte, Lázaro, de ISMS Forum, puso el acento en la seguridad de los proveedores: “está bien que tengamos la obligación de gestionar los riesgos de terceros, pero echamos de menos que los proveedores tengan también unas obligaciones marcadas”. A lo cual añadió que hay grandes compañías que prestan servicios y productos, pero “no tienen de- trás una figura que se preocupe por los requisitos de seguridad y sean elemento de interlocución en caso de incidente”. Algo con lo que se mostró de acuer- do el representante de Banco Sabadell, que puso como ejemplo el Reglamento General de Protección de Datos, el cual “establece normas a las empresas, aun- que haya algo que no esté recogido en un contrato”. Desde su punto de vista, la “norma podría haber tenido otra aproxi- mación, estableciendo obligaciones di- rectas sobre los proveedores”. Ruiz Vázquez, del DSN, se mostró de acuerdo con el resto de invitados y apun- tó que varias de las dudas existentes aho- ra podrían quedar resueltas en la revisión de la Directiva NIS que está llevando a cabo la Unión Europea en este momento. Por ejemplo, la futura norma comunitaria “obligará a tener esta política a nivel na- cional respecto a los proveedores y a toda la cadena de suministro”. Por otro lado, este profesional opinó que “el modelo necesita ir acompañado de información clara a los sujetos obliga- dos y a las administraciones. Es frecuente recibir preguntas de empresas que dudan si tienen que notificar un incidente o si son operador esencial. Falta información y cultura de seguridad”. Finalmente, también planteó la necesi- dad de que exista una comunicación coordinada de vulnerabilidades. Ruiz Váz- quez consideró importante “establecer un marco de comunicación para comunicar la vulnerabilidades, obviamente con un repositorio custodiado”.