¿Quieres saber todo sobre la Ley NIS?

Por ese motivo, ISACA Madrid Chapter y aesYC (Alianza Española de Seguridad y Crisis), organizaron el pasado martes 9 de febrero el interesantísimo WebinarNIS "", con la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

El panel de ponentes no pudo ser mejor, constituido tanto por profesionales de la tecnología y de la legislación. [email protected] [email protected] [email protected] [email protected] en la materia, primeros espadas y referentes en el sector, e incluso podría decirse que incluso " padres/madres de la criatura ", de un modo u otro 😉

Y la coordinación y organización a cargo de,

El WebinarNIS arranco con la presentación y el agradecimiento de Pablo Blanco por el enorme éxito de asistencia, con ¡más de 1500 personas inscritas, en tan solo 5 días! Sin duda, un inmenso interés sobre la temática del RD 43/2021 por el que se desarrolla la Ley NIS. Pablo también agradeció su participación a los panelista, a los organizadores, y las empresas e instituciones colaboradoras.

Para finalizar, Pablo dio paso a Vicente Moret Millás, quien hizo una breve introducción en flashes de la Ley NIS, previa al debate por parte de [email protected] panelistas.

Vicente comenzó felicitando a Pablo, Joris, ISACA Madrid y aesYc por la fantástica capacidad de organización de un evento con tanto éxito de participación como ésta, en menos de una semana. Las felicitaciones también, dijo, por " crear cultura de ciberseguridad porque, sin duda es uno de los pilares básicos de la Estrategia Nacional de Ciberseguridad".

A continuación Vicente se propuso destacar muy brevemente los aspectos clave del Real Decreto que consiste, dijo, en una evolución o continuación de la Transposición de la Directiva NIS (RD 12/2018) y que eso es importante para entenderlo todo en conjunto, conociendo ambas, e incluso la anterior NIS2 (borrador de la próxima ) y DORA () de entidades financieras.

El punto principal de todo esto, dijo, es que " afianza algo que es imparable, ". El modelo, comentaba Vicente, se basa en 4 pilares:

• Se trata de un nuevo marco institucional con el que, "por fin tenemos un estándar en el que basarnos (Artículo 6) que consiste en la obligatoriedad de contar con una política de seguridad basada en unos determinados parámetros".
• Hablamos de un modelo de supervisión de la ciberseguridad por parte de la Administración.
• Que además conlleva una normalización de la gestión de los incidentes (ciberincidentes) y de las notificaciones de los mismos.
• Y, lo más relevante, conlleva y busca un objetivo de apoyo al negocio mediante la conveniente gobernanza de la ciberseguridad dentro de las organizaciones, donde es vital el/la Responsable de Seguridad de la Información (RSI), que ahora conocemos como CISO, por simplificar, aunque quizá, en ocasiones no deba ser la misma persona/rol.

Y mucha gente se pregunta respecto a la Ley NIS... " ¿me toca o no? ". Vicente hacía una graciosa, pero muy ilustrativa y clarificadora, comparación con un huevo frito...

• "La yema son los operadores de servicios esenciales, que además son críticos".
• "La clara son los operadores esenciales, que no son críticos". Además, se define muy claramente quiénes son operadores de servicios esenciales que no son críticos, de los sectores seleccionados (Administraciones Públicas, Energía, Finanzas, Agua, Investigación, Alimentación, Salud, etc.).
• "Y, el borde, la puntilla, son los operadores o prestadores de servicios digitales".

Esto no quiere decir que otros tipos de organizaciones no estén obligadas, pues también lo están, incluso las más pequeñas que podrían considerarse exentas pero que tienen dependencias y relación con otras que sí lo deben cumplir, mediante la adecuación a la Política de Gestión de Terceros.

la Ley NIS toma como referencia El Esquema Nacional de Seguridad (ENS), además de otros modelos, marcos y esquemas, dotando a la figura del CISO ( Chief Information Security Officer) de determinadas competencias, tareas, roles y obligaciones; figura que cambia por completo.

El CISO, o el RSI ( Responsable de los Sistemas de Información) que denomina la NIS, es una persona, o grupo de personas que se deben encargar de

• Elaborar, ejecutar, desarrollas y supervisar las políticas.
• Encargarse de la gestión de riesgos.
• Ser el punto de contacto y comunicación con la Administración (información, incidentes, etc.).
• Capacitador/a.
• Debe ser quien firma la Declaración de Aplicabilidad.
• Ser el/la responsable, incluso legal, en último término.

" En resumen, el/la CISO pasa a ser un/a super-hombre/woman con visión 360º y múltiples capacidades, con responsabilidades jurídicas de relevancia".

Para ello, al ley lo dota de mayor independencia dentro de la organización, incluso de las áreas técnicas y de TI, e incluso como un nuevo rol dentro del C-Level, la Junta o el Consejo de Administración, totalmente cercano y en estrecha relación y comunicación con la Alta Dirección. Es por ello que, aunque su background y skills podrían ser técnicos a priori, se habla de un perfil que también tenga conocimientos organizativos, jurídicos/legales, entre otros.

En esta magistral exposición de Vicente, pasa a destacar la importancia de la aparición del concepto de la , como un documento de compromisos de la organización con respecto de la Administración, cuyos contenidos deben identificar las políticas que va a implementar o que ya ha implementado. Dicha aparición está estrechamente relacionada con las acciones por parte de la Administración, de carácter supervisor e incluso sancionador.

Y, para finalizar su fantástica introducción, Vicente comenta: " Hasta este momento, la Administración tenía un papel discreto, pero ahora la ley pasa a otorgarle poderes muy concretos, pues ya tiene competencia para comenzar a verificar, y sancionar en su caso, pudiendo a demás ejercer la verificación de la información y del cumplimiento de las funciones del CISO, obligar a que tenga lugar una auditoría".

A continuación, Pablo agradeció su intervención a Vicente y dio paso a Julio San José, quien actuó como moderador de la mesa de debate, aportando también sus conocimientos, cuestiones y conclusiones.

Julio comenzó presentando al panel de participantes: Alejandro Becerra, Alonso Hurtado Bueno, Elena Matilla, Vicente Moret Millás y Francisco Perez Bes.

Julio también facilitaba el dato de que más del 80% de [email protected] asistentes tenían perfil tecnológico " lo que deja clara la importancia del sector legal en la ciberseguridad", comentó.

Comenzaba respondiendo Alonso, que, sin duda, confirmo que impactará y que lo hará especialmente en las organizaciones y operadores esenciales, aunque no lo tenía tan claro en otras tipologías de empresas, principalmente por el momento en el que llega el Real Decreto y muy especialmente por la situación económica actual en la que nos encontramos y en las que les tocará lidiar con eso y presupuestos. Sin embargo, sí que consideraba que lo va a acelerar.

Alejandro coincidía en el obvio impacto y aseguraba aquello de que " el tema de la ciberseguridad, y lo vemos todos los días en los medios de comunicación, ya no es el que viene el lobo, sino el que el lobo ya ha llegado, está dentro del corral, se ha comido las gallinas y ha hecho un agujero en la pared ".

La respuesta de Elena, en coincidencia con Alonso y Alejandro, destacaba que " impactará mucho y a todos los niveles, dependiendo del nivel de madurez en ciberseguridad de cada organización".

Ya veníamos trabajando en operadores críticos, planes de seguridad, de protección, etc. Teníamos un bagaje previo, e incluso la figura del rol del RSI existía de algún modo u otro y teníamos mesas de ciberseguridad.

" Teníamos parte del camino andado y esto es un paso más, que define y concreta la estructura, las funciones, la respuesta, las notificaciones" decía Elena.

E incluso, continuaba comentando Elena, " para las empresas no impactadas por el Real Decreto, será un referente a tener muy en cuenta, que redundará probablemente en elevar el nivel de ciberseguridad".

Y Elena iba un poco más allá, exponiendo que esto es extensible y abre una oportunidad a nuestros proveedores de servicios, a colaboradores, partners, proveedores, terceros, en lo que al factor de cumplimiento se refiere y lo que eso va a suponer en necesidades de apoyo para ello.

Y, por último Elena comentaba que especialmente se ve afectada la Administración Pública y que, en su opinión, era ahí donde veremos que en el medio-largo plazo las cosas cambiarán.

Interviene Vicente en la ronda de respuestas con unas palabras contundentes:

Para finalizar la ronda de respuestas a la primera pregunta, intervino Paco ( Francisco Pérez Bes). Él comentó que " las bases ya estaban sentadas desde hace tiempo, que vienen del desarrollo del Real Decreto 12/2018, que ahora trae el proceso sancionador claro y la obligatoriedad del desarrollo de la normativa que debería de haber estado cumplida hacía 3 años".

La ley viene a dejar negro sobre blanco en desarrollo de las políticas. Se plantea, y aparece con mucha más fuerza, el enfoque de la gestión de riesgos que, tendremos que automatizar porque o se va a poder manejar manualmente, y deberemos cambiar el modelo de gestión.

Además, comentaba, este tipo de obligatoriedades en el ámbito de la seguridad, la ciberseguridad y la privacidad, si no nos llegan por estos reales decretos, llegarán por el RGPD, o por cualquier otra. Lo importante de todo ello es que, al final, " son iniciativas o normas que nos activan esta conciencia de cultura de ciberseguridad ".

Y, claro, " esto supone un aumento enorme de responsabilidad, porque todo ello conlleva que el rol del CISO para a desempeñar muchas y más complejas competencias por lo que habrá que comenzarse a platear el subirles el sueldo, por el buen trabajo realizado hasta ahora y el que les va a tocas realizar a partir de ahora", comentó Paco en tono jocoso.

"", exponía Paco.

Y, para concluir Paco apuntaba tres notas,

• Se va a requerir más inversión, que supondrá un cambio en las organizaciones.
• Tendremos que desarrollar organizaciones más robustas, con personas con responsabilidades concretas, definidas y con "galones" para poder llevar a cabo las actuaciones que deberán llevar a cabo.
• Cobrará mucha fuerza el tema de los ciberseguros.

, preguntaba Julio a la mesa.

Comenzaba contestando Alejandro que, por ley, la lista de operadores de infraestructuras críticas tiene categoría de secreto y no se puede divulgar. Y, además, la lista de proveedores esenciales tampoco está publicada por considerarse información sensible, pero si están notificados cuáles son los servicios esenciales en materia de ciberseguridad (en España 132 notificados a la UE, de entre 55 servicios esenciales definidos).

La curiosidad es que, frente a estos 132 de España, Finlandia tiene notificados cerca de 11.000 operadores de servicios esenciales, Portugal 1.250, Alemania 573, Polonia 142... Hay una enorme dispersión que se está revisando en el alcance de la Directiva NIS2.

"".

Comienza respondiendo Paco que comenta que "".

Por lo tanto, las redes y los sistemas de información con cruciales para la sociedad y su seguridad. " Se trata de fiabilidad y seguridad, de la sociabilidad + seguridad, y esto es crítico para nuestro desarrollo de las actividades económicas y para la generación de confianza que, al fin y al cabo es de lo que se trata". Así la equiparación es lógica desde ese punto de vista y debemos tomar acciones transversales y no aisladas, finaliza afirmando Paco.

Continua respondiendo Alonso destacando la enorme volumetría de usuarios finales afectados (que usan esos servicios), así como el inmenso volumen de empresas, dependientes ambos de proveedores de servicios digitales (considerados o equiparados por ello a los servicios esenciales) y que a su vez generan esas mismas dependencias en la economía.

Desde España y Europa se fomenta la competitividad y uno de los pilares básicos para conseguirlo se centra en hacer a la sociedad cada vez más digital, cada vez más "" () indica Alonso.

Y, por todo ello, la opinión de Alonso respecto al motivo de esta equiparación, es que si este tipo de proveedores de servicios digitales no aplican las medidas de ciberseguridad adecuadas, nuestra vida digital, gran parte de nuestro día a día, estará expuesta y afectada de forma directa y clara, provocando efectos de todo tipo y para todos (usuarios y empresas).

Tras la exposición de Alonso, interviene Vicente planteando el concepto de relación entre los conceptos de cumplimiento y ciberseguridad, en el sentido de que muchas veces las empresas se lo plantean como " a ver como salgo yo de esto y no se me aplica esto ".

Sin embargo, continua, ahora el paradigma es bien distinto y éste debe ser " aunque no tengo obligación tengo que hacer algo al respecto". " Estás dentro y, si no lo estás, conviene que te dejes llevar por estos principios ".

" En Finlandia, como comentaba antes Alejandro, tienen un listado de 11.000 porque han decidido que en él entren todas las empresas de servicios salud, peor en España las infraestructuras consideradas como de salud y críticas con muy poquitas."... "".

"" porque, comenta Julio, estos servicio necesitan un espaldarazo definitivo que les posicione junto a la Alta Dirección, en el lugar en el que se merecen en pleno Siglo XXI.

La primera respuesta es la de Elena. " Sí, pero dependerá del tipo de empresa y del nivel de madurez en ciberseguridad de la misma". Es cierto que es un driver, un catalizador para que al menos haya algo que obliga a que llegue a la Alta Dirección: " te lo venía diciendo y ahora ya hay un marco jurídico que ampara estos riesgos que teníamos encima de la mesa ".

Pero también dependerá de de otros factores porque " hay que entender la ciberseguridad como un apoyo al negocio, no como un impedimento". Por ese motivo, "", continua planteando Elena.

" No solo se trata del meno cumplimiento, de ver y demostrar que lo estamos haciendo y de cómo lo estamos haciendo. Este es el reto real de las organizaciones, el trabajar dejando de apagar fuegos, sino abordándolos en su conjunto desde el inicio, poniendo en valor las responsabilidades y funciones".

En su caso, Paco indica que, aunque efectivamente el Real Decreto sí deja fuera a las pymes y las posiciona más desde el punto de vista del , la realidad es que éstas deben adaptarse también. Se trata de un modelo de apoyo a la supervivencia, la seguridad nacional, la protección de la información, la continuidad de negocio.

Alonso resume las intervenciones de sus antecesores indicando que además cree que se abre una oportunidad en el sentido de poder hacer realidad la necesidad de " poner un gobierno, pero no de la seguridad de la información sino del cumplimiento normativo adecuado ".

Su visión, dijo, es una visión del entorno como un gran puzle en el que hay muchas piezas de competencia, ciberseguridad, protección de datos, etc., pero que "".

Finaliza la ronda de esta pregunta Vicente que trae a la mesa el concepto de el Triángulo de la OTAN, de defensa en profundidad, en cuanto a los tres puntos básicos: Tecnología, Personas y Procesos. Los dos últimos, las personas y los procesos, son clave y esta normativa está haciendo que pasen a un plano más destacado.

Además, continua compartiendo Elena, debe estar separado de la operación y relativamente aleado de la tecnología aunque debe intervenir y tener un considerable background. No debe ser un experto, pero sí con conocimientos para la gestión de riesgos que sí son su responsabilidad y para la cual deberá establecer y gestionar controles. Un perfil exclusivamente técnico por otro lado, finaliza diciendo Elena, no cubrirá la visión 360º ni las capacidades de gestión y comunicación con la alta dirección.

A ello responde Alejandro que la clave quizá sea que " el RSI o CISO esté certificado en los procesos de su empresa porque, si no, es inviable que pueda proteger cosas que no conoce, debes entender todo ".

" En organizaciones de mucho tamaño es probable que ese rol se deba distribuir, o apoyar, en un equipo que además tenga esa visión integral en su conjunto ".

"", concluye Alejandro.

Continua Vicente apuntando que el Real Decreto se cuida mucho de dar carta blanca a ese concepto o modelo de "". Sí que es cierto que haya que aunar capacidades pero ", una sola persona que, al final es quien decide, quien tiene la última palabra, quien firma, quien comunica y quien además tiene consecuencias legales ".

Vicente hace un apunte muy interesante respecto a los seguros y ciberseguros respecto a que "".

A esto, tanto Elena como Alejando, además de confirmarlo, apuntan que otras están manteniéndose a costa de aumentar sus pólizas/ primas y que, el resto, están afinando enormemente sus garantías.

Paco finaliza la ronda de respuestas comentando que se permite que el RSI sea un órgano colegiado, que se pueda subcontratar y externalizar estas labores, en un modelo de "", para que esto garantice esa "multidisciplinaridad"... siempre pensando desde el punto de vista de labores de apoyo, que no eliminen la figura necesaria del RSI interno en la organización.

Vicente comienza respondiendo sobre la importancia y trascendencia de esto, de que exista. Además comenta que es el mejor foro para hablar de ello estando ISACA como gran expedidor de certificaciones reconocidas internacionalmente.

" Ahora mismo hay una pelea geopolítica en ENISA para conseguir que todos los esquemas de certificación se parezcan lo máximo posible y generar un estándar que sea válido en todos los países".

" Las certificaciones son un fabuloso medio para mitigar, eludir, e incluso disipar completamente cualquier tipo de responsabilidad".

Es decir, explica Vicente, si ocurre algo, si tiene lugar un incidente/ ciberincidente y debemos acudir a la Administración o al juez para informar y confirmar que algo ha sucedido, siempre podremos decir aquello de " pero nos ha pasado aunque hicimos los deberes y esta es la certificación que lo demuestra ". La Administración y el juez no van a tratar igual a quien se haya preocupado por certificarse que a una que no se haya preocupado y no lo esté.

Alejandro completa la intervención de Vicente con dos elementos adicionales:

• Una certificación estandarizada aporta economía al afrontar la situación de forma más efectiva.
• Aplicarlo en la gestión de la cadena se suministro de forma estandarizada en todos sus puntos de diferentes orígenes y destinos.

"", continua comentando Alonso.

"Hay dos vías de acreditar que has sido diligente, o con certificaciones y/o porque puedes acreditar que has hecho todo lo que estaba en tus manos de forma proactiva".

Por todo ello Alonso exponía que es partidario de que existan dichas certificaciones pero de que no sean algo que se imponga de forma obligatoria. Lo importante, desde su punto de vista es que vaya acompañado de una gran experiencia y de un trabajo bien hecho. Al final deberían ser un mix de ambas cosas.

Julio traslada a la mesa una preguntas de [email protected] asistentes:

El Real Decreto ha creado ya un marco de autoridades competentes, que es el siguiente:

• Operadores críticos, que deben comunicar al Ministerio del Interior.
• Operadores esenciales no críticos, que deben comunicar al autoridades ministeriales que aparecen en el listado del Artículo 2.
• prestadores de servicios digitales, que deben comunicar al Ministerio de Economía a través de la Secretaría de Estado.

Responde Vicente.

Otra de las preguntas de [email protected] asistentes que Julio plantea a los panelistas es ""

Cierra la ronda Alonso con una frase clave en la respuesta: " si yo subcontrato un determinado proceso y no he exigido a ese proveedor que cumpla, el que estoy incumpliendo soy yo porque yo soy el que tiene la obligación legal, y por tanto debo exigir ese cumplimiento a mi proveedor y éste, aunque sea de forma indirecta, deberá cumplir con el RD".

Una pregunta compleja es laque Julio, antes de finalizar, plantea a la mesa:

La primera respuesta a esta " fácil pregunta" comienza saliendo de Elena quien, en su opinión, propone que mediante el modelo de separación entre la 1ª y la 2ª línea de defensa se produzca la madurez y el empoderamiento de la figura de ese gestor de seguridad que determina estrategias, políticas, gestión de riesgos, etc., pero donde no se implementa.

El objetivo es que ese perfil no sea juez y parte sino que pueda garantizar que los controles a implantar los implante la 1ª línea de operación y sobre todo separar funciones. Sin embargo, como ya se decía anteriormente, dependerá mucho de la tipología de empresa y de su grado de madurez en ciberseguridad.

Por su parte Paco comentaba que efectivamente no podrá ser juez y parte y auditarse a sí mismo. Pero, si la organización confluye ambos roles en la misma persona, deberá buscar soluciones como la externalización para que esas dos funciones estén convenientemente compartimentadas.

" Hay que ser y hay que parecer", continuaba Alonso. Esto desde el punto de vista de que este perfil, no podrá tener por encima al responsable de redes ni al responsable de sistemas de información, al menos a estos dos perfiles y si esos perfiles son una sola persona, tampoco la podrá tener por encima dependiendo de ella.

" Este perfil, al igual que en el caso del compliance officer, debe poder decir lo que le dé la gana, cuando le dé la gana, independientemente de lo que opinen el de redes y el de sistemas, e incluso independientemente de lo que le guste al Consejo de Administración", clarificó Alonso.

Por tanto, la propuesta de Alonso pasa por partir de la separación "física" dentro del organigrama de la organización, como desde un punto de vista funcional.

Pablo finalizó también el evento agradeciendo a los ponentes su participación y trasladando aquella mítica frase de Spiderman, aplicada al caso de los CISOs / RSIs con respecto a " la que se les viene encima "... "" 😉

Y... " así fue el WebinarNIS y así se lo hemos contado "...

Si estuviste y quieres recapitular alguno de los temas comentados, si te lo perdiste y quieres verlo, puedes hacerlo en el canal de YouTube de ISACA Madrid Chapter, en la siguiente URL:

Artículo anterior ⌨️Bad USB⌨️

Chief Innovation Officer (Virtual Care In-Kuba) en Virtual Care Global Services SL.