Europa se pone severa con la ciberseguridad

La aparición de nuevas normativas siempre ha resultado ser una palanca de impulso para mejorar la ciberseguridad y la protección de la información en las organizaciones y en general en la sociedad. Lo fue la LOPD hace más de 20 años, lo fue el ENS hace 10, el RGPD en 2018 y lo es ahora todo el paquete normativo que viene, como la Ley de Resiliencia Cibernética, la Ley de servicios digitales (DSA), la Ley de Mercados Digitales, o la Ley de ciberseguridad de la red 5G española, aprobada en marzo en España por recomendación europea, que no ha entrado en vigor porque falta aprobar la lista de proveedores de alto riesgo, es decir, de empresas principalmente chinas de las que la UE no se fía en lo que a ciberseguridad se refiere, como Huawei y ZTE.

Dentro de todo el marco regulatorio de la Estrategia de Ciberseguridad de la Unión Europea, destaca especialmente la Directiva para un Alto Nivel Común de Ciberseguridad en toda la UE (NIS 2) y el Reglamento de Resiliencia Operativa Digital del sector financiero (DORA), que han entrado en vigor este 16 de enero. NIS 2 reemplaza a NIS 1 para dotar de nuevas, unificadas y más fortalecidas medidas de ciberseguridad en los sectores críticos, tanto del sector público como el privado, y debe transponerse antes de octubre del 2024. DORA se aplicará de manera directa en enero del 2025 y pretende armonizar las reglas de los Estados miembros para atajar los riesgos de las TIC en el sector financiero.

Entre los cambios profundos que estas dos normativas impondrán en las empresas, de muchos más sectores económicos que las infraestructuras críticas, destaca la obligación que recae en ellas de garantizar que su ciberseguridad cumple con la normativa, la responsabilidad por ellas y sus proveedores, y se señala como culpables del incumplimiento a los Consejos de Administración hasta llegar, incluso, a apartar temporalmente al Director General de aquellas empresas que decidan no aplicar las recomendaciones de ciberseguridad emitidas desde la autoridad competente.

También aportan novedades en el proceso para imponer sanciones, que va a requerir dotar de competencias inspectoras y sancionadoras claras a los organismos competentes, se cortan los plazos de notificación de incidentes o incluso se introduce la posibilidad de pedir antecedentes penales de algunos trabajadores de entidades críticas, aunque esta posibilidad plantea problemas desde el punto de vista de la protección de datos.

Tomarse en serio la ciberseguridad

Así que se acabó la ciberseguridad para ir tirando. Carlos Alberto Sáiz Peña, presidente de ENATIC y Director del Data Privacy Institute de ISMS Forum, nos explica que el impacto de los cambios que introducen la NIS y la DORA se deben a tres puntos clave: “La ciberseguridad es un riesgo empresarial muy importante, a la altura de otros riesgos como el financiero, el operacional o el reputacional; debe tratarse y aprobarse en los órganos de administración y dirección”. En segundo lugar destaca que es fundamental orquestar un adecuado Gobierno de la Ciberseguridad en las entidades, “y tener una función formalmente nombrada con recursos humanos, tecnológicos y presupuestarios suficientes, y acordes al nivel de riesgos de cada compañía y proceso. En tercer lugar, el perímetro de protección de la información va más allá de las fronteras de una compañía. Debe realizar protocolos de diligencia debida de terceras partes y medidas de control en la cadena de suministro (Third Party Compliance)", explica.

 “Cualquier empresa o institución tiene que conocer ya cuáles son sus activos de información —  afirma Miguel Recio, abogado del departamento de TMC de CMS Albiñana & Suárez de Lezo— así como qué servicios presta y los riesgos existentes en el entorno en que desarrolla su negocio”. Esta exigencia de obligaciones presuponen “un grado de madurez de las organizaciones, porque ya estaban obligadas por normativas previas. Y lo hacen atendiendo a los riesgos actuales”, aclara Recio.

Las obligaciones y la mayor responsabilidad se extienden a otros actores involucrados en la prestación de servicios, suministro de tecnología o tratamiento de información, que tienen también cada vez más responsabilidad. Con la Directiva NIS 2, Recio apunta la necesidad de revisar el marco institucional, “que se facilite su coordinación; que las empresas tengan claro a quién deben notificar los incidentes, y no tengan que hacerlo ante varias instituciones. Habrá que hacer una exigente aplicación integrada y coherente de estas nuevas normativas, e introducir las modificaciones necesarias en nuestro ordenamiento jurídico”.

Francisco Pérez Bes, socio del área digital de Ecix, compañía especializada en soluciones para el cumplimiento normativo de las organizaciones, y ex secretario general de INCIBE, confirma que la nueva normativa “hace recaer en las empresas la obligación de garantizar su propia ciberseguridad, en especial cuando su actividad es relevante o esencial, y se le exige responsabilidad por la ineficacia de las medidas implementadas”. También apunta la obligada extensión a los riesgos derivados de terceros, como los proveedores de la cadena de suministro de los que depende la empresa,  “y se van incorporando a estas obligaciones empresas que antes quedaban fuera del ámbito de aplicación de esta normativa”, añade.

Como experto en normativas de ciberseguridad, Francisco destaca como principal novedad y cambio relevante de las nuevas regulaciones la extensión de la responsabilidad legal a los directivos y administradores de las organizaciones afectadas, “porque la gestión cambiará y se orientará hacia la efectividad de las medidas que se implementen. Esta estrategia se implantará como un esquema de cumplimiento normativo y nunca como acciones puntuales, reactivas y sin conexión entre ellas” y señala un detalle: “se incorpora en la norma la  protección del denunciante, o la de denuncias colectivas, por citar algunas”.

Obligatoriedad versus concienciación

La voluntariedad de invertir en ciberseguridad se ha acabado, porque es un riesgo tecnológico, es también legal y de continuidad de negocio. Y no solo: “También ya de seguridad nacional —afirma Pérez Bes—. Se dota de mayores capacidades y competencias a los CSIRT (Equipo de Respuesta ante Emergencias Informáticas) desde el sector público, para que apoyen y de gestionen las notificaciones de incidentes de empresas públicas y privadas”.

Para el socio de Ecix, ahora se entiende a la ciberseguridad como la resiliencia de las empresas, “y va más allá de la mera inversión en nuevas tecnologías. Exige el diseño de una auténtica estructura basada en procesos y sistemas centrados en la prevención, la reacción y la continuidad del negocio. El cumplimiento de las normas se acredita si se observa diligencia al gestionar cualquier incidente que afecte al negocio, y si no, se enfrentarán a sanciones y pérdidas de reputación de la marca".

A esto ha contribuido en parte la concienciación por el incremento de sanciones que impone la nueva normativa, partiendo del RGPD. Para Pérez Bes: “los clientes cada vez están más concienciados y sensibilizados con los incidentes de seguridad que sufren las empresas que custodian sus datos personales” añade.

Y es que, en opinión de Carlos Sáiz Peña, “que exista un marco sancionador con importantes multas es motivo suficiente para prestarle atención al cumplimiento normativo. La paralización de una aplicación o un proceso productivo también tiene un impacto económico, operacional y reputacional”. El presidente de ENATIC ve dos criterios muy importantes en estas normas: “las obligaciones de trazabilidad para poder acreditar todo el trabajo de protección, toma de decisiones, seguimiento de las medidas, etc. y el enfoque de risk approach, es decir, establecer un nivel de protección en base a los análisis de riesgos que se realicen”.

Para Miguel Recio la voluntariedad ya no es posible si se quieren prevenir ciberataques que podrían dar lugar al secuestro o borrado de información crítica para el negocio, “o causar graves daños a las personas, ya sean clientes, usuarios o empleados, cuyos datos personales son objeto de las obligaciones que imponen las normas. Y estas son exigibles a lo largo de toda la cadena de servicios digitales o tratamiento de la información. En el caso de las infraestructuras críticas o de prestadores de servicios esenciales, estas obligaciones son además superiores”, advierte.

Según este abogado especializado, “hay una vinculación de efectos; una pérdida puede dar lugar a una multa que, además de otras consecuencias, desencadene una crisis reputacional. El miedo debe ser a no haber adoptado medidas que muestren diligencia debida y proactividad. Lamentablemente, los ciberataques son una realidad y las empresas tienen que estar preparadas”, afirma con contundencia.

La alta dirección, señalada por la norma

CMS Albiñana & Suárez de Lezo indicaba en su informe “El reto de la ciberseguridad para las sociedades y sus consejos de administración”, publicado con la Fundación ESYS en 2021, que “el órgano de administración debe tomar conciencia de que la ciberseguridad no es un problema del departamento de IT, sino una cuestión crítica de la sociedad, nuclear, comportando riesgos que pueden tener un elevado impacto, no sólo en su propio negocio y reputación, sino en los bienes y derechos de terceros”.

Recio se felicita de que “las nuevas normas hacen que los Consejos de Administración tengan que conocer sus responsabilidades y adoptar las medidas necesarias para cumplir con sus obligaciones”. Sáiz Peña por su parte señala que “la sensibilidad por la ciberseguridad ha venido tras ser víctimas de algún tipo de ciberataque para muchas organizaciones”, pero ve un gran avance de concienciación en los últimos años en los equipos directivos. “Los CISO de nuestro país han hecho en general un gran trabajo en ese sentido, pero aún falta por hacer. Señalar en la normativa a los Consejos de Administración va a ser una palanca nuclear para colocar la ciberseguridad en el lugar que corresponde; muy vinculada a la estrategia de la entidad en los entornos digitales”.

Como ya indican cada vez más informes de riesgos, la ciberseguridad es una de las principales preocupaciones de los consejos de administración, “especialmente de las empresas cotizadas. Por eso sigue aumentando el nivel de inversión de las grandes compañías y se refuerzan los equipos”. Pérez Bes es positivo pero señala de manera inquisitiva que “no hemos visto todavía sentencias judiciales condenando a administradores de empresas por no haber adoptado medidas de seguridad adecuadas y suficientes para evitar un ciberataque”, añade.

En efecto, en 2021 y 2022, empresas tales como Vodafone, Caixabank, BBVA, Mercado o Google España, han sufrido sanciones millonarias por infringir la normativa de protección de datos. Salvo estas importantes multas derivadas del RGPD, impuestas por la Agencia Española de Protección de Datos (AEPD), los directivos españoles no se han tenido que enfrentar a grandes sanciones ni señalamientos por normativas relacionadas con las TI.

La mayoría de estas entidades han contratado un ciberseguro para minimizar su riesgo económico, y seguros de cobertura de la responsabilidad de administradores y directivos. “Pero pocas diseñan sistemas de cibercompliance que permitan entender el impacto que la normativa tiene en sus deberes de gestión y, en particular, en la obligación de ser diligentes al  abordar la ciberseguridad”, indica el ex secretario general de INCIBE.

Los CISO, ¿los nuevos gurús?

Como consecuencia de la concienciación, del aumento de ataques y de las nuevas normativas, los CISO cada vez tienen mayor peso y relevancia en las empresas. Son los responsables de la seguridad informática, y los directivos no tienen todavía conocimientos especializado en la materia, “por ello suelen confiar en su opinión técnica para valorar los riesgos cibernéticos y su impacto en la organización”, pero en opinión del experto de Ecix, Pérez Bes, “para poder realizar una valoración clara y completa, deben incorporarse otros perfiles, como el económico, jurídico y de comunicación, por citar algunos”.

En efecto, para Miguel Recio los CISO “son la figura clave, junto con otras figuras como el Compliance Officer, el especialista en Deep Learning, los humanistas digitales y expertos en ética, así como el delegado de protección de datos (DPO); son parte del equipo que una organización necesita para que pueda identificar y gestionar riesgos (legales, tecnológicos y en materia de ciberseguridad)”, y dice que un equipo así, sí ayuda a que una organización pueda ser competitiva. “La labor del CISO será uno de los líderes fundamentales para el futuro digital de las organizaciones”, añade.

Por esa razón, la normativa derivada de NIS reconoce el rol del Responsable de Seguridad de la Información y regula sus competencias y obligaciones dentro de las empresas, así como su responsabilidad legal, de una manera más amplia que la que viene desarrollando hasta ahora. Pérez Bes vaticina que como “cada vez es más difícil identificar los nuevos ciberriesgos que surgen de nuevas tecnologías como blockchain, la IA, el cifrado cuántico o el metaverso, los CISO deben continuar concienciando y formando a empleados y colaboradores”.

 “No sé si los CISO son los nuevos gurús —dice Carlos Saiz—, porque a muchos no se les ha escuchado en sus peticiones en mucho tiempo... En las empresas son muy importantes los tiempos para poner en marcha un servicio, la transformación digital de procesos, las innovaciones en productos y servicios para clientes, etc. y todo ello debe llevar embebido el concepto de "security and privacy by design". Es decir, no podemos hablar de evolución de la economía digital si no hay ciberseguridad. Así que al lado de los CIO, CDO, los expertos en IA, etc. tendrá que haber un CISO, un DPO y un Abogado Tecnológico", aclara Saiz Peña

DORA y la excelencia en ciberseguridad del sector financiero

DORA obliga a las empresas del sector financiero a garantizar que pueden responder, resistir y, en su caso, recuperarse ante cualquier tipo de perturbación y amenaza relacionada con las TIC. El órgano de dirección de la entidad financiera será responsable de definir, aprobar y supervisar el marco interno de gobernanza y control, que garantice una gestión efectiva y prudente del riesgo relacionado con las TIC. Este riesgo es más amplio que la ciberseguridad, ya que incluye desde la adquisición de recursos TIC, la contratación de servicios que impliquen el acceso a sistemas de la entidad financiera, o el tratamiento de datos personales por cuenta de esta.

“Son medidas que tienen que ser demostrables —dice Recio—. Las entidades financieras deberán tener documentadas sus estrategias, políticas, procedimientos y protocolos, y deberán actualizar estas medidas en todo momento, ya que el riesgo cambia constantemente. Y deberán proporcionar a las autoridades competentes la información”, afirma.

“El sector financiero está muy regulado”, dice Carlos Saiz. Con DORA se pretende armonizar un marco común de "resiliencia operativa digital, de manera que todas las entidades del sector se rijan por unas mismas normas de gobierno de riesgos TIC, gestión de incidentes y actuación ante las autoridades de control, marcos de supervisión y pruebas, control de proveedores terceros, etc".

Para Francisco Pérez Bes el cambio de paradigma que plantea DORA es el reconocimiento de que es imposible evitar los ciberataques. “Así, la regulación exige la adecuada capacidad de gestión una vez se ha sufrido un ataque, y persigue garantizar la resiliencia de la compañía, y no la simple prevención y protección”.

“La responsabilidad legal de las entidades del sector financiero (incluyendo sus proveedores) depende de que acrediten que su diseño se basa en la capacidad de reponerse ante incidentes. Porque la ciberseguridad no se aborda únicamente con criterios técnicos, sino empresariales (jurídicos, de comunicación, de inteligencia económica e, incluso, de geopolítica) y de continuidad de negocio”, puntualiza Pérez Bes, e insiste en que al tratarse de un elemento de seguridad nacional, “los administradores de las empresas financieras deben asumir una mayor responsabilidad según el legislador. De ello depende la seguridad de los clientes y de los inversores, además del bienestar social”.

Un cambio social y laboral

Las relaciones laborales, el organigrama de las empresas, las profesiones más demandadas y la totalidad de la sociedad digitalizada, están cambiando con esta legislación. Según explica Saiz, a nivel laboral “este tipo de normas tardan años en posarse de una manera real en las organizaciones, pues implican cambios en organigramas, equipos, modelos de gobierno, presupuestos, toma de decisión, report, tecnologías, etc. Es necesario ahondar en la implantación de sistemas de gestión de cumplimiento, es decir, implantar modelos de CyberCompliance”.

Para él, a nivel social poco a poco, “vamos construyendo una sociedad más digitalizada y más consciente de los riesgos que conviven con esta manera de vivir, pero el factor humano sigue siendo en muchas ocasiones el que más falla cuando hablamos de ciberseguridad”. Porque al final cada uno de nosotros somos una única persona con muchos "roles digitales", (empleado de una empresa, usuario de redes sociales, cliente de diferentes plataformas y servicios digitales, padres o supervisores de dispositivos de menores e hijos, etc).

La sociedad se adaptará y deberá regirse por principios de mayor prudencia en las relaciones laborales y profesionales, y de un mayor conocimiento del ecosistema tecnológico y los nuevos riesgos que nos amenazan, “sobre todo en las relaciones con clientes y proveedores”, apuntala Pérez Bes y añade: “Los procedimientos serán imperativos en la gestión de los riesgos, aparecerán nuevas profesiones relacionadas con la seguridad que deberán encajar en la estructura empresarial, por lo que se debe formar y capacitar  a nuestros jóvenes, desde los más pequeños, para poder ir creando ciudadanos más preparados en lo técnico y en lo ético, y más concienciados”. En el fondo, dice, “deberemos volver a la educación con valores esenciales, inmutables, con independencia del uso de una tecnología, que va a seguir evolucionando de forma disruptiva durante las próximas décadas”.

Hay esperanza porque la sociedad digitalizada también evoluciona y cada vez es más consciente de los riesgos a los que la persona se expone cada día, en opinión de Miguel Recio, quien analiza como “la ciudadanía cada vez tiene mayor conciencia sobre un intento de phishing o un ataque de ransomware, tanto en el ámbito laboral como en el personal. Instrumentos como la Carta de Derechos Digitales en nuestro país, o la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, son esenciales para lograr una sociedad digitalizada e inclusiva”.