Consulta las opiniones de los expertos sobre el impacto del Real Decreto 43/2021

Tras la publicación en el BOE del nuevo Real Decreto 43/2021, aunque más o menos conociésemos sus objetivos y contenido, se hacía necesario un evento específico en el que expert@s en la materia nos lo explicasen y debatiesen sobre todas sus repercusiones.

Por ese motivo, ISACA Madrid Chapter y aesYC (Alianza Española de Seguridad y Crisis), organizaron el pasado martes 9 de febrero el interesantísimo WebinarNIS «Ley NIS, el impacto del RD 43/2021«, con la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

Ley NIS

El panel de ponentes no pudo ser mejor, constituido tanto por profesionales de la tecnología y de la legislación. Tod@s ell@s verdader@s expert@s en la materia, primeros espadas y referentes en el sector, e incluso podría decirse que incluso «padres/madres de la criatura«, de un modo u otro 😉

Y la coordinación y organización a cargo de,

El WebinarNIS arranco con la presentación y el agradecimiento de Pablo Blanco por el enorme éxito de asistencia, con ¡más de 1500 personas inscritas, en tan solo 5 días! Sin duda, un inmenso interés sobre la temática del RD 43/2021 por el que se desarrolla la Ley NIS. Pablo también agradeció su participación a los panelista, a los organizadores, y las empresas e instituciones colaboradoras.

Para finalizar, Pablo dio paso a Vicente Moret Millás, quien hizo una breve introducción en flashes de la Ley NIS, previa al debate por parte de l@s panelistas.

Vicente comenzó felicitando a Pablo, Joris, ISACA Madrid y aesYc por la fantástica capacidad de organización de un evento con tanto éxito de participación como ésta, en menos de una semana. Las felicitaciones también, dijo, por «crear cultura de ciberseguridad porque, sin duda es uno de los pilares básicos de la Estrategia Nacional de Ciberseguridad«.

A continuación Vicente se propuso destacar muy brevemente los aspectos clave del Real Decreto que consiste, dijo, en una evolución o continuación de la Transposición de la Directiva NIS (RD 12/2018) y que eso es importante para entenderlo todo en conjunto, conociendo ambas, e incluso la anterior NIS2 (borrador de la próxima Directiva NIS) y DORA (Reglamento de Resiliencia Digital Operativa) de entidades financieras.

El punto principal de todo esto, dijo, es que «afianza algo que es imparable, la regulación de la ciberseguridad y del ciberespacio, que, ya está aquí y ha llegado para quedarse«. El modelo, comentaba Vicente, se basa en 4 pilares:

  • Se trata de un nuevo marco institucional con el que, «por fin tenemos un estándar en el que basarnos (Artículo 6) que consiste en la obligatoriedad de contar con una política de seguridad basada en unos determinados parámetros«.
  • Hablamos de un modelo de supervisión de la ciberseguridad por parte de la Administración.
  • Que además conlleva una normalización de la gestión de los incidentes (ciberincidentes) y de las notificaciones de los mismos.
  • Y, lo más relevante, conlleva y busca un objetivo de apoyo al negocio mediante la conveniente gobernanza de la ciberseguridad dentro de las organizaciones, donde es vital el/la Responsable de Seguridad de la Información (RSI), que ahora conocemos como CISO, por simplificar, aunque quizá, en ocasiones no deba ser la misma persona/rol.

Y mucha gente se pregunta respecto a la Ley NIS… «¿me toca o no?«. Vicente hacía una graciosa, pero muy ilustrativa y clarificadora, comparación con un huevo frito…

  • «La yema son los operadores de servicios esenciales, que además son críticos«.
  • «La clara son los operadores esenciales, que no son críticos«. Además, se define muy claramente quiénes son operadores de servicios esenciales que no son críticos, de los sectores seleccionados (Administraciones Públicas, Energía, Finanzas, Agua, Investigación, Alimentación, Salud, etc.).
  • «Y, el borde, la puntilla, son los operadores o prestadores de servicios digitales«.

Existen distintos niveles de obligaciones y compromisos en función de cómo sea la organización, al margen de que estén obligadas o no al cumplimiento, pero los que, obviamente deben estar obligados son estos tipos de operadores y aquellas organizaciones con responsabilidades en la Defensa Nacional.

Esto no quiere decir que otros tipos de organizaciones no estén obligadas, pues también lo están, incluso las más pequeñas que podrían considerarse exentas pero que tienen dependencias y relación con otras que sí lo deben cumplir, mediante la adecuación a la Política de Gestión de Terceros.

la Ley NIS toma como referencia El Esquema Nacional de Seguridad (ENS), además de otros modelos, marcos y esquemas, dotando a la figura del CISO (Chief Information Security Officer) de determinadas competencias, tareas, roles y obligaciones; figura que cambia por completo.

El CISO, o el RSI (Responsable de los Sistemas de Información) que denomina la NIS, es una persona, o grupo de personas que se deben encargar de

  • Elaborar,  ejecutar, desarrollas y supervisar las políticas.
  • Encargarse de la gestión de riesgos.
  • Ser el punto de contacto y comunicación con la Administración (información, incidentes, etc.).
  • Capacitador/a.
  • Debe ser quien firma la Declaración de Aplicabilidad.
  • Ser el/la responsable, incluso legal, en último término.

«En resumen, el/la CISO pasa a ser un/a super-hombre/woman con visión 360º y múltiples capacidades, con responsabilidades jurídicas de relevancia«.

Para ello, al ley lo dota de mayor independencia dentro de la organización, incluso de las áreas técnicas y de TI, e incluso como un nuevo rol dentro del C-Level, la Junta o el Consejo de Administración, totalmente cercano y en estrecha relación y comunicación con la Alta Dirección. Es por ello que, aunque su background y skills podrían ser técnicos a priori, se habla de un perfil que también tenga conocimientos organizativos, jurídicos/legales, entre otros.

Parejo a todo esto, y de forma meridianamente clara, dijo Vicente, hay que tener bien claro que «lo que antes era una recomendación, ahora es una obligación que además puede tener repercusiones, ya no solo sancionadoras, sino incluso legales/penales«.

En esta magistral exposición de Vicente, pasa a destacar la importancia de la aparición del concepto de la Declaración de Aplicabilidad, como un documento de compromisos de la organización con respecto de la Administración, cuyos contenidos deben identificar las políticas que va a implementar o que ya ha implementado. Dicha aparición está estrechamente relacionada con las acciones por parte de la Administración, de carácter supervisor e incluso sancionador.

Y, para finalizar su fantástica introducción, Vicente comenta: «Hasta este momento, la Administración tenía un papel discreto, pero ahora la ley pasa a otorgarle poderes muy concretos, pues ya tiene competencia para comenzar a verificar, y sancionar en su caso, pudiendo a demás ejercer la verificación de la información y del cumplimiento de las funciones del CISO, obligar a que tenga lugar una auditoría«.  

A continuación, Pablo agradeció su intervención a Vicente y dio paso a Julio San José, quien actuó como moderador de la mesa de debate, aportando también sus conocimientos, cuestiones y conclusiones.

Julio comenzó presentando al panel de participantes: Alejandro Becerra, Alonso Hurtado Bueno, Elena Matilla, Vicente Moret Millás y Francisco Perez Bes.

Julio también facilitaba el dato de que más del 80% de l@s asistentes tenían perfil tecnológico «lo que deja clara la importancia del sector legal en la ciberseguridad«, comentó.

La primera pregunta que planteaba Julio a la mesa era «¿Cómo creéis que va a impactar este Real decreto 43/2021 en la estructura de las empresas españolas?«

Comenzaba respondiendo Alonso, que, sin duda, confirmo que impactará y que lo hará especialmente en las organizaciones y operadores esenciales, aunque no lo tenía tan claro en otras tipologías de empresas, principalmente por el momento en el que llega el Real Decreto y muy especialmente por la situación económica actual en la que nos encontramos y en las que les tocará lidiar con eso y presupuestos. Sin embargo, sí que consideraba que lo va a acelerar.

Alejandro coincidía en el obvio impacto y aseguraba aquello de que «el tema de la ciberseguridad, y lo vemos todos los días en los medios de comunicación, ya no es el que viene el lobo, sino el que el lobo ya ha llegado, está dentro del corral, se ha comido las gallinas y ha hecho un agujero en la pared «.

Ya no solo es que haya una percepción del riesgo, sino que ha una materialización del riesgo que va a contribuir a que todo esto se acelere, aunque ya se estaba acelerando, peor el Real Decreto viene a concretar y afianzar, finalizaba Alejandro.

La respuesta de Elena, en coincidencia con Alonso y Alejandro, destacaba que «impactará mucho y a todos los niveles, dependiendo del nivel de madurez en ciberseguridad de cada organización«.

Ya veníamos trabajando en operadores críticos, planes de seguridad, de protección, etc. Teníamos un bagaje previo, e incluso la figura del rol del RSI existía de algún modo u otro y teníamos mesas de ciberseguridad.

«Teníamos parte del camino andado y esto es un paso más, que define y concreta la estructura, las funciones, la respuesta, las notificaciones» decía Elena.

E incluso, continuaba comentando Elena, «para las empresas no impactadas por el Real Decreto, será un referente a tener muy en cuenta, que redundará probablemente en elevar el nivel de ciberseguridad«.

Y Elena iba un poco más allá, exponiendo que esto es extensible y abre una oportunidad a nuestros proveedores de servicios, a colaboradores, partners, proveedores, terceros, en lo que al factor de cumplimiento se refiere y lo que eso va a suponer en necesidades de apoyo para ello.

Y, por último Elena comentaba que especialmente se ve afectada la Administración Pública y que, en su opinión, era ahí donde veremos que en el medio-largo plazo las cosas cambiarán.

Interviene Vicente en la ronda de respuestas con unas palabras contundentes:

«Aviso a navegantes, CISOs, RSI, o como os queráis llamar… ¡ahora es el momento!… Tenéis en vuestras manos la palanca de la transformación que permita poner a la ciberseguridad como una prioridad en las organizaciones«.

Para finalizar la ronda de respuestas a la primera pregunta, intervino Paco (Francisco Pérez Bes). Él comentó que «las bases ya estaban sentadas desde hace tiempo, que vienen del desarrollo del Real Decreto 12/2018, que ahora trae el proceso sancionador claro y la obligatoriedad del desarrollo de la normativa que debería de haber estado cumplida hacía 3 años«.

La ley viene a dejar negro sobre blanco en desarrollo de las políticas. Se plantea, y aparece con mucha más fuerza, el enfoque de la gestión de riesgos que, tendremos que automatizar porque o se va a poder manejar manualmente, y deberemos cambiar el modelo de gestión.

Además, comentaba, este tipo de obligatoriedades en el ámbito de la seguridad, la ciberseguridad y la privacidad, si no nos llegan por estos reales decretos, llegarán por el RGPD, o por cualquier otra. Lo importante de todo ello es que, al final, «son iniciativas o normas que nos activan esta conciencia de cultura de ciberseguridad«.

Y, claro, «esto supone un aumento enorme de responsabilidad, porque todo ello conlleva que el rol del CISO para a desempeñar muchas y más complejas competencias por lo que habrá que comenzarse a platear el subirles el sueldo, por el buen trabajo realizado hasta ahora y el que les va a tocas realizar a partir de ahora«, comentó Paco en tono jocoso.

«Ahora la ciberseguridad toma parte de la toma de decisiones de negocio y, para rizar el rizo, por si no tuviésemos poco, este año se va a transponer la Directiva del Whistleblowing donde también se contempla la posibilidad de denunciar incumplimientos en materia de ciberseguridad«, exponía Paco.

Y, para concluir Paco apuntaba tres notas,

  • Se va a requerir más inversión, que supondrá un cambio en las organizaciones.
  • Tendremos que desarrollar organizaciones más robustas, con personas con responsabilidades concretas, definidas y con «galones» para poder llevar a cabo las actuaciones que deberán llevar a cabo.
  • Cobrará mucha fuerza el tema de los ciberseguros.

¿Existe o se tiene previsto que se publique una lista que identifique los servicios esenciales y sus operadores, así como proveedores de servicios digitales… buscadores, ecommerce…?, preguntaba Julio a la mesa.

Comenzaba contestando Alejandro que, por ley, la lista de operadores de infraestructuras críticas tiene categoría de secreto y no se puede divulgar. Y, además, la lista de proveedores esenciales tampoco está publicada por considerarse información sensible, pero si están notificados cuáles son los servicios esenciales en materia de ciberseguridad (en España 132 notificados a la UE, de entre 55 servicios esenciales definidos).

La curiosidad es que, frente a estos 132 de España, Finlandia tiene notificados cerca de 11.000 operadores de servicios esenciales, Portugal 1.250, Alemania 573, Polonia 142… Hay una enorme dispersión que se está revisando en el alcance de la Directiva NIS2.

«Los riesgos de ciberseguridad ya no son exclusivos de grandes compañías, sino que, por ejemplo, el ransomware está pegando a todos y los problema de ciberseguridad son problemas de la calle«.

Julio lanza la siguiente pregunta a la mesa: ¿Por qué se han equiparado los servicios digitales, como los motores de búsqueda, a los servicios esenciales?

Comienza respondiendo Paco que comenta que «el Artículo 2 reconoce la posibilidad de que los proveedores de servicios esenciales estén dentro del ámbito de aplicación del Real Decreto, siempre y que tengan un representante en España cuando estén ubicados fuera de la Comunidad Económica Europea, a efectos de la Directiva NIS«.

Quizá, continua comentando Paco, se piensa más en el riesgo, no tratándose tanto de la tipología de empresas desde el momento en el que todo parte del riesgo real que parte de una estrecha dependencia tecnológica… toda la sociedad depende de la tecnología y va a ir dependiendo cada vez más progresivamente, cuando llegue el 5G, etc.

Por lo tanto, las redes y los sistemas de información con cruciales para la sociedad y su seguridad. «Se trata de fiabilidad y seguridad, de la sociabilidad + seguridad, y esto es crítico para nuestro desarrollo de las actividades económicas y para la generación de confianza que, al fin y al cabo es de lo que se trata«. Así la equiparación es lógica desde ese punto de vista y debemos tomar acciones transversales y no aisladas, finaliza afirmando Paco.

Continua respondiendo Alonso destacando la enorme volumetría de usuarios finales afectados (que usan esos servicios), así como el inmenso volumen de empresas, dependientes ambos de proveedores de servicios digitales (considerados o equiparados por ello a los servicios esenciales) y que a su vez generan esas mismas dependencias en la economía.

Desde España y Europa se fomenta la competitividad y uno de los pilares básicos para conseguirlo se centra en hacer a la sociedad cada vez más digital, cada vez más «SaaS» (Software as a Service) indica Alonso.

Y, por todo ello, la opinión de Alonso respecto al motivo de esta equiparación, es que si este tipo de proveedores de servicios digitales no aplican las medidas de ciberseguridad adecuadas, nuestra vida digital, gran parte de nuestro día a día, estará expuesta y afectada de forma directa y clara, provocando efectos de todo tipo y para todos (usuarios y empresas).

Tras la exposición de Alonso, interviene Vicente planteando el concepto de relación entre los conceptos de cumplimiento y ciberseguridad, en el sentido de que muchas veces las empresas se lo plantean como «a ver como salgo yo de esto y no se me aplica esto«.

Sin embargo, continua, ahora el paradigma es bien distinto y éste debe ser «aunque no tengo obligación tengo que hacer algo al respecto«. «Estás dentro y, si no lo estás, conviene que te dejes llevar por estos principios«.

«En Finlandia, como comentaba antes Alejandro, tienen un listado de 11.000 porque han decidido que en él entren todas las empresas de servicios salud, peor en España las infraestructuras consideradas como de salud y críticas con muy poquitas.«… «lo que hace falte es un cambio cultural«.

«¿Creéis -y me juráis por Snoopy, dice Julio-, que este Real Decreto va a impulsar de verdad el Departamento de Seguridad de la Información de las empresas?» porque, comenta Julio, estos servicio necesitan un espaldarazo definitivo que les posicione junto a la Alta Dirección, en el lugar en el que se merecen en pleno Siglo XXI.

La primera respuesta es la de Elena. «Sí, pero dependerá del tipo de empresa y del nivel de madurez en ciberseguridad de la misma«. Es cierto que es un driver, un catalizador para que al menos haya algo que obliga a que llegue a la Alta Dirección: «te lo venía diciendo y ahora ya hay un marco jurídico que ampara estos riesgos que teníamos encima de la mesa«.

Pero también dependerá de de otros factores porque «hay que entender la ciberseguridad como un apoyo al negocio, no como un impedimento«. Por ese motivo, «tenemos que comenzar a trabajar en procesos que lleven la ciberseguridad embebida desde el primer momento, por defecto, y en todo su ciclo de vida«, continua planteando Elena.

«No solo se trata del meno cumplimiento, de ver y demostrar que lo estamos haciendo y de cómo lo estamos haciendo. Este es el reto real de las organizaciones, el trabajar dejando de apagar fuegos, sino abordándolos en su conjunto desde el inicio, poniendo en valor las responsabilidades y funciones«.

Alejandro continua aportando su opinión respecto a que la realidad irá por delante de la ley y que el tejido empresarial español son mayoritariamente pymes (en más de un 80%-90% se indica), en principio no sujetas bajo el compliance del Real Decreto, por lo que veremos sus consecuencias sin duda.

También nos comparte el término de «marco de economía de ciberseguridad«, que consiste en que ninguna organización de ningún tipo por cualquiera que sea, va a poner nada en marcha sin que esto sea eficiente y efectivo.

A esto responde Julio que efectivamente debe cambiar la percepción de la que ciberseguridad es un gasto y no una inversión, ya no solo por tema financiero sino por el factor más importante que es la confianza de tus clientes.

En su caso, Paco indica que, aunque efectivamente el Real Decreto sí deja fuera a las pymes y las posiciona más desde el punto de vista del third party compliance, la realidad es que éstas deben adaptarse también. Se trata de un modelo de apoyo a la supervivencia, la seguridad nacional, la protección de la información, la continuidad de negocio.

Alonso resume las intervenciones de sus antecesores indicando que además cree que se abre una oportunidad en el sentido de poder hacer realidad la necesidad de «poner un gobierno, pero no de la seguridad de la información sino del cumplimiento normativo adecuado«.

Su visión, dijo, es una visión del entorno como un gran puzle en el que hay muchas piezas de competencia, ciberseguridad, protección de datos, etc., pero que «no hay una visión 360º y esto está impidiendo la eficiencia porque seguimos trabajando en silos en lugar de trabajar en conjunto«.

Finaliza la ronda de esta pregunta Vicente que trae a la mesa el concepto de el Triángulo de la OTAN, de defensa en profundidad, en cuanto a los tres puntos básicos: Tecnología, Personas y Procesos. Los dos últimos, las personas y los procesos, son clave y esta normativa está haciendo que pasen a un plano más destacado.

Siguiente pregunta de Julio a la mesa: ¿Cómo debe ser el perfil del RSI, no puramente técnico, de gestión, con conocimientos legales, multidisciplinar?

Arranca con la ronda de respuestas y debate Elena, que opina que debe tener las competencias adquiridas, pudiendo no ser técnico, pero que en el modelo de las 3 líneas de defensa, esté en la 2ª línea de defensa respecto a la responsabilidad de seguridad.

Además, continua compartiendo Elena, debe estar separado de la operación y relativamente aleado de la tecnología aunque debe intervenir y tener un considerable background. No debe ser un experto, pero sí con conocimientos para la gestión de riesgos que sí son su responsabilidad y para la cual deberá establecer y gestionar controles. Un perfil exclusivamente técnico por otro lado, finaliza diciendo Elena, no cubrirá la visión 360º ni las capacidades de gestión y comunicación con la alta dirección.

Y, a colación de todo ello Julio plantea si el RSI debe ser una persona o un grupo de personas como un departamento de RSI que aglutine todos esos background y skills que den la capacidad global y 360º.

A ello responde Alejandro que la clave quizá sea que «el RSI o CISO esté certificado en los procesos de su empresa porque, si no, es inviable que pueda proteger cosas que no conoce, debes entender todo«.

«En organizaciones de mucho tamaño es probable que ese rol se deba distribuir, o apoyar, en un equipo que además tenga esa visión integral en su conjunto«.

«El rol del CISO o RSI debe desempeñarlo una super-woman pues tiene que ser alguien con una capacidad tan integral y tan completa que abarque todo ese espectro«, concluye Alejandro.

Continua Vicente apuntando que el Real Decreto se cuida mucho de dar carta blanca a ese concepto o modelo de «CISO colectivo«. Sí que es cierto que haya que aunar capacidades pero «la ley estipula que debe existir un solo responsable, una sola persona que, al final es quien decide, quien tiene la última palabra, quien firma, quien comunica y quien además tiene consecuencias legales«.

A lo que Alejandro comenta jocosamente que «habrá que triplicarles el sueldo» y Paco a su vez «sí, porque será necesario para pagar la fianza» jajaja 😉

Esto vuelve a sacar al a palestra el tema de los seguros y los ciberseguros que darán cobertura a situaciones y al riesgo que se les traslada a las aseguradoras, incluso aquellos destinados a cubrir a las capas directivas que ahora también deberán cubrir el rol del RSI/CISO.

Vicente hace un apunte muy interesante respecto a los seguros y ciberseguros respecto a que «algunas aseguradoras están ya pensando en retirar su cartera de ciberseguros o seguros de ciberseguridad pues no es algo que en estos momentos esté saliendo rentable«.

A esto, tanto Elena como Alejando, además de confirmarlo, apuntan que otras están manteniéndose a costa de aumentar sus pólizas/primas y que, el resto, están afinando enormemente sus garantías.

Paco finaliza la ronda de respuestas comentando que se permite que el RSI sea un órgano colegiado, que se pueda subcontratar y externalizar estas labores, en un modelo de «CISOaaS (CISO as a Service)«, para que esto garantice esa «multidisciplinaridad»… siempre pensando desde el punto de vista de labores de apoyo, que no eliminen la figura necesaria del RSI interno en la organización.

Siguiente pregunta de Julio: «¿Habrá, o debería haber, alguna certificación de RSI?«

Vicente comienza respondiendo sobre la importancia y trascendencia de esto, de que exista. Además comenta que es el mejor foro para hablar de ello estando ISACA como gran expedidor de certificaciones reconocidas internacionalmente.

 «Ahora mismo hay una pelea geopolítica en ENISA para conseguir que todos los esquemas de certificación se parezcan lo máximo posible y generar un estándar que sea válido en todos los países«.

«Las certificaciones son un fabuloso medio para mitigar, eludir, e incluso disipar completamente cualquier tipo de responsabilidad«.

Es decir, explica Vicente, si ocurre algo, si tiene lugar un incidente/ciberincidente y debemos acudir a la Administración o al juez para informar y confirmar que algo ha sucedido, siempre podremos decir aquello de «pero nos ha pasado aunque hicimos los deberes y esta es la certificación que lo demuestra«. La Administración y el juez no van a tratar igual a quien se haya preocupado por certificarse que a una que no se haya preocupado y no lo esté.

Alejandro completa la intervención de Vicente con dos elementos adicionales:

  • Una certificación estandarizada aporta economía al afrontar la situación de forma más efectiva.
  • Aplicarlo en la gestión de la cadena se suministro de forma estandarizada en todos sus puntos de diferentes orígenes y destinos.

«La empresa tiene que acreditar la diligencia, aunque las certificaciones no sean excluyentes desde el punto de vista de que no disipan las responsabilidades, pero obviamente te ayudan«, continua comentando Alonso.

«Hay dos vías de acreditar que has sido diligente, o con certificaciones y/o porque puedes acreditar que has hecho todo lo que estaba en tus manos de forma proactiva».

Por todo ello Alonso exponía que es partidario de que existan dichas certificaciones pero de que no sean algo que se imponga de forma obligatoria. Lo importante, desde su punto de vista es que vaya acompañado de una gran experiencia y de un trabajo bien hecho. Al final deberían ser un mix de ambas cosas.

Julio traslada a la mesa una preguntas de l@s asistentes: ¿Existen canales para las notificaciones o es algo que está previsto para una regulación posterior?

El Real Decreto ha creado ya  un marco de autoridades competentes, que es el siguiente:

  • Operadores críticos, que deben comunicar al Ministerio del Interior.
  • Operadores esenciales no críticos, que deben comunicar al autoridades ministeriales que aparecen en el listado del Artículo 2.
  • prestadores de servicios digitales, que deben comunicar al Ministerio de Economía a través de la Secretaría de Estado.

Responde Vicente.

Otra de las preguntas de l@s asistentes que Julio plantea a los panelistas es «Si una pyme (no afectada por el RD) es un tercero que presta servicios como proveedor a otra empresa que sí está afectada por el RD, ¿esa pyme debe aplicar el RD?«

Contesta Paco indicando que les van a obligar a aplicarlo debido a que comparten esa cadena de suministro y, al ser terceros, o proveedores, la empresa que les contrata tiene la responsabilidad y DEBE velar por la seguridad de sus proveedores para que a través de los sistemas de terceros no tenga un ciberincidente.

Alejandro apunta que ese es precisamente uno de los temas con el que están trabajando en Europa con la revisión de la Directiva NIS, respecto a la inclusión de proveedores de hardware y software pues deberían estar alcanzados incluso en primera instancia, ya no en segunda solamente.

Cierra la ronda Alonso con una frase clave en la respuesta: «si yo subcontrato un determinado proceso y no he exigido a ese proveedor que cumpla, el que estoy incumpliendo soy yo porque yo soy el que tiene la obligación legal, y por tanto debo exigir ese cumplimiento a mi proveedor y éste, aunque sea de forma indirecta, deberá cumplir con el RD«.

Una pregunta compleja es la que Julio, antes de finalizar, plantea a la mesa: ¿Cómo, o con qué medidas trataríais de preservar y conseguir la independencia del RSI?

La primera respuesta a esta «fácil pregunta» comienza saliendo de Elena quien, en su opinión, propone que mediante el modelo de separación entre la 1ª y la 2ª línea de defensa se produzca la madurez y el empoderamiento de la figura de ese gestor de seguridad que determina estrategias, políticas, gestión de riesgos, etc., pero donde no se implementa.

El objetivo es que ese perfil no sea juez y parte sino que pueda garantizar que los controles a implantar los implante la 1ª línea de operación y sobre todo separar funciones. Sin embargo, como ya se decía anteriormente, dependerá mucho de la tipología de empresa y de su grado de madurez en ciberseguridad.

Por su parte Paco comentaba que efectivamente no podrá ser juez y parte y auditarse a sí mismo. Pero, si la organización confluye ambos roles en la misma persona, deberá buscar soluciones como la externalización para que esas dos funciones estén convenientemente compartimentadas.

«Hay que ser y hay que parecer«, continuaba Alonso. Esto desde el punto de vista de que este perfil, no podrá tener por encima al responsable de redes ni al responsable de sistemas de información, al menos a estos dos perfiles y si esos perfiles son una sola persona, tampoco la podrá tener por encima dependiendo de ella.

«Este perfil, al igual que en el caso del compliance officer, debe poder decir lo que le dé la gana, cuando le dé la gana, independientemente de lo que opinen el de redes y el de sistemas, e incluso independientemente de lo que le guste al Consejo de Administración«, clarificó Alonso.

Por tanto, la propuesta de Alonso pasa por partir de la separación «física» dentro del organigrama de la organización, como desde un punto de vista funcional.

Una vez finalizada la ronda de preguntas del público, Julio agradeció a la mesa y la despidió para dar paso a Pablo para despedir este WebinarNIS.

Pablo finalizó también el evento agradeciendo a los ponentes su participación y trasladando aquella mítica frase de Spiderman, aplicada al caso de los CISOs / RSIs con respecto a «la que se les viene encima«… «Un gran poder conlleva una gran responsabilidad» 😉

Y… «así fue el WebinarNIS y así se lo hemos contado«…

Si estuviste y quieres recapitular alguno de los temas comentados, si te lo perdiste y quieres verlo, puedes hacerlo en el canal de YouTube de ISACA Madrid Chapter, en la siguiente URL: