Esta semana, he tenido la fortuna de poder asistir al VI Congreso Auditoría & GRC «Digital Trust: Confianza en la Era Digital» en Madrid, en calidad de miembro de ISACA. Se trata de un evento de carácter anual que constituye una oportunidad única de conectar con profesionales de los ámbitos de la Auditoría, Gobierno, Gestión de Riesgos y Cumplimiento normativo en el área de la Seguridad de la Información. Si bien es cierto que el evento duraba todo el día, por motivos profesionales sólo pude asistir a dos conferencias, de las que ahora os haré un pequeño resumen.
La primera ponencia tenía por título “Nuevas regulaciones en materia de Ciberseguridad y Ciber Resiliencia”, a cargo de Vicente Moret Millás, Of Counsel de Andersen y Letrado de las Cortes Generales. La conclusión principal que extraje es que el panorama de riesgos de ciberseguridad es cada vez más crítico. A consecuencia de ello la presión regulatoria se está incrementando, y se espera que esta sea la tendencia en el futuro. Las principales novedades a corto plazo, son:
- Directiva de resiliencia de entidades críticas. 2022/2557.
- Incluye al sector farmacéutico en su ámbito de aplicación.
- Faculta a las administraciones para el análisis de antecedentes del personal directivo, incluso mediante fuentes de inteligencia adicionales.
- NIS2. 2022/2555.
- Cada vez hay más sectores de actividad afectados, como el logístico.
- Se enfatiza la responsabilidad legal del Consejo de Administración de las compañías, y se promueve un enfoque de gestión basado en riesgos.
- Busca además la convergencia entre seguridad física y lógica, tradicionalmente manejada en silos independientes.
- Establece disposiciones internas obligatorias (políticas, procedimientos). Vicente advertía de que es muy conveniente que el cuerpo normativo interno, independientemente de que esté bien construido y asentado, debe asemejarse estructuralmente al de la norma, para evitar sanciones y responsabilidades innecesarias en caso de conflicto en tribunales a causa de un ciberincidente.
- Aun con todo, al igual que en el RGPD, impera el principio de proporcionalidad, y la categorización de organizaciones entre entidades esenciales e importantes, cuyos requerimientos de seguridad son diferentes.
- Las notificaciones son obligatorias, incluso de cuasi-incidentes, para compartir información de inteligencia entre los diferentes actores, sectores y países. Veremos cómo se transpone a nuestra regulación.
- DORA. 2022/2554.
- Resiliencia operativa digital del sector financiero.
- Incluye a muchas más entidades en su ámbito de las que pudiera parecer. En general, a todas aquellas que manejan transacciones económicas (banca, seguros, gestores de criptoactivos…), salvo microempresas.
- Lex specialis respecto a NIS2.
- Muy relevante la monitorización de proveedores tecnológicos.
- Modelo de 3 líneas de defensa obligatorio.
- Cyber Resilience Act (CRA). Los fabricantes deberán exhibir una certificación de que su producto o dispositivo IoT conectado es seguro. Por ahora, mero borrador. La certificación puede ser interna o externa, pero debe realizarse con todas las garantías.
A continuación se celebró la Mesa Redonda: “Explorando DORA (Digital Operational Resilience Act)”. Los ponentes eran:
José Pedro Arroyo. Head of Operational and Control Resilience. ING.
Ramón de la Iglesia Vidal. Head of Cybersecurity & Emerging Risks. Santander Consumer Finance.
Rodrigo Hornos. Principal Cloud Compliance Leader. IBM.
José Luis Alcaraz. Director Ciberseguridad para el Sector Financiero. Ernst&Young.
Moderadora: Vanesa Gil Laredo. Presidenta de ISACA Madrid
La conversación giró acerca de la necesidad de aglutinar las diferentes regulaciones independientes, pero que dejan cuestiones abiertas y plantean dudas para su operabilidad. Tendrá bastante impacto en proveedores de servicios y operadores de Cloud, tal y como mencionaba Rodrigo.
Algunos de los retos: adaptación de la estructura organizativa a la norma, la gestión de los riesgos, la formación a directivos para tener un criterio juicioso de toma de decisiones teniendo en cuenta los ciberriesgos, y el hecho de tener que adecuarse en tiempo récord a unas reglas técnicas suplementaria que todavía no se han publicado, y apenas dejarán margen de maniobra antes de que comiencen las sanciones. Todo el mundo está pendiente de borradores y filtraciones, por lo que será imprescindible la colaboración ágil y efectiva con proveedores, así como el enfoque de riesgos y madurez apoyada en el Consejo de Administración, para garantizar la continuidad operativa y la conformidad que exige el nuevo mundo al que nos enfrentamos.
—
A modo de resumen final: se establecen nuevas obligaciones y responsabilidades, que superan ampliamente el mero enfoque de cumplimiento. Ya no va a ser suficiente el llevar a cabo acciones de maquillaje para ser conformes y evitar sanciones. Se trata de proteger a las entidades de manera eficaz, a los procesos de negocio y las personas. La gobernanza se basará fuertemente en el papel del Consejo y el CISO.
Las organizaciones que asuman antes este paradigma, gozarán de una ventaja competitiva y un perfil de riesgo más favorable.
Si te interesa la ciberseguridad GRC, date de alta sin compromiso en nuestra newsletter para estar al tanto de novedades, noticias, podcasts, etc. En el email de bienvenida recibirás el código de acceso gratuito a una Masterclass en ciberseguridad. En ese vídeo de casi dos horas de duración, aprenderás a tu ritmo lo fundamental acerca de qué es la seguridad de la información, por qué tiene sentido dedicarse a ello, qué habilidades se requieren, y cómo acceder al sector a nivel profesional.
Comparte esto con amigos o familiares que puedan estar interesados. Y si quieres contactar por privado para cualquier duda o cuestión: oscar.iglesias@daferrasecure.com.
Visita también la web para conocer mi propuesta de servicios profesionales.
Recuerda que la primera edición del Curso online ejecutivo en ciberseguridad corporativa GRC en colaboración con la Universidad de Mondragón, comienza el 24 de abril. Si tienes cualquier duda, consúltame sin compromiso.
Gracias por leerme. Stay secure!
Óscar