Por: Jesús Miguel Castañeda Mayuri
A inicios de este año, el Consejo de Europa y el Parlamento Europeo llegaron a un acuerdo para lanzar una nueva directiva de seguridad de información de redes. La Directiva NIS2, que entrará en vigor a finales de 2023, busca alinear los esfuerzos de ciberseguridad en todos los países miembros de la Unión Europea. Esta normativa implicará, también cambios de cumplimiento para muchas empresas europeas. Los países tienen hasta septiembre de 2024 para transponer la Directiva a sus propias leyes nacionales, momento en el que las empresas deberán cumplir con los requisitos específicos de cada país.
Conversamos al respecto con José Fernández Tamames, director del grado de Informática de la UNIE.
¿En qué contexto de la ciberseguridad surge esta directiva?
Los expertos en la comunidad europea se han dado cuenta que la seguridad ya es algo que está bastante estandarizado y consolidado en las empresas europeas. Lo que están pidiendo es que ya no haya excusa, que esta ciberseguridad sea algo que se pueda exigir. Se ha juntado con la necesidad de tener una defensa eficaz ante los posibles ataques, y las empresas han tenido que invertir. Se juntan los dos caminos.
La seguridad, por diseño, en los sistemas de información, tiene un estándar que ya lleva unos años y la Comunidad Europea (CE) ha establecido una norma que da una responsabilidad flagrante si se fallan esos estándares porque ya hay suficiente nivel de conocimiento.
¿Además de la responsabilidad que tendrán ahora las empresas, cuál cree que son las otras principales novedades que tiene esta directiva?
La directiva hace más responsable al consejo de administración. La seguridad forma parte de la toma de decisiones del negocio. Ese es el gran cambio en las normas alrededor de la protección de datos. Ya no es responsabilidad de un departamento o de los proveedores de IT; es ya parte del lenguaje del negocio.
La seguridad tiene un componente que no se nota, porque se nota cuando falla. Si no falla, vivimos dentro de esa seguridad como los peces en el agua. No sentimos esa inseguridad. Si está dentro del lenguaje del negocio, se destecnifica. Ya no se habla de la seguridad como un tema tecnológico, sino como algo a tener en cuenta para poner el valor lo que está en juego, que son los datos. El dato es común como valor estratégico en las empresas de todos los sectores.
¿Hasta qué punto llegaría esta responsabilidad de los consejos de administración?
Se llega a tener una responsabilidad penal. Es una responsabilidad personal de la empresa y las personas que dirigen la empresa. No se puede disminuir la responsabilidad en una sociedad limitada o una sociedad anónima. Esta responsabilidad penal lleva aparejada una multa que puede llegar al 2% del volumen del negocio. Son las dos cosas, una responsabilidad personal y una multa considerable.
Puede asustar un poco, pero lo que considera la Comunidad Europea es que no hay excusa para no tener esta inversión en seguridad. Las multas parecen duras, pero si lo estudiamos con tranquilidad, esa inversión tiene que ser por diseño.
La idea es que ninguna empresa conciba no desarrollar sus sistemas de seguridad…
Por ejemplo, hace poco robaron los datos de una empresa de telefonía. Son cientos de datos personales de empleados y clientes. Esa empresa no cumplió con un estándar mínimo tecnológico de seguridad. Es impensable que eso no se haya cumplido. La multa viene a recordarnos que esa inversión se tendría que haber hecho.
La directiva realiza una división entre empresas esenciales e importantes. ¿Cómo es que se realiza esa clasificación?
Depende de la sensibilidad de los datos que trate. La tecnología se ha convertido en un aspecto crítico de los sectores empresariales. La seguridad en el sector eléctrico, nuclear o cualquier sector estratégico es sensible para los activos del Estado y la Nación.
Hay dos ataques clásicos. Una que es a volumen. Es rentable mandar 100 millones de correos y que me contesten 10.000 porque para mí son 70.000 euros. Es rentable tirar esa red barredera por todo Internet. Luego, hay una ciberdelincuencia que es más seria, que busca atacar objetivos muy sensibles con mucho esfuerzo por la rentabilidad a futuro que supone. El premio es gordo. En todos estos ataques están Rusia o China, que atacan las vulnerabilidades de los sistemas eléctricos, de votación o comunicación de países de Occidente. En esos ataques, hay una parte geopolítica que tiene más peso. Conseguir que las elecciones norteamericanas den un vuelco por 30 mil votos no es un ataque cualquiera. Hay sectores muy sensibles que necesitan una especial protección.
No estamos pensando sólo en el spam o el phishing. La CE piensa que hay organizaciones que en sí mismas son críticas para mantener la salud pública, la democracia y el estado de derecho.
¿Por otro lado, qué tipo de proyectos cree que deben desarrollarse para que pueda fortalecerse la ciberseguridad?
La seguridad no es nueva. Lleva décadas. Es un tema que preocupa mucho en el departamento de IT. Sabemos perfectamente lo que hay. Llevamos mucho tiempo desarrollando todo tipo de políticas para contrarrestar los peligros. Salvo algunas excepciones, ahora mismo no hay ninguna empresa en España que no cumpla con los mínimos estándares de ciberseguridad. Tienen departamentos exclusivamente para ello.
Con esta nueva normativa, lo que hay que revisar es el nivel de calidad. La ciberseguridad no debe estar reservada solo a empresas que cotizan en el IBEX. Los proyectos más interesantes, siendo nuestro parque de empresas mayoritariamente de pymes, son los que ayudan a esos emprendimientos que son proveedores de las multinacionales a estar al mismo nivel de lo que le exige la directiva. El mundo de las pymes necesita un incentivo. Hay muchas que son de nicho y trabajan en temas concretos para estas empresas más grandes.
Como director del grado de informática en la UNIE, ¿qué tipo de formación realizan en relación a la ciberseguridad?
Siguiendo con lo anterior, la seguridad es por diseño. Está en todo. Dentro del desarrollo de software, las infraestructuras, el sector perimetral, en los antivirus, los antispam. Por diseño, todo lo que se desarrolla en las clases de la UNIE, involucra a la ciberseguridad. La gestión de la seguridad se habla en todas las asignaturas.
Tenemos un máster de ciberseguridad específico para aquellos alumnos que además de saber sobre el diseño quieran especializarse en el desarrollo de políticas de ciberseguridad. Son personas que intentan mantener ese diseño a flote. Todo cambia. Hay nuevas tecnologías, nuevas formas de ataque. Hay que tener un departamento dedicado a que ese diseño se mantenga.
Comments are closed