Este ingeniero, experto en cumplimiento de una gran organización, fue el ponente en esta oportunidad del webinar del IECOM que en esta ocasión abordó la problemática de ciberseguridad como nuevas obligaciones que le llegan al compliance officer.
Recientemente además, en el BOE del pasado 28 de enero se publica RD 43/2021, http://bit.ly/3bhVgjQ que desarrolla el Reglamento de Desarrollo del RD de Transposición 12/2018 que trasponía la Directiva NIS del 2016 en nuestro país.
Esta nueva norma obliga, por ejemplo, a los operadores de servicios esenciales a garantizar que el RSI dispone de medios y recursos suficientes para poder desarrollar sus funciones de manera real y eficaz
Esto supone que estas entidades o empresas deberán dotar a esos profesionales del personal con conocimientos y experiencia, de recursos necesarios, y deberá ostentar una posición en la organización que facilite el desarrollo de esas funciones, en particular teniendo interlocución real y efectivo con la alta dirección.
¿Con que conclusión se marcha del webinar organizado por ASCOM del que usted ha sido ponente?
Pues ojalá todos nos hayamos ido del mismo con una visión menos “brumosa” de lo que es la ciberseguridad, con ideas de cómo empezar a trabajar en la mitigación de los riesgos que, en esta disciplina, afectan a la función de un compliance Officer
¿Porqué la ciberseguridad se ha convertido en estratégico para las empresas en estos últimos meses?
En un entorno más y más digitalizado, con una sociedad que cada vez exige más gestiones y trámites on-line, la ciberseguridad ya se estaba posicionando como un factor clave para las empresas.
No obstante, la situación sanitaria nos ha obligado a todos (convencidos o no) a sumergirnos en las tecnologías como las ligadas al teletrabajo (acceso remoto, videoconferencias, trabajo en entornos colaborativos) que quizá sí nos hayan encendido el piloto de “cuidado”.
¿Cuáles son los principales riesgos a los que se debe afrontar una empresa?
Bueno, esa es la pregunta del millón, y no se responde ni igual para todas las empresas ni de forma constante en el tiempo.
Lo que sí me atrevo a asegurar, es que el control más eficaz para las empresas de cara a mitigar aquellos riesgos que más les afecten actualmente es sin duda una adecuada formación y concienciación a sus empleados. Este es un paso sin el cual muy difícilmente consigamos mitigar riesgos.
¿De que manera la estrategia de ciberseguridad debe el compliance officer incluirla en su programa de compliance?
Como órgano supervisor independiente, debemos analizar si, de forma congruente con la exposición al riesgo de la empresa en cuestión, ésta realiza acciones congruentes con el nivel de riesgo.
¿Nos hemos planteado un SGSI?, ¿Se ha nombrado un CISO?, ¿tenemos una adecuada segregación de perfiles?. ¿Disponemos de las políticas y documentación adecuadas?. Creo que hacerse esas preguntas, y actuar en consecuencia, es algo que todo compliance officer debe hacer.
¿Qué es lo más complicado para un compliance officer de entender en materia de ciberseguridad en estos momentos?
Bueno, realmente yo creo que el mundo del compliance, con una naturaleza y raíces innegablemente jurídicas, ha trascendido hoy en día a lo meramente legal, entrando en todo un conjunto de campos: sistemas de información, análisis de riesgos, contabilidad, valoración de impactos, gestión de la formación……
Al final, lo que ocurre es que el compliance officers se está dando cuenta de que además de sus conocimientos legales, necesita otros muy distintos que debe ir adquiriendo en un nivel mínimo él mismo, y rodeándose de un equipo interno o externo que lo complemente.
Creo que la gran mayoría de compliance officers tienen una fuerte base jurídica, formación en otros ámbitos como el económico, el buen gobierno…. Pero no se han “topado” con la ciberseguridad hasta ahora, por lo que deben ponerse al día para, al menos, chapurrear ese idioma que ahora oyen hablar al CISO sin prácticamente entenderle.
Recientemente el RD Ley 40/2021 abre la puerta a que la figura del Responsable de Seguridad de la Información llegue a las empresas, primero a las que gestionan infraestrucdturas y servicios críticos..
Da la sensación que hay un paralelismo entre el compliance officer y este RSI , ¿Cómo cree que puede encajar en los programas de compliance el tener que diseñar los riesgos cibernéticos?
Realmente son figuras bastante diferentes, puesto que el RSI actúa en la “primera línea” de la gestión de estos riesgos, siendo el Compliance Officer un órgano de control y supervisor situado en una línea superior.
Precisamente por eso, la formación de una y otra figura será muy diferente, y el grado de inmersión en los proyectos a acometer también. Lo que es innegable, es que habrá (de hecho, ya hay) una muy intensa colaboración entre ellos
Sobre q la gestión de una brecha de seguridad, uno de los elementos claves en un ciberataque ¿Qué consejos plantea para poder minimizar ese ciberataque y no dañe a nuestra reputación?
Pues creo que hay tres puntos que no debemos dejar desatendidos:
En primer lugar, Prever y Procedimentar: Si esperamos a tener la primera brecha para plantearnos qué hacer seremos lentos en la respuesta, seguramente fallaremos en las medidas a tomar….
Tenemos que hacer un ejercicio previo de procedimentación para que no nos pille desprevenidos: Dar una herramienta a los empleados/clientes para comunicarla, establecer qué personas deben ser informadas en cada fase de la gestión de la brecha, establecer roles y responsabilidades, prever una batería de medidas cautelares prestablecidas, etc.
También es importante Formar y Concienciar: Por muy bueno que sea el procedimiento, si no lo comunicamos, explicamos y subrayamos su importancia, no servirá de mucho.
Apoyarnos en órganos externos: Hay diferentes organismos que pueden ayudarnos cuando detectamos una brecha (AEPD, INCIBE….). Tengámoslos siempre presentes.
¿Qué consejos puede mandar a los expertos en cumplimiento que lean esta entrevista para poder dar una respuesta adecuada en sus organizaciones a estos ciberataques?
Mi consejo es que sean conscientes de que la ciberseguridad nos afecta a todos, desde que encendemos nuestro smartphone hasta que apagamos nuestro ordenador de empresa.
Por muy de “película de ciencia ficción” que nos parezca, hay ejemplos en los periódicos de empresa que han sufrido estos problemas, y mucho.
El primer paso es formarnos, formar a nuestros compañeros y concienciar: A partir de ahí empezaremos a ver y entender un campo que a priori parece hablar en un idioma distinto al nuestro.