Este miércoles Vicente Moret, Of Counsel de Andersen Tax & Legal y Letrado de las Cortes Generales, expuso en el transcurso de un Desayuno para socios de ASCOM sobre Compliance y Cibeerseguridad las principales líneas del marco regulador de la ciberseguridad en España: RD Ley 12/2018; Directiva NIS; Borrador Reglamento de Desarrollo; Guía Nacional Notificación y Gestión de Ciberincidentes, todo ello para entender el marco regulador y de cumplimiento en materia de ciberseguridad.
¿Qué primera conclusión hace de este seminario donde ha abordado las relaciones existentes entre ciberseguridad y compliance?
Hay varias ideas que he querido transmitir a lo largo de este encuentro con los socios de ASCOM. La primera, tiene que ver con que hay un marco normativo sobre esta actividad y que no debe confundirse con la protección de datos. Son materias conectadas pero diferentes.
Al mismo tiempo he querido explicar que ese marco normativo es un nuevo compliance específico en materia de ciberseguridad, con un régimen sancionador y obligaciones concretas. Habrá un cambio importante en nuestro país cuando el Consejo de Ministros apruebe el Reglamento pendiente que debe desarrollar el RD Ley que traspone la Directiva NIS de 2018. Habrá más obligaciones para las empresas.
Hay que darse cuenta que el contexto supone la aplicación del derecho en Internet, con características propias y diferentes. Este es el derecho digital, con rasgos propios de las otras ramas del derecho existentes que configuran las relaciones jurídicas.
¿Qué puede decirnos de toda esta normativa que debe conocer el compliance officer?
Lo primero que tengo que comentarle es que dicha normativa viene por iniciativa de la Unión Europea. Lo ha hecho a través de la herramienta competencial del Mercado Único Digital, pero no tenía otra porque la seguridad nacional es competencia de cada estado miembro de la UE.
Tanto el marco normativo de la directiva NIs, como aquel otro marco normativo de la verificación de identidad que es el primer elemento para evitar el fraude online. El elemento clave es como las empresas entran en relación con quien está al otro lado de la pantalla. Y junto con la verificación hay otra pata importante que es la variable de certificaciones digitales.
A este respecto puedo decirle que se quiere crear una certificación europea que no tardará) en llegar. Ahora hay certificaciones nacionales e internacionales que te permiten acreditar como empresa que los productos y servicios han sido certificados y eso tiene consecuencias positivas a la hora de afrontar un problema. Se puede demostrar que se ha tenido la diligencia debida para articular tu política de ciberseguridad.
Hay que darse cuenta que esta normativa tiene un detallado régimen sancionador bastante importante, donde se definen las sanciones por su importancia. La más grave puede generar multas de hasta el millón de euros.
¿Qué se debe hacer cuando se sufre un incidente de seguridad?
Lo más importante es contar con un protocolo bien establecido para saber lo que hay que hacer si se tiene un incidente. De hecho, los expertos hablan de que hay dos tipos de empresas las que ya tuvieron ciberataques y las que los sufrirán en el futuro
En este contexto las empresas deben disponer una política de ciberseguridad aprobada por la empresa con todos los requerimientos normativos ya establecidos. Eso permitirá mitigar o reducir la responsabilidad de la empresa ante estos daños surgidos.
Se trata sobre todo de minimizar ese impacto y reducir el coste reputacional que pueda generar dicha situación. Si no se tienen las obligaciones estudiadas de lo que se establece la norma en esta materia dicho coste reputacional puede elevarse.
¿Quién debe encargarse de hacer las notificaciones a nivel de ciberseguridad?
Para hablar de este tema debo volver al nuevo Reglamento de la Directiva NIS que está pendiente de aprobarse. Uno de los puntos principales define la figura del responsable de seguridad de información o CISO, que puede confluir con el DPO, en su articulo 7 define un completo Estatuto Jurídico de este profesional.
Se trata de encajar esta nueva figura dentro de la organización, de la empresa es este CISO el responsable de dichas notificaciones de ciberincidentes y se le dota de una relación directa con el Consejo de Administracion de la empresa. Es un personaje importante dentro de la organización.
¿Qué relación tiene con la figura del compliance officer?
El perfil del CISO es mas técnico frente a un perfil más jurídico del responsable de cumplimiento. Las empresas tendrán que ver como encajar las nuevas funciones del CISO y el compliance officer comunicarse con él de forma directa.
Cada profesional tiene su ámbito de actuación. AL propio CISO se le da la potestad de realizar auditorías periódicas dentro de la empresa, eso significa que tiene un papel importante dentro de cada compañía.
Hablaba antes de la suplantación de identidad, elemento que puede verse sometido una empresa u organización, ¿Cómo se gestiona esta cuestión?
En Europa hemos pasado ya del concepto de identificación digital al de verificación que es un paso más. El Reglamento EIDAS va en ese sentido.
Uno de los pilares del Programa Digital Europe 2021-2027, que supondrá una inversión de 9.200 millones de euros será el impulso al incremento a la ciberseguridad. Y una de las tareas principales en esta materia es precisamente reforzar los mecanismos de verificación digital.
El punto de inicio del fraude online consiste en que el que se supone que está al lado de la pantalla no es quien dice ser. Para afrontar esta problemática hace falta una acción normativa que las empresas deberán cumplir, y que sus sistemas de identificación sean los adecuados a sus necesidades.
En este sentido esos productos sería conveniente que contasen con alguna de las certificaciones disponibles. Incluso sería conveniente que se estableciese normativamente un mínimo estándar de certificación sobre estos sistemas que insisto son los más importantes para evitar el fraude online. La solución también vendrá de la mano de la tecnología mediante el desarrollo de herramientas de inteligencia artificial que posibiliten la verificación de identidad y en esa carrera España no se puede quedar atrás tal y como ya están haciendo algunas empresas como FoxId.
En Andersen estamos especialmente interesados en todo lo relacionada con la vertiente jurídica del fraude online y con los efectos jurídicos de todo lo relativo a la identidad digital o la verificación digital.
Da la sensación que el desarrollo de la ciberseguridad, al igual que el cumplimiento normativo requiere que las empresas crean también y apuesten por su cultura de ciberseguridad…
Es cierto, de hecho, esta normativa que hemos abordado en este encuentro en ASCOM habla de concienciar e implicar a la dirección de las empresas en esta materia. Deben entender que es prioritario, hoy por hoy, invertir en ciberseguridad.
Sin caer en el llamado ciberhisterismo hay que tener presente dicha realidad y apostar por tener políticas de ciberseguridad sólidas que nos ayuden a prevenir cualquier ataque que nuestra organización realiza y a mitigar las posibles responsabilidades derivadas de estos.
Insistiría en que en muchas ocasiones el problema se encuentra, como pasa en materia de compliance, en las pymes y en cómo pueden afrontar los costes añadidos de estas nuevas obligaciones.
En este sentido creo que las Administraciones públicas deberían promover acciones concretas para mediante esquemas de colaboración público-privados puedan afrontar este reto con apoyo suficiente.
Es muy importante que sepan que deben hacer si, por ejemplo, sufren un ataque de ransonware y les piden un rescate en bitcoins, de lo contrario incluso puede que tengan que cerrar su empresa., como de hecho ya ha ocurrido.
¿Qué se puede hacer para proteger a las pymes en materia de ciberseguridad?
En este terreno el papel del Instituto Nacional de Ciberseguridad (INCIBE) es clave. Animaría a que se saque el máximo provecho por parte de las pymes de los recursos de todo tipo que INCIBE tiene en su web, a disposición de empresas y ciudadanos. Desde productos de ciberseguridad hasta documentos como la Guía de Notificaciones que te permite saber cuando hay que notificar dicho incidente si hay un ciberataque.
También insistiría en la importancia de la ciberseguridad de los ayuntamientos especialmente de los más pequeños. Es fundamental ver la forma que las pymes se les ayuda en este terreno para que tengan sistema de ciberseguridad a la medida de sus dimensiones. Uno de los últimos ataques por ransonware lo sufrió el Ayuntamiento de Jerez de la Frontera.
A este respecto es también muy relevante los recursos y conocimiento que el CCN-CNI pone a disposición de las Administraciones Públicas. Hay que acercar a los ayuntamientos el conocimiento sobre el sistema normativo existente y también concienciarlas que deben hacer inversiones en la medida que puedan.