¿Sabías que diariamente se producen a nivel mundial más de 400 mil ciberataques? ¿Que se han registrado pérdidas económicas billonarias y que la previsión es aún mayor? Las cifras impresionan y es que a medida que la tecnología avanza, podemos ser más vulnerables si no gestionamos adecuadamente estos riesgos. Frente al crecimiento desmedido de la gravedad de las ciberamenazas, la ciberseguridad es imprescindible.
La velocidad de la transformación digital y la interconexión de la sociedad en este contexto de revolución digital e inteligencia artificial, revelan que la información se convierte en principal activo a proteger de los riesgos que puedan afectar su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. La ciberseguridad resulta uno de los focos de gestión de riesgos más importantes para la gobernanza e integridad de las empresas, sus empleados y sus clientes.
Dentro de este gran desafío de reducir las amenazas sobre los sistemas de redes y de información, la Unión Europea ha publicado la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad – Directiva NIS2, cuya transposición a la normativa española deberá ocurrir antes del 17 de octubre de 2024. Esta Directiva que afecta a sectores esenciales, aplica indirectamente a los proveedores de toda su cadena de suministro y será un referente para todos los demás sectores sobre las políticas, procedimientos, gobernanza y medidas técnicas y organizativas de gestión de riesgos de ciberseguridad y notificación a las autoridades competentes.
En este nuevo contexto normativo y atendiendo el alto impacto y riesgo que supone la seguridad de la información, la Alta Dirección o cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en dicha entidad esencial con funciones de dirección, tienen la responsabilidad de velar por el cumplimiento de esta Directiva, fomentando una cultura organizacional más consciente y comprometida con la ciberseguridad. La seguridad de la información se convierte en una responsabilidad no solo del equipo de tecnología o de seguridad de la información, sino además, del equipo directivo, junto con el acompañamiento de Legal y Cumplimiento, trascendiendo al compromiso en toda la organización.
Las principales obligaciones recogidas en la Directiva NIS2 son:
- Desarrollar políticas y procedimientos para evaluar la eficiencia de la gestión de riesgo de ciberseguridad. Políticas de seguridad de la información, clasificación de la información, medidas y procedimientos de cifrado.
- Establecer controles de supervisión sobre la adquisición de tecnologías y servicios de desarrollo y mantenimiento de redes y sistemas de información seguros.
- Contar con soluciones de autenticación multifactor, comunicaciones y sistemas seguros para las comunicaciones de emergencia.
- Prestar la diligencia debida en supervisar la cadena de suministro, la relación entidad-proveedor con el cumplimiento de las medidas de ciberseguridad. La seguridad de la información de una entidad puede estar fuertemente condicionada por la seguridad que adoptan sus proveedores, por lo que es fundamental evaluar el riesgo de los proveedores. Aquí, la colaboración del área de Compras es fundamental.
- Velar por la seguridad de las personas, el control de acceso y la gestión de activos.
- Tener definido un protocolo de actuación ante incidentes de seguridad que garantice el cumplimiento de notificación obligatoria a las autoridades dentro de los plazos previstos, incluso de potenciales brechas.
- Disponer de planes de continuidad de las actividades de la organización, desde la gestión de copias de seguridad, a la recuperación ante catástrofes y la gestión de crisis hasta el restablecimiento de sus actividades.
- Formar a todos los empleados y, concretamente, a la alta dirección en materia de ciberseguridad, para concientizar y prevenir las amenazas y comprender cómo éstas afectan a la empresa a nivel estratégico, financiero, social y reputacional.
- Realizar una serie de medidas de prevención que incluyen la realización de simulacros y pruebas que permitan poner en práctica lo establecido y verificar la eficacia en la respuesta.
La Directiva propone un régimen sancionador económico y penal bastante severo por incumplimiento de estas obligaciones, imponiendo multas cuantiosas y con responsabilidad directa a los altos directivos, y prohibiendo temporalmente el ejercicio de cargos de alta dirección.
Es esencial detectar las ciberamenazas con rapidez para reaccionar de forma adecuada y en esto, el uso de la inteligencia artificial es muy útil. Un dato que resulta de interés es la reciente publicación por parte de la Comisión Europea de una serie de nuevas convocatorias de propuestas para el programa Europa Digital. Se dispone de un presupuesto específico de 84 millones EUR para actividades de apoyo a los centros de operaciones de seguridad con nuevas aplicaciones de la IA y otras tecnologías facilitadoras, para la aplicación de la legislación de la UE en materia de ciberseguridad. La convocatoria de candidaturas se abrió el 16 de enero de 2024 y el plazo de presentación de candidaturas finalizará el 26 de marzo de 2024.
Ante la exposición a una gran cantidad de ciberataques y amenazas, las obligaciones exigidas en el ámbito normativo y social y sus consecuencias, resulta ventajoso crear en las organizaciones comités específicos de ciberseguridad, integrados no solo por expertos técnicos y de seguridad de la información, sino también por equipos jurídicos especializados. Esta composición mixta entre lo técnico y lo legal permite enfrentar los retos desde perspectivas complementarias, asegurando un entendimiento completo de los aspectos técnicos de seguridad y legales relacionados con la ciberseguridad. Mejora la capacidad de respuesta ante situaciones de crisis por un ciberataque, el desarrollo y aprobación de políticas y decisiones estratégicas en esta materia. Cada día cobra más importancia la función legal en materia de ciberseguridad y el acompañamiento al equipo de seguridad de la información y a la alta dirección, en estos importantes desafíos.