Noticias

Comienza el contenido principal

La ciberseguridad gana posiciones en la economía: Una de cada dos empresas la considera estratégica para su negocio

| Noticias | Derecho Procesal

Vicente Moret analiza la importancia de las iniciativas digitales que las compañías están adoptando

Las empresas han acelerado sus iniciativas digitales e impulsado las inversiones en ciberseguridad. Un 55% de esos dirigentes va a aumentar su presupuesto en ciberseguridad y otro 51% va a incrementar sus equipos. Al mismo tiempo un 50% afirma que la ciberseguridad y la privacidad están presentes en cada decisión o plan de negocio y un 72% espera fortalecer el área de ciberseguridad y reducir costes en la compañía.

Vicente Moret, Of Counsel de Andersen, tiene claro que la ciberseguridad ha venido para quedarse y que una de cada dos empresas trabaje a nivel digital no nos debe sorprender a nadie. Afirma que, las personas, la tecnología, los procesos y protocolos están íntimamente ligados en estas inversiones que hacen las empresas en ciberseguridad. “Son tres capas muy ligadas en esta actividad. El informe de Pwc pone énfasis en las personas y su papel en este escenario. La tecnología es relevante, pero más aún son las personas porque pueden ser el punto por el que recibamos ese ciberataque”.

Desde estas perspectivas “las empresas deben reforzar la formación a sus profesionales y crear marcos estables dentro de la organización interna. De hecho, hay un elemento nuevo. Un documento importante de la Comisión Europea que es el borrador de Reglamento que se va a aprobar sobre resiliencia en entidades financieras llamado Dora. En ese escenario se habla de un marco normativo para entidades financieras puede ser patrón común para otros sectores estratégicos que tienen que ver con ciberseguridad”.

En dicho documento, explica, “también se habla del elemento humano como clave para poder desarrollar unas políticas de ciberseguridad adecuadas. Lo hace desde el punto de vista de la gobernanza interna de la ciberseguridad de las organizaciones. No solo es el presupuesto sino que la organización debe estar preparado en este nuevo entorno propio”.

Moret también indica que “Dora lo que hace, en una primera parte del documento, es dar ideas de como gestionar esa organización interna de las empresas y habla de la responsabilidad de los Consejos de Administración como responsable final de la ciberseguridad”.

Otra cuestión que para Vicente Moret es importante es la centralización de la figura del CISO, responsable de ciberseguridad en las organizaciones. “Se convierte en un elemento clave en este marco regulatorio. Ahí se abre el debate si debe ser un profesional interno o externo. Si es una organización grande o tiene infraestructuras críticas, es mejor que la empresa tenga su propio CISO y esté en coordinación con el delegado de protección de datos de la firma. Ambos se reparten el área tecnológica y legal de la compañía”.

Moret también adelanta que en el borrador de reglamento español que está pendiente de aprobar para la trasposición de la directiva NIS, “el CISO se convierte en alguien tan relevante que puede hacer auditorías internas de la organización, que se recomienda que esté separado del sector IT de la propia empresa y se dice en el artículo 7 que tendrá comunicación directa con el Consejo de Administración. Es un cambio importante en cuanto a la gobernanza de ciberseguridad de las empresas”.

En cuanto a los procesos, Moret avanza que la propia Dora “lo que hace con el sector financiero es marcar tres prioridades, en primer lugar, crear procedimientos de notificación de ciberincidentes claros. Otra cuestión que señala es el control de los terceros suministradores, muy relacionado con la nube. Se trata de negociar bien esos contratos y que la entidad financiera pueda incluir condiciones exigibles desde el propio Reglamento europeo”.

De esta regulación, “otro elemento importante es la obligación de que las empresas realicen auditorías y test de penetración cada cierto tiempo con empresas certificadas. Se trata de testar con empresas de confianza que debilidades tiene la empresa. Al final, es previsible que una entidad como ENISA (Agencia Europea de Ciberseguridad) desarrolle unos estándares que permita certificar empresas y desarrollar estándares normativos similares a las normas ISO”.

Vicente Moret considera que al final las empresas dirigen sus inversiones en ciberseguridad en las tres capas antes citadas: personas, procedimientos y tecnologías. “El papel de la formación es importante. En el borrador de Dora habrá un miembro del Consejo de Administración que se especialice en estos temas de ciberseguridad. Se exige que ese miembro tenga la formación adecuada para gestionar los temas clave con el CISO a nivel de empresa. Habrá que ver como queda el borrador final”.

Puede ver el artículo completo en el Confilegal

Fin del contenido principal