Si algo ha demostrado la pandemia del Covid-19 es que los estados han de replantearse qué es y no es estratégico para el funcionamiento de un país y de entidades como la UE. Nadie pensó en la importante que podía llegar a ser esa pequeña empresa especialista en la fabricación de respiradores para UCI pero sí se pensaba en lo importante que era ese gran hospital que los usaba, nadie pensó en esa pequeña empresa farmacéutica que podía ser capaz de fabricar un medicamento o una vacuna en caso necesario, o esa empresa industrial que era capaz de fabricar esa pequeña pero importantísima pieza para un equipamiento médico. Así se han dado muchos casos. El tejido productivo es imprescindible en situaciones de crisis y gran parte de las empresas que forman ese tejido o no era valorado como se merecía en cuanto a su criticidad, pero, para lo que nos merece aquí, no era observado en cuanto a la ciberseguridad en la implicación que repercute por esa responsabilidad.
A finales de enero, se publicó en el BOE el “Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información” y con su entrada en vigor el 28 de enero, las compañías afectadas deben llevar a cabo acciones de carácter inmediato en el ámbito de la ciberseguridad.
El Real Decreto se afecta a:
- Servicios esenciales (Servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas) dependientes de las redes y sistemas de información comprendidos en sectores estratégicos, según se definen en la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas.
- Servicios digitales (mercados en línea, motores de búsqueda y servicios de computación en nube).
Por tanto, estarán sometidos a este real decreto:
- Operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades, y los operadores residentes o domiciliados en otro Estado que ofrezcan los servicios a través de un establecimiento permanente situado en España.
- Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148
No se aplicándose a:
- Operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos (según la Ley 8/2011, de 28 de abril).
- Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, (según 2003/361/CE de la Comisión, de 6 de mayo de 2003.).
Las medidas que se deben adoptar conforme al nuevo Real Decreto son técnicas y de organización para gestionar los riesgos que afecten a la seguridad de las redes y sistemas formalizándose en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado.
La declaración de aplicabilidad debe remitirse a la autoridad competente (art 3 del Real Decreto 43/2021) en el plazo de seis meses desde su designación como operador de servicios esenciales, y revisándose, al menos, cada tres años-.Tanto la Declaración de Aplicabilidad de medidas de seguridad inicial, como sus sucesivas revisiones serán objeto de supervisión por la autoridad competente respectiva.
Respecto a las medidas a aplicar se toman como referencia las recogidas en el anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, sin perjuicio de lo anterior, podrán tenerse en cuenta otros estándares reconocidos internacionalmente.
Dichas políticas tendrán, como mínimo, los siguientes aspectos:
a) Análisis y gestión de riesgos.
b) Gestión de riesgos de terceros o proveedores.
c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
d) Gestión del personal y profesionalidad.
e) Adquisición de productos o servicios de seguridad.
f) Detección y gestión de incidentes.
g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.
h) Mejora continua.
i) Interconexión de sistemas.
j) Registro de la actividad de los usuarios.
En relación con el Responsable de la seguridad de la información (llamémosle Chief Information Security Officer o CISO) que debe nombrarse se indica que será una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT.
Para el supuesto de unidad u órgano colegiado hay designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad.
Hay que prestar especial atención a lo indicado en el punto 4 del art 7:
Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:
a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.
b) Contar con los recursos necesarios para el desarrollo de dichas funciones.
c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.
d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.
Todo ello viene a reforzar la propuesta de servicio que Internet Security Auditor ofrece desde hace tiempo del CISO-as-a-Service (CISOaaS), ya que contar con un CISO no es un capricho, es el objetivo que debe tener toda compañía hoy en día.
El CISO es el Director, Responsable o Gestor de Seguridad de la Información de la compañía, que suele contar con formación en ingeniería informática, de telecomunicaciones y experiencia en nuevas tecnologías y seguridad de la información, y cuya función principal es encargarse de la planificación, estrategia y gestión seguridad, continuidad de un negocio y de la respuesta a incidentes entre sus funciones, es decir alinear la seguridad de la información con los objetivos de negocio, para proteger la información de la empresa.
El problema es que no siempre puede ser viable o fácil, para la compañía integrar esta figura, la disponibilidad de los recursos económicos como la gestión de los recursos humanos puede dificultar la consecución de este objetivo.
Es por ello por lo que desde Internet Security Auditors se ofrece un modelo de CISO-as-a-Service (CISOaaS) cuya ventaja es dotar a compañías con recursos limitados o estrategias de seguridad en proceso de definición o maduración de un liderazgo de ciberseguridad basado, primero, en la experiencia de profesionales y, segundo, de un equipo que da el apoyo en este servicio a las necesidades que el negocio y el propio proceso genera.
Contacte con nosotros y le informaremos de la mejor opción para su empresa.
https://www.isecauditors.com/cisoaas
Autora: Carmen Areces
Gerente de Cuentas
