Ciber-regulación , palabra compuesta por dos temas tan en boga, serios y complejos. El Ecosistema Digital dónde ofrecemos y disfrutamos de los Servicios y de la Información y Datos, la primera pregunta que nos hacemos es: ¿Si el Tejido Empresarial Público y Privado está “Preparado para Responder” a estos retos?, ¿Es capaz de ofrecer Servicios Ciber-Seguros y Ciber-Resilientes que cumplan las Mejores Prácticas y Estándares y la Regulación/Legislación?, la cual ha multiplicado en el siglo XXI, desde aquel RD 994/1999 (Protección de Datos), revulsivo para empezar a replantear las Medidas de Seguridad y Auditoria en las Organizaciones en Seguridad de la Información y los Datos.
Entonces no teníamos ni estándares UNE o ISO en temas Ciberseguridad como hoy en día la familia ISO27001, ni ENS/ENI (Esquemas Nacionales de Seguridad o Interoperabilidad), ni Directivas Europeas de Infraestructuras Críticas o NIS, ni normas sectoriales como hoy pueda ser DORA en el Sector Financiero o PCI/DSS en el Mundo de las Tarjetas y Marcas, 5G en las Comunicaciones. Mucho menos Sistemas de Evaluación y Rating en Ciberseguridad. Palabras como PHISHING y FRAUDE ONLINE aún no estaban integradas en nuestro día a día, ni mucho menos el DDoS (Distributed Denial of Service) o el Ransonware, ni la IA, el Maching Learning, Cuántica, Dronótica, Robótica, IOT (Internet of Things), etc. Y sobre todo ello hay o habrá regulación.
Aun así, fue y es un reto cumplir con Privacidad y Medidas de Seguridad, que se instauraban para todo tipo de Empresas Grandes, Medianas o Pymes pero que, al fin y al cabo, ayudaron a saber el QUÉ cumplir y poco a poco, el CÓMO ir haciéndolo junto con la Doctrina de la AEPD.
Principales Retos de las empresas públicas y privadas
Uno de los principales RETOS que hoy cualquier Empresa, Organización, Pyme o Autónomo que intervenga en el Tratamiento de Datos, en la Cadena de Suministro de la Prestación de un Servicio y por su propia Resiliencia y la de sus Datos (uno de sus activos más valiosos), es que tiene ante sí un amplio, diría que demasiado holgado espectro de Estándares, Regulaciones, Legislaciones que cumplir que, además van aumentando y cambiando cada pocos años, antes los cambios eran más lentos.
Se requiere mayor especialización, conocimiento y talento para poder enfrentarse al COMPLIANCE REGULATORIO, mayor coste a asumir, no hay ayudas o rebaja de impuestos fiscales normalmente, sobre todo, una falta clara de armonización regulatoria y legislativa, incluso existen disfunciones en el Ciclo de Vida de la Emisión Regulatoria y Legislativa entre diferentes Órganos Europeos y Nacionales, en la propia regulación, en la Terminología, en las posibles Sanciones en los Países Miembros y otras cuestiones que hacen poco viable cumplir en plazo, en forma y la seguridad de estar haciéndolo bien. Además de fomentar un Marco Global de Cumplimiento.
Por ello, consideramos esencial hacerlo más sencillo y viable de cumplir, MORE EASY, estar “Preparados para Responder”, realmente lo importante ante un suceso, evento, incidente. El reto es grande para la Sociedad Digital, lo primero es generar la CULTURA necesaria sobre lo DIGITAL, sus RIESGOS, sus IMPACTOS y CONSECUENCIAS a todos desde el ámbito Político y de Gobierno o Legislador, hasta el ámbito más de Gestión de los Sistemas de Control a implantar o aquellos otros que los Operan y en la propia Ciudadanía y Clientela. Porque nada como sintonizar y entender lo que sucede para ser conscientes y poder atajarlo juntos en máxima cooperación y colaboración efectiva.
¿Cómo abordad una estrategia de cooperación y trasformación regulatoria?
Por tanto, hay que abordar una Estrategia de Cooperación y Transformación Regulatoria que ayude a adoptar el Cumplimiento CIBER a todos y que realmente fomente en Europa y en España que nuestros Servicios, Infraestructuras y Datos son Ciber-Resilientes, Fiables y Confiables.
Citar el gran trabajo que España desde la Cooperación Público/Privada, en su Foro Nacional de Ciberseguridad, está apostando constituyendo en 2021 un Grupo de Regulación como EXPERIENCIA PILOTO en el estudio de cómo podemos mejorar la Regulación y su adopción. También AUTELSI en su Comisión de Regulación trabaja en Estudios sobre diversos temas colaborando, por ejemplo, con la AEPD.
Los Retos y Desafíos están, comienza a existir iniciativas de apuesta clara por ello, Regulación, Legislación y Estándares hay de sobra, incluso ya Sistemas de Rating que ayudan a mejor cumplir y demostrar el cumplimiento de toda la Cadena de Suministro – Proyecto PINAKES del Sector Financiero lanzado por CCI (Centro Cooperación Interbancaria) – y todos los trabajos que ya ha avanzado el Foro Nacional de Ciberseguridad, el disponer de revisiones del ENS recientes o de los estándares como ISO27001 y un Plan Nacional de Ciberseguridad con dotación presupuestaria o la nueva y aprobada NIS2 en Ciberseguridad.
Lo importante, al crear Regulación y Estándares es ser empáticos con quien ha de aplicarlos, cumplirlos, supervisarlos y que estén harmonizados con el resto, pensando en aspectos como: PARA QUÉ (preámbulos claros y sencillos), QUÉ (concreción y extensión adecuada y no excesiva, coherente con lo existente y en ciernes), QUIÉN ha de cumplir (Sujetos Obligados concisos y en que situaciones), CUANDO (Plazo Homogéneo en lo posible), CÓMO (Orientar y ver posible convalidar otros estándares, ratings, certificaciones ya implantados), sin olvidar incluir Terminología, Órganos Reguladores y de Supervisión, Sanciones… “SMART REGULATION”
En definitiva, hacer un Proceso y Marco Regulatorio sencillo, homogéneo y fácil de adoptar con costes acotados y que nos hagan más competitivos y dinámicos, por ende, más Ciber-Resilientes. Que trabajemos para el Negocio y menos para la Regulación, eso sí cumpliendo siempre. “Sumar esfuerzos, Multiplica ganancias”.
Todo ello dentro y alineado con la Estrategia de Resiliencia Organizacional y Social Sostenible ROSS 3.0 y alineada en todo lo posible con los 17 ODS (Objetivos de Desarrollo Sostenible). Sobre todo, a que sea viable mantener una respetuosa para con TODOS.
Pedro Pablo López Bernal, Presidente Continuam, miembro Grupo Regulación Autelsi y miembro del Observatorio Autelsi de Privacidad y Derechos Digitales
Deja tu comentario