La transformación digital de una empresa, es la integración de las tecnologías de la Información y las comunicaciones en todas sus áreas, cambiando fundamentalmente la forma en que opera y brinda valor a sus clientes. También supone un cambio cultural que requiere que las organizaciones desafíen constantemente su forma de entender el uso y posesión de la tecnología.

La transformación digital puede implicar la reelaboración de los productos, procesos y estrategias dentro de la organización mediante el aprovechamiento de la tecnología digital.

Los dos párrafos anteriores corresponden a una de las muchas definiciones de ¿qué es la transformación digital?  En esa descripción, no aparece ninguna referencia a los riesgos tecnológicos y sin embargo la gran mayoría de los dirigentes de las empresas son conscientes que las ciber amenazas están y estarán presentes en esa eterna transformación.

Adicionalmente, la pandemia ha acelerado el Teletrabajo, la teleducación, la telemedicina y la administración electrónica (al menos la presentación y registro de trámites y documentación) y cómo no las oportunidades de los ciberdelincuentes. COVID-19 está comportándose como un catalizador de esa transformación digital, pero, ¿y la práctica de la Ciberseguridad también se está acelerando?.  La respuesta es sí y en muchos casos espoleada por las cada vez mayores obligaciones legales.

Como ejemplo de estas últimas, la Unión Europea recientemente ha puesto en información pública su intención de reformar dos Directivas que afectarán a un conjunto relevantes de empresas (y a su cadena de suministro). Estas dos, son la Directiva europea NIS (Directiva UE 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión) y la Directiva de infraestructuras críticas (Directiva sobre Infraestructuras Críticas Europeas del 2008).

Estos dos nuevos proyectos se conocen como NIS2 y CER (Resiliencia de las entidades críticas).

En la propuesta de la NIS2, se amplía el alcance de la actual NIS,  añadiendo nuevos sectores en función de su importancia para la economía y la sociedad; deja cierta flexibilidad a los Estados miembros para identificar entidades más pequeñas con un perfil de riesgo de seguridad elevado; elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales; y refuerza los requisitos de seguridad para las empresas e introduce disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos. Además, la Comisión propone abordar la seguridad de las cadenas de suministro y las relaciones con los proveedores. Para ello, exige a las empresas individuales que aborden los riesgos de ciberseguridad.

La Directiva NIS entró en el ordenamiento jurídico español de la mano del Real Decreto Ley 12/2018. En el mismo, se introducía la obligación del operador de designar y notificar a la autoridad de control un responsable de seguridad de la información (CISO, por sus siglas en inglés).

Recientemente se publicaba el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

A nadie se le escapa, que para que la práctica de la Ciberseguridad sea eficaz y se impulse en el seno de una compañía, se requiere de una Organización y de una dirección de la misma; de un responsable de ciberseguridad

En el Real Decreto 43/2021, en su Artículo 7 Responsable de la seguridad de la información, se establecen las funciones de dicho responsable (7.3), los requisitos que debe cumplir (7.4) y algunas de las compatibilidades que puede desempeñar (7.5).

Es relevante destacar que en el apartado 7.4.c se estipula que debe “ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección”, así como en el 7.4.d se indica que “debe mantener la debida independencia respecto de los responsables de las redes y los sistemas de información”.

Al hilo de estas obligaciones, en Julio del año pasado se constituyo el Foro Nacional de Ciberseguridad; el cual, se define en la Estrategia Nacional de Seguridad (2019), como el espacio de colaboración público-privada impulsado por el Consejo de Seguridad Nacional que tiene como objetivo ayudar al desarrollo de dicha estrategia.

Autelsi tiene el honor de estar entre la veintena de miembros con representación en dicho Foro. Las tres primeras líneas de trabajo están centradas en generar cultura de ciberseguridad, ofrecer apoyo a la Industria e I+D+i y una oportunidad para la formación y el talento en ciberseguridad. Precisamente, en este último grupo de trabajo se está actualmente trabajando en el esquema de certificación del Responsable de Seguridad de la Información.

Francisco Lázaro Anguís, CISO y DPO de Renfe. Presidente Grupo Seguridad AUTELSI