A comienzos de este año se publicó el RD 43/2021, relativo a la seguridad de las redes y sistemas de información. Una de sus principales aportaciones no es otra que la necesidad de la figura del responsable de la ciberseguridad de la información o RSI: el CISO. Es la primera vez que una figura de este estilo queda reflejada en una disposición legal, habiendo quedado relegada a normas o estándares privados como las ISO.

La mayor importancia que se proporciona a la figura del líder en las organizaciones está causada por la falta de respuesta desde muchas entidades a la necesidad imperante de contar con una estrategia de ciberseguridad personalizada. Figuras como el CISO, RSI etc. permiten que las soluciones que se proporcionen entiendan las verdaderas vulnerabilidades de la compañía, así como adecuarlas a las necesidades y objetivos de la organización. Por este motivo, aunque el RD 43/2021 esté limitado a las entidades y organizaciones que desarrollan servicios esenciales, sirve como guía para deducir cómo van a regular los legisladores esta materia

En definitiva, necesitamos un mayor compromiso de las organizaciones, en la medida que el líder no es únicamente el Responsable designado, o el CISO elegido. La figura del líder la conforman todos y cada uno de los responsables de la compañía, que debe dar ejemplo a sus empleados con el objeto de garantizar la seguridad de la información de la compañía, que depende, a su vez, de la prudencia de sus miembros.

La importancia en la seguridad digital de la información

La falta de previsión, de financiación, de concienciación, de responsabilidad, es lo que provoca, en última instancia, que las empresas y organizaciones estén sufriendo cada vez más ciberataques. Muchos de ellos serían fácilmente evitables con una proactividad mínima por parte de las entidades, puesto que gran parte de los problemas con la ciberdelincuencia vienen derivados de la falta de planificación para diseñar y gestionar los sistemas de seguridad que garantizan la integridad y disponibilidad de nuestra información. Todo ello a través de la adopción de medidas tanto técnicas como organizativas que estructuren el sistema de ciberseguridad de la organización, con sus responsables como guías y sus empleados como pilares de esa seguridad.

Y todo esto nos lleva a las consecuencias de esa falta de planificación, de liderazgo, en el seno de las organizaciones. ¿Quién asume las consecuencias o, mejor dicho, las negligencias de los responsables en el cuidado y vigilancia de la información y de los sistemas en los que se encuentra?

Por un lado, en las entidades privadas son los propios accionistas o empresas los que sufren la peor parte de las consecuencias de un ciberataque o una vulnerabilidad, en la medida que pierden sus activos de información. Es más, en muchas ocasiones tales pérdidas suponen el desembolso de ingentes cantidades pecuniarias que suponen el colapso total y absoluto de la compañía. Pero no se queda ahí. El daño reputacional, aunque indirectamente, también puede resultar en la desaparición de la compañía. Todo ello sin hablar del perjuicio que causan a los particulares, a las personas físicas o jurídicas, que tienen como clientes.

Y por otro, la falta de ese liderazgo en los organismos públicos conduce a que la sociedad sufra las consecuencias. Lo hemos vivido recientemente con el ciberataque al SEPE, sin ir más lejos.

¿Quiénes son los responsables de estos perjuicios?

Todo esto nos lleva a plantearnos la siguiente cuestión: ¿Quiénes son los responsables de estos perjuicios?. La respuesta ya la hemos leído: los líderes. Así lo indican las normas y estándares privados, como la ISO 27001, que establece que “la alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de seguridad de la información”. Por otro lado, el propio ENS recoge la importancia del líder en materia de ciberseguridad en la organización, en la medida que exige que las entidades afectadas nombren responsables específicos de seguridad de la información.

En conclusión, la integridad, seguridad y supervivencia de nuestras organizaciones dependen en gran medida de la figura del líder. De esa persona ausente actualmente en la mayoría de las organizaciones, que ni está, ni se le espera en muchas de ellas. Los ciberdelincuentes se aprovecharán, cada vez más, de esas debilidades existentes en las organizaciones para desmantelar las deficientes medidas de seguridad implantadas en muchas de ellas, accediendo a la información ahí contenida y poniendo en riesgo la confidencialidad e integridad de la información. La única solución es concienciar a los líderes en la importancia de la ciberseguridad, para desarrollar sistemas robustos que permitan hacer frente a las amenazas de la organización.

Oscar López, Director General UBT Legal & compliance. Presidente del Grupo de Regulación y del Observatorio de Privacidad y Derechos Digitales de AUTELSI