Tu ego extiende cheques que tu cuerpo no puede pagar (Top Gun, 1986)

En 1986, año de Top Gun, se aprobaba en EEUU la que se considera la primera Ley de Ciberseguridad: la Ley de Fraude y Abuso Informático (o por sus siglas en inglés CFAA). Tres años más tarde, coincidiendo con el estreno de Matrix, circuló el primer ransomware de la historia, el cual llegó a ordenadores de 90 países…vía correo postal.

La frase del título de este artículo que se pronuncia en Top Gun refleja como ninguna otra la sensación que tenemos muchos responsables de seguridad de la información (CISO, RSI, RSEG, entre otras denominaciones) de la diferencia que existe entre el grado de responsabilidad y dedicación que entendemos debemos tener, y tenemos en realidad, frente a las garantías que nos otorgan como soporte el desempeño de la función. La frase de Matrix, «Hay una gran diferencia entre conocer el camino y andar el camino (Matrix,1989)», expone, desgraciadamente, las dudas del legislador del proyecto de Real Decreto Ley que desarrolla el Esquema Nacional de Seguridad (PRD ENS en adelante) a la hora de definir expresamente esas funciones y esas garantías.

Papel de los CISOS según PRD ENS

Los responsables de seguridad de la información (CISOs, en adelante) creemos en nuestra función en materia de ciberseguridad, muy similar a la que el Delegado de Protección de Datos desempeña en su ámbito; sin embargo, redacciones como la del PRD del ENS nos recuerdan que, en la mayoría de los casos, aún no tenemos “cuerpo” para desempeñarla. Asimismo, los organismos involucrados en el PRD del ENS conocen el camino para que quién ejerce la práctica de la seguridad tenga el músculo y la voz que necesitan para alcanzar los objetivos que establecen el propio ENS a sus entidades, pero probablemente no echan a andar por esa ruta bien porque consideran al responsable de seguridad un actor secundario, muy por detrás del Comité de seguridad o bien por las consecuencias indirectas que pueden acarrear concretar un cierto grado de posición e independencia para el CISO.

Es probable que esos temores respondan a dos motivos relacionados:

Económico: Por no querer que se les señale como impulsores de reclasificaciones de puestos del personal, equiparando la responsabilidad real del empleado público que ejerza como CISO con su retribución.
Organizativo: En cuanto al segundo motivo de la desconfianza del legislador, se corresponde con el temor de que, al mencionar, siquiera ambiguamente la posición necesaria para que CISO reporte a la Alta dirección, junto con la mención de que tenga la independencia necesaria del área de sistemas, se les señale como los responsables de modificaciones de organigramas jerárquicos y, cómo no, de reclasificaciones (nuevamente), así como de afectar a pequeñas corporaciones dónde por su volumen de personal esa segregación de seguridad de sistemas no sería posible.

Importancia de la figura de un CISO en las empresas

Paralelamente a la intensidad, frecuencia y gravedad de los Ciber-incidentes que se producen y que saltan a la palestra a través los medios públicos de comunicación, ha ido creciendo en las empresas la necesidad de disponer de un CISO que lidere la práctica de la ciberseguridad. A ello ha contribuido también el RD 43/2021[1] (apartados 7.3 y 7.4 del mismo), que asigna a los CISOs unas claras responsabilidades y les otorga unas garantías para el desempeño de sus funciones (medios, posición e independencia). En contraposición, el PRD del ENS no se alinea en absoluto con el RD 43/2021 en estas cuestiones.

Ambos factores; es decir, la necesidad y la regulación de la figura en el RD 43/2021, nos han hecho a los CISOs valorar en exceso la importancia de nuestra función y valía. En cambio, el PRD del ENS nos lo deja claro que no somos tan importantes como creemos, pues despacha esta función en el texto con cinco menciones al responsable de seguridad y en dos exiguas líneas de funciones lo que se espera de él. Por supuesto, cualquier parecido entre esas sucintas referencias y la función real del CISO es pura coincidencia.

El RD 43/2021 le otorga unas funciones y unas garantías en relación la independencia que ha de ir asociada al cargo. El citado RD aplica a operadores esenciales, los cuales en su mayoría son del sector privado (aunque no sólo del sector privado). Por otro lado, ya hemos dicho que el PRD del ENS, centrado en las administraciones publicas (aunque por su disposición adicional tercera, no sólo en ellas) recoge en el mismo de una forma muy vaga la figura del Responsable de Seguridad, mientras que no dice nada respecto a las garantías para su función, incluso no se menciona expresamente la pertenencia del CISO al Comité de seguridad. Este desequilibrio en las obligaciones entre ambas legislaciones según sea el responsable de seguridad del sector privado o del público, son incomprensibles.

Dificultades de las empresas en materia de ciberseguridad

Finalmente, aunque sea obvio, hay que mencionar que algunas dificultades que afectan especialmente a las pequeñas entidades, como la complejidad de segregar las funciones de seguridad entre distintos profesionales, podrían salvarse a través de una adecuada técnica legislativa, que establezca excepciones por razón del tamaño del organismo.

En definitiva, frente a las garantías que explícitamente se dan en el RD 43/2021 (funciones, medios, posición suficiente e independencia para el Responsable de Seguridad de la Información) es necesario llamar la atención sobre la carencia que en el texto del PRD que desarrolla el ENS hay sobre estas cuestiones. No darle una redacción similar en el PRD del ENS a la figura del responsable de Seguridad es injusto tanto para los Responsables de la Seguridad de la Información, como para las empresas bajo el alcance del RD 43/2021 a los que si se les obliga. Este trato desigual, sería incongruente y contradictorio para aquellas entidades que simultáneamente están en bajo el alcance subjetivo, tanto del Esquema Nacional de Seguridad como del RD 12/2018. Se está a tiempo de modificar el PRD del ENS dándole alineamiento legislativo y apoyando al Responsable de Seguridad de la Información.

[1] RD 43/2021 de por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, el cual traslada al ordenamiento nacional la actual Directiva Europea NIS)

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi

2 Comentarios

Carlos 28 de abril de 2022 en 14:33 - Responder

Jamás pensé que buscando una cita de TopGun, iba a llegar a un artículo sobre la necesidad de un CISO en una empresa.

Interesante artículo.
- AutelsInsights 3 de mayo de 2022 en 12:17
  
  Gracias!! Ese era el objetivo, que encontréis de interés nuestros artículo y sorprenderos con el contenido.

Tu ego extiende cheques que tu cuerpo no puede pagar (Top Gun, 1986)

Papel de los CISOS según PRD ENS

Importancia de la figura de un CISO en las empresas

Dificultades de las empresas en materia de ciberseguridad

Compartir

Artículos relacionados

¿Qué es lo realmente importante en Ciberseguridad?

El reto de la Seguridad Total: Un Enfoque Integral

La cyberseguridad de pymes, micropymes y autónomos

Innovación española en el mayor congreso de ciberseguridad

Depende… ¿o no?

El papel de las startups frente a los nuevos retos de la Ciberseguridad

2 Comentarios

Deja tu comentario Cancelar la respuesta