La ciberseguridad se convierte en clave para las organizaciones debido al nuevo marco regulatorio

Los especialistas en el campo de la ciberseguridad coincidieron en que esta es una actividad estratégica para las empresas y que hay que estar a punto para su impulso. El evento de ISMS Forum abordó la gobernanza de la seguridad y de las nuevas amenazas que provienen de las tecnologías de la Inteligencia Artificial. Como es ya habitual en los eventos de ISMS Forum, el foro se dividió en dos secciones alternativas. En la primera de ellas, los expertos abordaron las estrategias de ciberseguridad actuales y en la segunda, se trataron las tendencias del sector.

Uno de los campos que más interés suscitó fue el relacionado con la regulación jurídica de la ciberseguridad. En general, todos los expertos coincidieron en que la tecnología está avanzando a pasos agigantados con respecto la adecuación normativa. El debate ‘Cyber Security Compiance Framework’ suscitó gran interés, moderado por Carlos A. Saíz, vicepresidente de ISMS Forum, director del Data Privacy Institute y jefe de Privacidad, Riesgos y Cumplimiento de Ecix Group, contó con los expertos Olga Sánchez, GRC Security de CaixaBank, Josep Bardallo, director de TI, CISO & DPO del Grupo Recoletas, Patricia Chenlo, especialista en Cumplimiento y Manager en el Data Privacy de Repsol, y Xavier Vila, CISO de Validated ID.

Las organizaciones tienen que estar preparadas para la problemática que se avecina debido a la regulación del nuevo cuño como la directiva NIS2, el reglamento Dora, Directiva de Servicios Digitales o Eidas, un marco normativo importante. Esta regulación va a obligar a las empresas a trabajar de forma conjunta y aglutinar las áreas de Compliance, Ciberseguridad y Protección de Datos. Si bien Olga Sánchez, GRC Security de CaixaBank, destacó que “la banca ya es un sector que se ha preparado para la digitalización y está acostumbrado a la normativa regulatoria de alto impacto. Estas normas surgen porque todo el mundo quiere ser digital”.

En el caso de las empresas multinacionales el esfuerzo y adecuación a la normativa es aún mayor, desde Repsol, Patricia Chenlo señaló deben adaptarse a este nuevo entorno normativo: “Trabajaremos en el mapa de riesgos y en una buena respuesta a incidentes. Si bien es cierto que muchas normativas son semejantes, si las áreas están coordinadas, el trabajo es más rápido y fácil en cuanto a la respuesta de incidentes en las infraestructuras críticas.”

Otro de los puntos que se trataron en el debate es que, gracias al NIS2, el papel de los CISO va a ser aún más estratégico que los Compliance Officer o DPO. Así, Xavier ViLa reconoció que “tendremos que adaptarnos a este nuevo escenario legal donde habrá una mayor colaboración entre todos los departamentos de las empresas. Pocas áreas estancadas van a haber”.

A la hora de afrontar las tareas de cumplimiento, sería adecuado que cada organización cuente con un mapa de riesgos y unos objetivos de negocio. Olga Sánchez apuntó que “para hacer un buen marco normativo hay que saber para quién trabajas, tanto en tus propias áreas, como en el caso de los clientes y proveedores. Las empresas tienen que pensar cómo pueden crear un marco rápido y ágil, diseñar un mapa que sea escalable y multipaís.” Por su parte, Patricia Chenlo coincidió en apuntar que ”el mayor problema a la hora de aplicar la normativa es la división de países. En el caso de Repsol tenemos infinitos proveedores, con los que compartes mucha información y ello lo convierte en un riesgo y potencial de ataque.”

Ifigenia Lella, CyberSecurity Expert Operational Cooperation Unit en ENISA (Agencia de la Unión Europea para la Ciberseguridad) expuso en su conferencia ‘Threats Landscape’ las conclusiones más importantes de la décima edición del informe ‘ENISA Threat Lanscape’ y cuáles fueron las principales amenazas durante 2022. El Spyware, Phising, Adware, Ransomware, Supply, Chain Threat y Persistent malware, con una tendencia de esos ciberataques a incrementarse, fueron las ofensivas más destacables.