La figura del CISO ya es obligatoria por ley

La nueva ley de seguridad obliga a la Administración y las grandes empresas y exime de momento a las pymes y también abre grandes oportunidades al canal

Publicado el 16 Feb 2021

ciberseguridad

El pasado mes de enero se publicó el real decreto que desarrolla la ley de seguridad de las redes y sistemas de información cuya aplicación implica la obligación a las empresas implicadas de tener un responsable de seguridad. De momento la nueva norma afecta directamente a las grandes empresas y a la Administración, pero todavía no afecta a las pymes. Esta aprobación abre un nuevo escenario de negocio para los partners especializados en el negocio de ciberseguridad y entre los que se incluyen las figuras de mayoristas, proveedores de servicios gestionados de seguridad (MSS) y partners cloud nativos.

Para explicar la importancia de la nueva normativa, Isaca Madrid celebró un webinar con la presencia de 1.600 inscritos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

La gran expectación se debe a que esta norma supone un antes y un después en el marco regulador de la ciberseguridad. Entre otras novedades introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con responsabilidad legal ante la autoridad reguladora. Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.

Entre las empresas que se verán directamente afectadas por la aplicación de esta norma destacan las que gestionan agua, energía, financieras, administraciones públicas, alimentación y salud. Otra categoría son los operadores implicados en Defensa Nacional, con obligaciones específicas de obligación legal. La norma establece la obligatoriedad de tener una política de seguridad, una política de gestión de terceros suministradores para controlar el riesgo, de contar con planes de recuperación, la obligación de comunicar incidentes y la declaración de aplicabilidad, (que indica a qué se compromete frente a la administración).

Entre las funciones que deben tener los nuevos CISO se le atribuyen la de proponer las políticas de seguridad, gestionar normas y riesgos, desarrollar y aplicar esas políticas, remitir información a la Administración, ser capacitador dentro de la organización y ser quien asume la responsabilidad y el compromiso. “Puede ser una persona o un grupo, aunque debe siempre figurar una persona física. Se le exigen muchos conocimientos especializados organizativos, técnicos y jurídicos. Así, se le coloca muy alto en la escala dentro de la empresa u organización, independiente del área de Sistemas y con capacidad para hacer auditorías”, explico Monet.

Aspectos claves de la nueva ley

  • Impacto de la norma

Estaa regulación impactará en todas las empresas dependiendo del nivel de madurez de las mismas en materia de ciberseguridad, que supondría una aceleracíón de la implantación, una apertura de un abanico de servicios de empresas, además de en la Administración Pública, y una segura subida de salario de los CISOS.

  • Quiénes estarán afectados

Aludieron al listado de operadores de infraestructuras críticas, que por razones de seguridad no se hace pública, operadores de servicios esenciales y proveedores de servicios digitales. También las pequeñas y medianas empresas, porque necesitan hacer frente a riesgos de ciberseguridad que les afectan, como el ramsomwere o porque son terceros proveedores.

  • Servicios esenciales

En España están notificados a la UE 132 proveedores esenciales y 55 servicios esenciales definidos. En Finlandia cuentan con un listado de 100.000 organizaciones afectadas por la legislación, puesto que han incluido a todos los servicios de salud. “Aquí nos hace falta cultura en ese sentido. Hay más de 90.000 pymes en España que no tienen obligación legal, pero les afecta una cuestión de concienciación, ya que las amenazas se materializan todos los días.

  • Espaldarazo definitivo para los servicios de la seguridad de la información

La Ley va a ser un catalizador y se va a reconocer la importancia de la ciberseguridad. Lo básico se venía haciendo, aunque en general la alta dirección no tenía esta sensibilidad. Ahora hay un marco jurídico que amparan estos riesgos que se tenían sobre la mesa.

  • Perfil del responsable de seguridad de la información

La ley ya establece cuáles son sus habilidades y parece que debe ser un perfil relativamente alejado de la tecnología, pero que sepa establecer y gestionar los controles que se deben aplicar. No tiene por qué ser un experto en análisis de vulnerabilidades, pero debe tener conocimientos mínimos de ciberseguridad.

  • Seguros de ciberseguridad

Hay empresas de seguros que se están retirando del negocio de la ciberseguridad, otras suben la prima y otras aumentan las exigencias para establecer la póliza ante los ataques que se están produciendo y el menor margen de negocio que les queda.

  • Pymes

No están afectadas por el RD. Se verán obligadas a aplicar la ley si son terceros y proveedores de las empresas afectadas. Se está batallando en Europa por su inclusión dentro de la directiva NIS en el caso de los proveedores de Software y Hardware.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados