redseguridad 077

seguridad integral

monográfico

opinión

y en el preámbulo de dicha norma se indica: “Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior”. La Directiva NIS fomenta el desa- rrollo de una estructura de cola- boración entre los países, con la creación de grupos de cooperación entre autoridades competentes y los centros de notificación de inciden- tes a nivel de cada país (CSIRT). Además, se centra especialmente en establecer requisitos en materia de seguridad y notificación de inciden- tes en lo que denomina operadores de servicios esenciales y proveedo- res de servicios digitales, nominando sectores específicos como Energía, Transporte, Banca, Infraestructuras Mercados Financieros, Sanidad, Agua, Infraestructuras Digitales y ser- vicios como mercado en línea, moto- res de búsqueda y servicios ‘cloud’. La selección de las empresas y organismos considerados como ope- radores de servicios esenciales será

realizada por la autoridad competente que se defina en cada Estado y existe un plazo hasta el 9 de noviembre de 2018 para dicha selección. Otra fecha importante es el 10 de mayo de 2018, cuando se deben tener aplicadas todas las medidas a nivel de adminis- traciones públicas y empresas. Es necesario destacar que la Directiva NIS tiene bastantes parale- lismos con la Ley de Infraestructuras Críticas y que de alguna manera esta última se verá afectará en la transpo- sición. De hecho, algunas de las com- pañías ya designadas como operador crítico podrán ser nominadas como operador de servicios esenciales en el marco de la Directiva NIS. Por resumir, el RGPD afectará a todas las empresas y la Directiva NIS solo afectará las empresas y organiza- ciones nominadas como operadores esenciales. Si bien, de cara a afrontar su adaptación, sí existen planes y tareas comunes a acometer como: ? Análisis de la situación actual desde el punto de vista de organización, responsabilidades y procesos y grado de adaptación a las exigen- cias de las directivas y normativa. ? Análisis del grado de cobertura de las infraestructuras y servicios TIC a las exigencias de cambio de la organización y los procesos de negocio. ? Plan y presupuesto de dotaciones (recursos humanos, infraestructu- ras TIC, comunicación…). ? Plan de Gestión del Cambio. ? Ejecución planes de adaptación. En cuanto a aspectos específicos de infraestructuras y servicios TIC, las tecnologías que pueden ser aplicadas son muy variadas, si bien hay una necesidad común, que es dotarse de la seguridad idónea en los com- ponentes y canales más críticos de los procesos de negocio y prestación de servicio. De este modo, se hace necesario especificar el puesto de trabajo y la red (intranet/extranet), ya que es patente que muchas de las brechas de seguridad se inician por dichos componentes. Aún más, en el contexto actual de incremento de los

ciberataques a empresas y organis- mos, ya sea por puro negocio para los ciberdelincuentes u otro tipo de intereses más difusos. Soporte de un ‘partner’ En este entorno cada vez más complejo es interesante valorar el colaborar con un proveedor externo. Las oportunida- des de ayuda y colaboración por parte de los proveedores TIC a las empresas y organizaciones en sus procesos de adaptación a las diferentes normativas europeas van a ser numerosas y con servicios y tecnologías muy variadas: servicios de consultoría, auditoría, ser- vicios de datacenter , servicios disaster recovery y BRS, desarrollos a medida, productos y soluciones on-premise y cloud . En el ámbito de servicios y pro- ductos o soluciones de seguridad vin- culados de manera específica al RGPD, cabe destacar los sistemas de gestión y acreditación de consentimiento; y los sistemas de cifrado y anonimización/ seudonimización de datos. Y además, de manera horizontal, existe la necesidad de disponer de una buena solución de protección del puesto de trabajo, que es el elemento más próximo a los usuarios de los sistemas de información y el eslabón más débil en cuanto a potencial fuga de datos y ciberataques. Hablando del sector de proveedo- res TIC en España, considero que tenemos un ecosistema muy variado y amplio capaz de cubrir las posibles demandas que surjan para ayudar a las empresas a su adaptación a las nuevas normas europeas. Aunque pueda haber oportunidades nuevas muy de nicho, el factor innovación y confianza partner tecnológico pesará en la decisión de las empresas de contar con unos o con otros. En resumen, nos movemos en un entorno cada vez más complejo y exi- gente por las demandas de los regula- dores. La colaboración con un tercero dará a las empresas acceso a un conocimiento y una experiencia que les permitirán adaptarse a la normativa y, además, aprovechar para asegurar un elemento clave del negocio como son los datos.

especial

40 red seguridad segundo trimestre 2017