Regulación Ciber

By: Cobser Consulting Encendido: octubre 13, 2020 In: Artículo Comments: 0

Krysthiam Díaz Ayasta
Especialista en Continuidad de Negocio en Cobser Consulting.

Mis inicios en Continuidad de Negocio me llevan al año 2007. Desde que me inicié en esta disciplina, siempre mantuve una relación cercana con la disciplina de Seguridad de Información. Es más, solía pensar que la Continuidad de Negocio representaba una parte acotada del ámbito que cubre la Seguridad de Información.

Con el pasar de los años, y gracias a la posibilidad de participar en muchos proyectos de Continuidad de Negocio, esa idea inicial desapareció por completo. La Continuidad no es una parte acotada simplemente, sino que representa una disciplina con músculo suficiente como para justificar la definición e implantación de un Sistemas Gestión certificable (ISO 22301: 2019).

Es en el año 2015 cuando, como parte de una evaluación de riesgos de continuidad (parte de los procesos a realizar durante la implantación de un Sistema de Gestión o Programa de Continuidad de Negocio), revisé el reporte que suele publicar BCI (The Business Continuity Institute) respecto a las amenazas más relevantes que se identifican para el futuro (ver Horizon Scan 2015: Survey Report para mayor detalle). En dicho reporte se indicaba que las ciber amenazas ocupaban, por primera vez, la cima dentro de las amenazas que generaban mayor preocupación.

Desde aquella vez hasta la fecha, la evolución que han sufrido dichas ciber amenazas ha sido exponencial, tanto es así que dentro de muchas organizaciones se habla más de Ciberseguridad que de Seguridad de Información.

 

Si hacemos una búsqueda en España de ambos términos, y los comparamos, creo que nos podemos hacer una idea de cómo la Ciberseguridad ha ganado un espacio específico en la agenda de todos los Comités Directivos de las diferentes organizaciones.

Dicho crecimiento ha generado que haya también mayor demanda de herramientas, marcos de trabajo, e inclusive legislación, que permita no sólo a las organizaciones privadas, sino también a las instituciones públicas, entender y gestionar las ciber amenazas presentes en su entorno.

En respuesta a dicha demanda, e identificando la importancia que tiene asegurar la ciberseguridad de la infraestructura crítica de un país, se elabora un marco de trabajo en Estados Unidos. Dicho marco de trabajo, conocido como Framework for improving Critical Infrastructure Cybersecurity[1], fue elaborado por el NIST (National Institute of Standards and Technology), con el fin de brindar una guía voluntaria basada en diferentes estándares, guías y buenas prácticas existentes[2], que permita que las organizaciones e instituciones públicas gestionen de mejor forma y reduzcan los riesgos de ciberseguridad.

Si volvemos al ámbito local, es INCIBE – Instituto Nacional de Ciberseguridad[3], una de las instituciones más avocadas al desarrollo de una cultura de ciberseguridad, la cual pone a disposición de todos infografías, recursos, guías y kits de aprendizaje; además de colaborar de manera directa con el Gobierno en la elaboración de reglamentos y normativas relacionadas.

Este año, en septiembre, se ha publicado a través del Boletín Oficial del Estado (BOE) la última actualización del Código de Derecho de la Ciberseguridad[4], documento que busca compilar toda la legislación española que afecte a la ciberseguridad, con el objeto de mejorar el conocimiento y facilitar la aplicación de una normativa que afecta a una materia tan cambiante en el tiempo.

El documento mencionado cubre aspectos asociados a los diversos marcos normativos existentes en el país:

  • Normativa de Seguridad Nacional
  • Infraestructuras Críticas
  • Normativa de Seguridad
  • Equipo de Respuesta a Incidentes de Seguridad
  • Telecomunicaciones y Usuarios
  • Ciberdelincuencia
  • Protección de Datos
  • Relaciones con la Administración

Vale indicar que la ciberseguridad se ha convertido en un objetivo prioritario en las agendas de los gobiernos, buscando no sólo asegurar la seguridad nacional, sino también brindar a sus países un ciberespacio y sociedad digital confiable. España participa de manera activa en todas las instituciones internacionales en donde la ciberseguridad posee un lugar destacado, como son los foros de Naciones Unidas o la Unión Europea; la protección del ciberespacio no es una tarea de sólo un individuo, sino que requiere de la generación de sinergias para enfrentar las ciber amenazas a través de respuestas colectivas.

Esto último se ve reflejado con claridad en la Estrategia Nacional de Ciberseguridad[5] definida por el gobierno español, la misma que plantea de manera general 5 grandes objetivos:

  • Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales
  • Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso
  • Protección del ecosistema empresarial y social de los ciudadanos
  • Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas
  • Seguridad del ciberespacio en el ámbito internacional

Otra institución que también participa de manera activa en el aseguramiento del ciberespacio es el Centro Criptológico Nacional – CCN CERT[6]. Aquí encontramos una lista exhaustiva de todo el marco legal nacional e internacional aplicable a la gestión de la ciberseguridad (https://www.ccn-cert.cni.es/sobre-nosotros/marco-legal.html), entre los que se mencionan también parte de las guías señaladas anteriormente.

Si bien es cierto, que parece existir regulación y normativa suficiente, para gestionar las diferentes amenazas presentes en nuestro ciberespacio, es necesario tener en cuenta el constante cambio que el mismo sufre en cortos periodos de tiempo. Eventos como la actual pandemia, en muchos casos, han significado para los ciber delincuentes nuevas oportunidades de conseguir vulnerar la seguridad de gobiernos, de servicios esenciales presentes en el sector público y privado, y de los ciudadanos; por lo que se hace indispensable una constante evolución de todo el marco regulatorio y legal, que se adecúe a esta dinámica.

[1] Este documento ha sido actualizado el 2018 (versión 1.1) y se encuentra disponible para descarga desde la página web del NIST (https://www.nist.gov/cyberframework/new-framework)

[2] Parte de las guías consideradas incluye la ISO/IEC 27001, COBIT, NIST SP 800-53, entre otras

[3] INCIBE (https://www.incibe.es/)

[4] Código de Derecho de Ciberseguridad – Boletín Oficial del Estado (https://www.boe.es/legislacion/codigos/codigo.php?id=173&nota=1&tab=2)

[5] Estrategia Nacional de Ciberseguridad 2019- Boletín Oficial del Estado (https://www.boe.es/boe/dias/2019/04/30/pdfs/BOE-A-2019-6347.pdf)

[6] CCN-CERT (https://www.ccn-cert.cni.es/)

Imagen 1: Designed by pikisuperstar / Freepik
Imagen 2: Google Trends
Imagen 3: Business vector created by freepik – www.freepik.com

Trackback URL: https://cobser.es/regulacion-ciber/trackback/

Leave reply:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *