Seguritecnia 476

46 SEGURITECNIA Junio 2020 Seguridad Integral Europea y los estándares internacio- nales de seguridad de la informa- ción, como la norma ISO 27001. El ENS aplica a la Administración General del Estado, comunidades au- tónomas, entidades locales y demás organismos, empresas y universida- des públicas. Está particularmente recogido en la Ley 9/2017, de Con- tratos del Sector Público y el Real Decreto-ley 14/2019, artículo 122, es- tableciendo como elemento primor- dial del contrato el cumplimiento con la legislación de protección de datos, así como especificaciones en materia de seguridad. El ENS y la Ley Orgánica de Protec- ción de Datos española 3/2018 precisan que los proveedores de servicios (de TI o que manejen datos personales) de las administraciones públicas cuenten con un nivel de madurez de la seguri- dad equivalente al de la entidad contra- tante. Los pliegos de condiciones de los procesos de contratación pública exigi- rán, en su caso, la certificación en ENS para poder ofertar. Esto provocará que se valorará a aquellos proveedores que tengan certificados relevantes de ges- tión o de productos (modelo de cláu- sula para los pliegos de prescripciones técnicas). Lección clave Debemos ser honestos con nosotros mismos y con los demás en este en- torno global con una volatilidad, incer- tidumbre, complejidad y ambigüedad sin precedentes, reconociendo que na- die tiene todas las respuestas. Hemos de tener el valor de compartir las vulne- rabilidades y de ayudar a encontrar un cambio para mitigar de manera integral el riesgo. Fruto de esa reflexión sería una buena ocasión para buscar un nuevo enfoque, pasando del tradicional modelo de ges- tión del riesgo empresarial (Enterprise Risk Management, ERM), basado en el control y el reporte de la exposición al riesgo operacional derivada de la explo- tación de activos y contratos y suscepti- ble de ser mitigable a través de la con- tratación de coberturas en el mercado asegurador; al modelo Enterprise Security Risk Management , que permita y facilite un proceso transversal y colaborativo en la gestión de contingencias. Así se man- tendrán relaciones cruzadas funciona- les para respaldar resultados comparti- dos y no verse atrapados en silos dentro de los organigramas, de modo que, en- tre otros, seguridad física, seguridad TI, prevención de riesgos laborales, servi- cios médicos, medio ambiente, servicios jurídicos, recursos humanos, administra- ción de instalaciones, cadena de sumi- nistro y comunicaciones estén propor- cionando una mejor comprensión e im- plantación de: Las capacidades de continuidad de negocio de socios y proveedores re- levantes. La definición de los recursos necesa- rios para reanudar las actividades en los tiempos requeridos (MTPD y RTO). Diseño de estrategias de respuesta para riesgos específicos. Nombramiento de equipos de res- puesta específicos para el desarrollo y mantenimiento de SGCN con la perti- nente cualificación o certificación. El SGCN y SGSI debe estar evaluado, auditado, documentado y ensayado periódicamente y revisado o apoyado por la dirección. La nueva realidad, tras el COVID-19, no debería pasar por la reducción transver- sal y generalizada de inversiones y cos- tes en la empresa sin previamente reali- zar un profundo análisis de riesgos. Tam- bién habría que saber si el negocio o servicio podría aguantar el impacto de una nueva contingencia severa como consecuencia de una reducción o eli- minación poco meditada de partidas presupuestarias relativas a “la seguridad, sin apellidos” (física, cibernética, laboral, medioambiental, industrial, médica, etc.). A título de ejemplo, si un incidente por causas de origen natural, tecnológico, actos antisociales o ciberdelitos deriva en una interrupción eléctrica catastró- fica y prolongada, esta provocará serios problemas en la continuidad de nego- cio de terceras partes. A su vez ¿qué ocu- rriría sobre el Internet de las Cosas, el te- letrabajo o el comercio electrónico, cuya mención inunda librerías, webinars y fo- ros empresariales de buen gobierno? Por último, podría derivar en la pér- dida de servicios esenciales para la ciu- dadanía. En este escenario, después de una economía y mercado bajos míni- mos provocados por el COVID-19, ¿cuál sería el impacto negativo y el rebote so- bre el crecimiento? ¿En forma de “U”, “W”, “L”…? Sería un error que “los árbo- les no nos dejen ver el bosque”.