Seguritecnia 485

/ Abril 2021 66 A vista de va sobre protección de las infraestructu- ras críticas para ampliar los sectores que afectan a la norma europea”. “Esto ha conllevado que prácticamente todos los servicios esenciales identificados bajo el paraguas de la normativa NIS, a la vez sean operadores críticos”, explicó Ruiz Vázquez. Aun con ello, este profesional opinó que todavía quedan retos respecto a la norma, como, por ejemplo, “reforzar las estructuras actuales en relación con los centros de respuesta a incidentes de referencia y a las de autoridades com- petentes”. Papel del CISO Sin duda, uno de los aspectos que despertó mayor interés en torno al Re- glamento NIS era conocer si tendría en cuenta la figura de responsable de se- guridad de la información (RSI). Final- mente, así ha ocurrido, pues era una reclamación constante por parte del sector de la Ciberseguridad. “Cuando se recibieron los comentarios de la consul- ta pública del borrador del Reglamento NIS, todas las asociaciones hicieron hin- capié en la importancia de incluir esta figura. Era prácticamente una obligación incluirlo y, además, hacerlo bien, con criterios técnicos y estratégicos. Porque la madurez de la ciberseguridad de una organización viene determinada muchas veces por el estatus del CISO, es decir, dónde está situada esa persona y a cuántos escalones de la alta dirección”, desarrolló el representante del DSN. La decisión ha sido aplaudida, aun- que existen diferentes puntos de vista a la hora de aclarar la responsabilidad de este profesional. “Vemos bien formalizar la figura del RSI, pero vemos más rele- vante establecer sus responsabilidades. Podemos discutir si encajan en primera o segunda línea del organigrama, pero responsabilidades hay muchas en rela- ción con la tecnología dentro de la or- ganización”, reflexionó Puig, de Banco Sabadell. Lázaro sostuvo que “las responsabi- lidades recaen en la organización, que tienen que tener unas políticas de segu- ridad claras y aprobadas”. “Es más, en las funciones se dice que el RSI propone las medidas al órgano correspondiente de su aprobación, y por lo tanto hay una responsabilidad de los órganos de direc- ción de la compañía”, desarrolló. Para el representante de ISMS Forum, “es muy importante que se haya definido esta figura” y considera “muy bueno” que la ley hable de la posición que debe te- ner cercada a los órganos de dirección. Aun así, también indicó la necesidad de dirimir exactamente qué quiere decir la norma cuando habla de la posición e in- dependencia del RSI en las empresas. De Andrés añadió que la propia Ley NIS “establece sanciones, pero para la orga- nización”, lo cual muestra que la respon- sabilidad final recae en esta. “Creo que se ha hecho muy bien a la hora de signar las responsabilidades y, de hecho, hay un punto que dice que el RSI puede apoyarse en servicios de terceros, pero tiene que formar parte de la propia entidad, es de- cir, no puede externalizarse”. Debilidades y ausencias Pero si la designación del RSI es una de las cuestiones que han provocado más satisfacción, también existen diferentes controversias con el Reglamento NIS. Fundamentalmente porque no ha despe- jado todas las dudas del sector. En ese sentido se pronunció De Andrés, quien planteó interrogantes en torno a los pro- veedores de servicios digitales. Con esta norma “aún hay muchas empresas que tienen dudas sobre si son o no provee- dores de servicios digitales; si bien es cierto que la Directiva NIS no deja mu- cho margen a los países, la duda sigue quedando”, expresó. Por su parte, Lázaro, de ISMS Forum, puso el acento en la seguridad de los proveedores: “está bien que tengamos la obligación de gestionar los riesgos de terceros, pero echamos de menos que los proveedores tengan también unas obligaciones marcadas”. A lo cual añadió que hay grandes compañías que prestan servicios y productos, pero “no tienen de- trás una figura que se preocupe por los requisitos de seguridad y sean elemento de interlocución en caso de incidente”. Algo con lo que se mostró de acuer- do el representante de Banco Sabadell, que puso como ejemplo el Reglamento General de Protección de Datos, el cual “establece normas a las empresas, aun- que haya algo que no esté recogido en un contrato”. Desde su punto de vista, la “norma podría haber tenido otra apro- ximación, estableciendo obligaciones directas sobre los proveedores”. Ruiz Vázquez, del DSN, se mostró de acuerdo con el resto de invitados y apun- tó que varias de las dudas existentes aho- ra podrían quedar resueltas en la revisión de la Directiva NIS que está llevando a cabo la Unión Europea en este momento. Por ejemplo, la futura norma comunitaria “obligará a tener esta política a nivel na- cional respecto a los proveedores y a toda la cadena de suministro”. Por otro lado, este profesional opinó que “el modelo necesita ir acompaña- do de información clara a los sujetos obligados y a las administraciones. Es frecuente recibir preguntas de empresas que dudan si tienen que notificar un in- cidente o si son operador esencial. Falta información y cultura de seguridad”. Finalmente, también planteó la nece- sidad de que exista una comunicación coordinada de vulnerabilidades. Ruiz Vázquez consideró importante “estable- cer un marco de comunicación para co- municar la vulnerabilidades, obviamente con un repositorio custodiado”.