redseguridad 080

protagonista segurtic entrevista la que podamos comunicar cualquier tipo de incidente, sea cual sea su impacto. Por ello, debe homogenei- zar la información, los formularios de reporte y un punto único de contacto. ¿Qué le parece el procedimiento de comunicación de incidentes del Anteproyecto de Ley NIS? En la ley queda claro con quién te tienes que poner en contacto, pero lo que no está aún definido es cómo. Esperamos que eso aparezca en el desarrollo reglamentario. En la mesa de ciberseguridad PIC se trabajó en consensuar un formulario de reporte de ciberincidentes que debería ser el punto de partida para la Ley NIS. No obstante, una de las dudas que me surgen es qué sucederá si comunicamos un incidente muchas organizaciones a la vez; puede que la otra parte no esté dimensionada para dar una respuesta. Otra norma que entrará en apli- cación en mayo es el Reglamento Europeo de Protección de Datos. Una de las obligaciones destaca- das será la necesidad de nombrar a un DPD. ¿Cree que esta figura puede entrar en conflicto con la labor del CISO? De aquí al 25 de mayo creo que veremos cientos de escenarios dife- rentes de relación entre los CISO y los DPD. Dependerá muchísimo de la estructura de cada organización. Un CISO que tenga responsabilidad sobre ciertos tratamientos, como, por ejemplo, datos de control de acceso, en principio no puede ser DPD por tener conflicto de interés, pero en cualquier otro caso nadie impide que el CISO sea el DPD. Ya dependiendo de cada organización, la figura del DPD se enmarcará más en el área jurí- dica, de compliance , de seguridad o se externalizará. Por supuesto que, si las dos figuras convergen en la misma persona, el DPD/CISO deberá adquirir la competencia jurídica o técnica que no tenga para poder desempeñar correctamente sus funciones. En todo caso, en mi opinión son dos figuras complementarias que deben trabajar conjuntamente para conseguir la responsabilidad proactiva de la protección de la información. el CNPIC también vio la necesidad de establecer una mesa de ciberseguri- dad en la que se pudieran tratar los temas relacionados con la cibersegu- ridad. Por lo tanto, se podría decir que los canales están establecidos. Ahora bien, como todo modelo de relación, es susceptible de mejora. Los temas ciber deben ser tratados de forma ágil, flexible y eficiente. Hace falta trabajar en un modelo de relación "2.0" donde la ciberseguridad sea tratada directamente por los especia- listas, sin intermediarios. WannaCry nos sirvió para darnos cuenta, entre otras cosas, de que el modelo de relación no era el más óptimo. Desde entonces, todos, la Administración y los operadores, hemos trabaja- do en proponer mejoras que deben materializarse. Por ejemplo, el CNPIC está trabajando en una herramien- ta de comunicación para situaciones excepcionales denominada AlertPIC, donde habrá distintos niveles para los responsables de enlace, los CISO y los técnicos. Por otro lado, cuando las distin- tas regulaciones nos obligan a noti- ficar incidentes o brechas de segu- ridad, la Administración debe dotar de mecanismos de protección para las comunicaciones que garanticen la confidencialidad, integridad y disponi- bilidad de la información que comuni- camos. Y eso a veces no es así. Como añadido, cuando tenemos que presentar denuncia por un inci- dente que es delito, nos encontramos con que las Fuerzas y Cuerpos de Seguridad no disponen de herramien- tas para hacer una comunicación digi- tal segura y poder compartir informa- ción con ellos. Se ha de proceder por los métodos tradicionales de denun- cia y evidencias en papel, y de manera presencial. Eso ha de cambiar. Por último, la Administración tiene que trabajar (de hecho ya lo está haciendo) en una ventanilla única en de esta ley. Haciendo el símil con la regulación sobre protección de datos, debería tener un rol similar al Delegado de Protección de Datos (DPD); es decir, debe tener obligacio- nes, pero también cierto blindaje por las acciones que lleva a cabo en el ejercicio de sus funciones. En todo caso, habrá que esperar a la redacción definitiva de la ley y al desarrollo reglamentario posterior para saber las consecuencias reales de su aplicación. Entiendo que, en este sentido, el regulador sí contará con los operadores estratégicos para ayudar a establecer las debidas medi- das de protección. La Ley NIS introducirá además un régimen sancionador, algo que no recoge la Ley PIC. La Ley PIC nació desde la colabora- ción público-privada y su espíritu ha sido siempre el de convencer frente a sancionar. La Ley NIS debe estable- cer un régimen sancionador porque así lo marca la directiva; el regulador ha hecho lo que tenía que hacer. Se han contemplado supuestos que mitigarían las sanciones y creo que es todo lo más que se puede conseguir. Habrá que trabajar por hacer las cosas bien y esperar a que las sanciones vayan solo para aque- llos que realmente no hacen nada. ¿Qué aspectos deben mejorar en la colaboración entre las empresas y la Administración? La colaboración público-privada está establecida, y eso ya es un primer paso. En el día a día hemos visto que se ha dado un paso de gigante, por ejemplo, en cuanto a que se han establecido canales de colaboración como el del responsable de seguridad y enlace para la protección de infraes- tructuras críticas como punto único de contacto y su participación en la mesa de seguridad PIC. A nivel ciber, "Debería ser obligatorio vender productos en los que la seguridad venga en su ADN" 42 red seguridad primer trimestre 2018