Red Seguridad 103

red seguridad cuarto trimestre 2023 38 servicios esenciales monográfico “Estamos trabajando en iniciativas que nos permitirán mejorar nuestras capacidades de detección, protección y respuesta” zar el servicio. Por ejemplo, en un control de acceso, para nosotros es irrelevante tener determinada información como el nombre y los apellidos; solo necesita- mos un número de tarjeta y saber si está habilitada o no para acceder. Eso no quita para que también vele- mos por el cumplimiento de la legisla- ción sobre privacidad, protección datos de carácter personal y seguridad de la información de los sistemas donde está alojada la información de los usuarios, por ejemplo con medidas como contro- les de acceso, cifrado, etc. En el caso de los pagos electrónicos, Metro de Madrid no recopila ningún tipo de información de las tarjetas de crédito de los usuarios, pero desde hace años hemos implemen- tado medidas de ciberseguridad en to- das las máquinas de venta. ¿Cómo ven en Metro de Madrid el pano- rama de ciberamenzas actual? ¿Cuáles son las que más les preocupan? Nos preocupa lo mismo que a práctica- mente todos los operadores, porque es lo que está sucediendo en estos momen- tos. Nos preocupa todo lo relacionado con malware , phishing , ransomware ... No se imagina la cantidad de intentos y formas diferentes de extorsión, fraude, secuestro de información, entrada en los sistemas, etcétera, que vemos día a día. Otro tema que también nos preocupa por su incidencia es la denegación de servicios. Cada día vemos más ataques de este tipo, sobre todo derivados de la situación geopolítica actual. También nos preocupan los riesgos derivados de las tecnologías disruptivas, como la inteligencia artificial o la nube. Me gustaría conocer su valoración so- bre la Directiva NIS 2 y los cambios que vendrán a través de su trasposi- ción, especialmente porque replantea en cierta medida el modelo que existía hasta ahora para la protección de in- fraestructuras críticas. Con esta nueva normativa la ciberseguridad se abor- dará de manera diferenciada, aunque esté coordinada con el resto de medi- das de seguridad. ¿Qué retos y oportu- nidades cree que planea esta norma? El primer reto que plantea es su transpo- sición a la legislación española. La Ley NIS española es ya ambiciosa y va mu- cho más allá de la propia directiva, pero hay que ver ahora cómo se articularán cuestiones como, por ejemplo, la coordi- nación y los organismos. En cuanto a las oportunidades para las organizaciones, creo que siempre las hay ante cualquier normativa de este tipo. La principal se refiere al ámbito de la Dirección por temas como la gober- nanza y responsabilidad que plantea la directiva, no solo en cuanto a la respon- sabilidad de velar por la implantación de las medidas y de responder ante los in- cumplimientos, sino también porque fo- menta la concienciación y la formación. Otro de los aspectos que más impac- tan a las empresas es la gestión y noti- ficación de incidentes. Parece que esto seguirá siendo igual que hasta ahora, pero a mí me preocupa particularmente el concepto de “cuasiincidente” que in- troduce la Directiva NIS 2 dada la carga de trabajo que podría suponer. Con la nueva normativa no solo será obligato- rio notificar los incidentes, sino también aquellas otras situaciones que provo- quen un impacto aunque realmente no se haya materializado. ¿Eso qué quiere decir? ¿Que cada vez que identifique- mos un intento de ransomware hay que comunicarlo porque podría haber oca- sionado una infección? El otro gran aspecto donde hay retos y mejoras es la cadena de suministro. Por un lado, creo que la norma va a favorecer la coordinación entre los pro- veedores de servicios y los operadores, porque muy probablemente muchos de esos proveedores también van a ser su- jetos afectados por la ley. Por otro lado, también ayudarán mucho a la seguridad las evaluaciones coordinadas de riesgo en la cadena de suministro a escala de a nivel de la Unión y los futuros esquemas europeos de certificación de productos. Al margen de la Directiva NIS 2, ¿cuá- les son, desde su punto de vista, los grandes retos que tienen por delante las entidades críticas o esenciales en materia de ciberseguridad? Yo hablaría de cuatro grupos de retos. Por un lado, la adaptación a los nuevos requisitos legales y normativos, pues cada día hay más regulación. Un segun- do aspecto importante es que cada día vamos a tener más carga de tareas y fal- tan profesionales de ciberseguridad, lo cual es un aspecto que hay que abordar y subsanar. En tercer lugar está el au- mento de los movimientos activistas, la delincuencia organizada, etcétera, que han visto un filón en los ciberataques. Y en cuarto lugar, todo lo que plantea la transformación digital y las nuevas tec- nologías disruptivas, como la inteligen- cia artificial o los servicios en la nube.

RkJQdWJsaXNoZXIy MTI4MzQz