Desde la publicación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, hasta el día de hoy, hemos vivido muchas situaciones y avanzado de forma acertada hacia la concienciación empresarial y ciudadana sobre los riesgos reales a los que nos enfrentamos en el nuevo escenario digital. Hemos conseguido también definir un modelo sectorial básico que ha ayudado a generar esa cultura que nuestras empresas y organizaciones más relevantes deben convertir en un elemento de competitividad y resiliencia.
La trasposición de la Directiva NIS a nivel nacional en España a través del Real Decreto-Ley de Seguridad de las Redes y Sistemas de la Información (en adelante Ley NIS) afecta directamente a los operadores de servicios esenciales (aquellos «necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas, que dependan para su provisión de redes y sistemas de información», tal y como recoge la propia norma).
Además, las infraestructuras críticas requerirán incrementar y mejorar la seguridad de la información. La Ley NIS se ha alineado con la normativa sobre esta materia, y es la Comisión Nacional para la Protección de las Infraestructuras Críticas la que se encarga de identificar cuáles son los servicios esenciales sujetos a ella. En nuestro caso, la nueva norma va más allá del ámbito establecido por la Unión Europea en la Directiva NIS y se extiende a los 12 sectores estratégicos que marca la Ley PIC española. Nuestra Ley PIC 2.0 se está cocinando y asistiremos a su aprobación en los próximos meses (espero).
Sin embargo, el gran cambio, alineado con las nuevas responsabilidades que la alta dirección debe asumir con la nueva directiva Europea de Protección de Datos, se refiere a las obligaciones asociadas en dicha Ley NIS para los proveedores de servicios digitales (motores de búsqueda, comercio online, plataformas cloud). Estas compañías, como entes de servicios esenciales para que nuestros negocios funcionen y tengan la disponibilidad necesaria, son una de las claves de una nueva forma de interpretar los riesgos y las responsabilidades pertinentes.
Este esfuerzo regulatorio está ayudando, sin duda, a que nos movamos en la dirección correcta. Pero no es menos cierto que los riesgos crecen de una forma exponencial y que las organizaciones que están por detrás de los continuos incidentes son cada vez mayores y están mejor estructuradas. Y si encima su negocio es el más rentable en el ámbito digital, está claro que hay que seguir acelerando en los modelos de defensa de nuestros activos y que tenemos que establecer una nueva versión de los modelos de seguridad y resiliencia.
La colaboración público-privada es esencial para mejorar nuestras capacidades ante incidentes
Prioridades
Recientes incidentes en diferentes administraciones y empresas, continuos impactos en compañías de servicios esenciales que ven afectados sus sistemas de producción y gestión, pymes que envían a sus empleados a casa porque no pueden operar sus negocios (el ransomware es ya una alerta permanente)… Estamos en la versión más realista de un ciberespacio donde la ciberdelincuencia, la guerra digital entre ciertos países y los propios movimientos desestabilizadores dirigidos o aleatorios están logrando la priorización en el diseño e inversiones de soluciones seguras y de confianza.
La transformación digital y el camino sin retorno hacia la conectividad, hacia la Industria x.0 solo se puede construir con tres conceptos fundamentales que veremos a continuación y que tienen su reflejo en la cadena de suministro. Este año, en el World Economic Forum de Davos, se ha mostrado un estudio realizado por Accenture junto al Instituto Ponemon, en el que participaron unos 2.690 directivos de grandes compañías (más de 1.700 CEO), cuyas conclusiones llevábamos tiempo pregonando los profesionales del sector con poco éxito. Pero a partir de ahora estas ideas van a estar en la agenda y en los presupuestos de los consejos de administración. Así, la confianza en el mundo digital, la sostenibilidad y la resiliencia de nuestras infraestructuras críticas solo tienen futuro en base a tres elementos fundamentales:
- Gobernanza: la colaboración público-privada es esencial para mejorar nuestras capacidades de prevención y de reacción ante incidentes, tanto a nivel global como sectorial.
- Securización del ecosistema de nuestros negocios, de nuestros servicios: por mucho que seamos capaces de asegurar nuestras infraestructuras, la interacción con terceros, proveedores y clientes, puede ser una fuente de riesgos que nos impacte de forma directa. Garantizar la seguridad en la cadena de suministro, en los productos y servicios de terceros que se integran en nuestro negocio, con los clientes que interactuamos y, por último, en las infraestructuras tecnológicas y telecomunicaciones que dan soporte a nuestra actividad, serán elementos críticos para mantener nuestra sociedad y economía con infraestructuras resilientes y empresas competitivas.
- Security by design: es necesario construir productos y servicios seguros, en oposición a desarrollar productos de seguridad. Resolver los problemas de seguridad de un software supone un coste 30 veces superior a realizar uno con los parámetros de seguridad necesarios. Incluir la seguridad como un concepto obligatorio en el diseño, desarrollo y soporte de productos y servicios es el único camino hacia la confianza.
Necesidades
Todo esto se resume en la importancia y el valor de trabajar con los partners adecuados, de ver la seguridad como una inversión y no como un coste (las multas millonarias por brechas de datos han abierto definitivamente muchas mentes en los consejos de administración), de hacer de los modelos de resiliencia el ADN de la competitividad de nuestros negocios, de nuestros servicios esenciales. Vamos a asistir a necesidades de estandarización y certificación de profesionales, empresas, productos y servicios. Los contratos incluirán cláusulas de responsabilidad compartida que deberán ser suficientes para que los procesos de compra cambien sus criterios económicos de valoración por otros de carácter mucho más estratégico y de confianza. La velocidad del cambio al que nos enfrentamos exige que seamos responsables a la hora de entender que colaborar es el único camino hacia la confianza.
Crear un sector de la Seguridad (incluyendo la ciberseguridad como elemento de transformación) requiere de un liderazgo que solo el Gobierno y las grandes empresas pueden proponer. Talento, inversión, confianza y el crecimiento y consolidación de un sector que requiere de concentración y alineamiento pueden hacer de nuestro país un ejemplo a seguir. Europa nos propone un reto y los mimbres que tenemos con los condimentos adecuados, lo que nos puede hacer únicos. Queda mucho camino por recorrer, pero con humildad, generosidad y trabajo en equipo bajo el horizonte de una Estrategia Nacional de Seguridad que merece ser dotada de los recursos adecuados, el futuro es nuestro.