¿Por qué el compliance es clave en ciberseguridad?

Cuando se mira desde el exterior hacia la ciberseguridad, parece que todo es ataque y defensa, tecnología para atacar y tecnología para defender. En definitiva, un escenario donde la brillantez de las personas y las capacidades técnicas marcan la diferencia para que tu empresa o tu gobierno no aparezcan tras la palabra “brecha” o “millones de datos robados” o “hackeada la empresa X”. En realidad, son otros factores los que marcan la diferencia de verdad y, entre estos, está el cumplimiento o compliance.

La ciberseguridad representa un paso más en la evolución de la seguridad de la información. Ahora el foco no está sólo en la información y en el valor que está tiene, sino también en la integridad de las personas, que se puede ver amenazada, por ejemplo, mediante un ataque cibernético a una infraestructura crítica.

La ciberseguridad se construye con controles de seguridad. Estos controles pueden ser organizativos, procedimentales y normativos (compliance), así como técnicos. Ante un nuevo servicio, ya sea este una web o un servicio esencial que soporta una infraestructura crítica, se debe evaluar y gestionar el riesgo tecnológico, seleccionando qué controles deben ser aplicados.

Un punto esencial en la evaluación de riesgos es el compliance: la identificación de las leyes, regulaciones y normas que se deben respetar y cumplir a lo largo de todas las fases del ciclo de vida del servicio, que incluye diseño, construcción, despliegue, mantenimiento, operación y retirada.

¿Qué leyes y directivas aplican a la ciberseguridad?

En los últimos años, tanto a nivel nacional como a nivel Europeo, se está legislando en materia de seguridad y privacidad.  Las empresas valoran positivamente la regulación en este campo, al establecer criterios, pero también miran con recelo ciertas obligaciones que en las mismas aparecen. Estas incluyen, por ejemplo, la obligación  de notificar las brechas de seguridad y las sanciones económicas que pueden ser superiores a 20 millones de euros.

El cumplimiento real no sólo es un acicate para exigirnos más y, en consecuencia, disminuir el riesgo, sino que también puede disminuir las consecuencias penales. Pensemos en la “culpa in vigilando”, la “culpa in eligendo” y la “culpa organizativa” en la responsabilidad penal de las personas jurídicas (artículo 31 bis de la Ley de Enjuiciamiento  Criminal).

En España, de forma nativa o por transposición de directivas o Reglamentos Generales, tenemos:

• Esquema Nacional de Seguridad (ENS): determina la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ley PIC: responde a las necesidades de protección de infraestructuras críticas. Esta Ley es consecuencia de la mayor dependencia que la sociedad tiene del sistema de infraestructuras, que asegura el mantenimiento de los servicios esenciales.
• Directiva NIS de servicios esenciales y digitales: busca dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información. Es un planteamiento global en la Unión que integra requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.
• Reglamento General de Protección de Datos (RGPD): sustituirá a la actual normativa vigente y comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

Aplicación del  compliance en ciberseguridad en las empresas

Tanto el ENS como la Ley PIC son plenamente efectivas para la Administración en el primer caso y para los Operadores de Infraestructuras Críticas (privadas o públicas). En el 2018 lo serán tanto el RGPD (para cualquier empresa con Datos de carácter personal) como el NIS.

En el momento de definir la necesidad de un servicio (momento inicial), deberemos identificar si el servicio está en el alcance de estas leyes. Si es así, se deben identificar los requisitos de seguridad y privacidad de obligado cumplimiento. Todo ello será contemplado en el análisis de riesgos y en los controles de seguridad que deben ser aplicados. Controles como el cifrado de datos en tránsito o en el almacenamiento de los datos, la gestión de los incidentes o la revisión de vulnerabilidades estarán presentes a lo largo de todo el ciclo de vida de dicho servicio.

Finalmente, las áreas de auditoría y compliance deberán de estar vigilantes de estos controles para garantizar el respeto a la Ley, evitar la pérdida de reputación y preservar el valor de los activos. Pensemos que en todas las leyes citadas, las brechas de seguridad deben ser comunicadas, lo que representa un añadido al riesgo reputacional.

Si te atrae el campo de la Ciberseguridad y quieres convertirte en un especialista en este campo, fórmate con el Programa Superior en Ciberseguridad y Compliance de ESIC.