II CyberInsight del Club del CISO

Imagen promocional del evento "II CyberInsight 2024" organizado por el Club CISO, una comunidad de la Asociación Española para la Calidad (AEC). Incluye los temas principales del evento: Gobernanza, Riesgo y Cumplimiento (GRC) aplicados a la Directiva NIS 2 y la aplicabilidad del ENS. Gestión de Riesgos: crisis que impactan en la continuidad y sostenibilidad de las organizaciones. Cumplimiento de normativas relacionadas con la Ciberseguridad y responsabilidad civil y penal. El diseño incluye tonos azules, figuras tecnológicas de fondo, y el logotipo del Club CISO, que muestra un escudo con un candado, simbolizando la ciberseguridad.

II CyberInsight del Club del CISO – 2024

El pasado 11 de diciembre tuvo lugar el segundo CyberInsight del Club del CISO organizado por la Asociación Española para la Calidad (AEC) con la colaboración de Govertis, parte de Telefónica Tech.

Bajo la moderación de José Antonio Sánchez, coordinador del Club CISO, este encuentro se estructuró en tres bloques clave que abordaron los retos de la ciberseguridad desde diferentes perspectivas: gobernanza, gestión de crisis y cumplimiento normativo.

1. Gobernanza, Riesgo y Cumplimiento (GRC) aplicados a la Directiva NIS 2 y la aplicabilidad del ENS en su cumplimiento, a través de los Marcos de Referencia de Ciberseguridad ISO 27001 & ISO 27002, NIST CSF 2.0 y CIS Controls.

José Antonio Sánchez inició el evento con una exposición sobre la Directiva NIS2, destacando el trabajo del CCN-CERT durante sus 20 años de trayectoria en defensa de la ciberseguridad de las organizaciones españolas.

La ponencia abordó las principales obligaciones empresariales derivadas de la directiva, que se resumen en:

Artículo 3: obligación del registro de entidades esenciales o importantes.

Artículo 20: importancia de la responsabilidad en la aprobación, supervisión e incumplimiento de los Órganos de Dirección.

Artículo 21: obligación de adoptar medidas técnicas, operativas y organizativas basadas en un enfoque del conocimiento del riesgo.

Artículo 23: obligación de notificación de incidentes en tiempo y forma a las autoridades competentes o al CSIRT.

Artículo 24: la posible exigencia de certificaciones en el esquema europeo de certificación de la ciberseguridad.

Artículo 26: jurisdicción y territorialidad de las empresas extranjeras de servicios digitales.

Artículo 27: obligación del registro de entidades concretas proveedoras de servicios digitales.

Artículo 28: obligación de registro de entidades que son registro de nombres de dominio de primer nivel o son registradoras de dominios de primer nivel.

Artículo 29: cooperación en el intercambio voluntario de información.

Artículo 30: notificación voluntaria de incidentes al CSIRT por parte de cualquier organización.

Artículos 32 y 33: responsabilidad en el incumplimiento de la supervisión y ejecución de la norma por parte de los responsables de las organizaciones.

Posteriormente, Jose Antonio Sánchez pasó a comentar los principios básicos, requisitos mínimos y medidas de seguridad derivados del Esquema Nacional de Seguridad (ENS) según el Real Decreto 311/2022.

Destacó el principio de la seguridad como proceso integral, comentó los requisitos mínimos para garantizar una protección adecuada de las organizaciones, las medidas de seguridad relativas a los marcos organizativos y operacionales y las medidas de protección recogidas en el ENS.

Aportó una detallada correlación entre las medidas exigidas por NIS2 y el Articulado y Anexo II del ENS, desglosando los artículos y apartados de la primera, con los artículos y acciones vinculadas equiparables del segundo.

Expuso cómo las medidas a que se refiere la directiva NIS2 se hacen posibles a través del Perfil de Cumplimiento Específico (PCI-NIS2) y la guía CCN-STIC892.

Continuó comentando varias consideraciones en la aplicabilidad del ENS al cumplimiento de NIS2, en particular en la equiparación de la certificación de los niveles de ENS en el cumplimento de NIS2, destacando la importancia que NIS2 asigna a la seguridad de la cadena de suministros.

Finalizó su intervención comentando el estado de trasposición de la directiva en los estados miembros de la UE, destacando que 23 de los 27 no lo han hecho, incluida España.

2. Gestión de Riesgos. Respuesta a Crisis que afectan a la continuidad del negocio y la sostenibilidad de las organizaciones. Importancia de la Comunicación y la Reputación Corporativa.

Pedro Coll, Europe Crisis & Issues Director en LLYC, fue el encargado de este segundo bloque donde exploró la importancia de gestionar los riesgos y las crisis de manera integral para proteger la continuidad del negocio y la sostenibilidad de las organizaciones.

Subrayó cómo los ciberataques pueden afectar no solo a los clientes, sino también a empleados, inversores y la opinión pública, haciendo de la comunicación estratégica un elemento crucial.

Coll ofreció claves prácticas para proteger la reputación corporativa en un contexto de ciberataques:

Anticipación: a los efectos de un incidente mediante un correcto análisis de los riesgos reputacionales en base a las dimensiones de imagen, credibilidad, transparencia, integridad y contribución.

Formación: en todos los niveles de la empresa para entender el impacto de los ciberataques en el negocio, realizando campañas periódicas de sensibilización promoviendo principios éticos y buenas prácticas.

Planificación: para acertar con la estrategia antes de que ocurra un incidente analizando su impacto en la organización a través de las influencia, motivaciones y creencias de los atacantes y de la sociedad en general. Igualmente, es necesario analizar la fragilidad de la organización en cuanto a sus capacidades, normativas y antecedentes.

Entrenamiento: para tener a la organización preparada no solo en su resiliencia tecnológica sino también en la legal y en la gestión de la comunicación en múltiples medios y audiencias.

Como conclusión, abordó cómo gestionar la comunicación y la reputación en el momento del ciberataque diferenciando entre tres momentos críticos:

Momento de la credibilidad: las partes interesadas preguntan qué se estaba haciendo para evitar el incidente y qué se está haciendo para resolverlo.

Momento de transparencia: proporcionando la información suficiente y eligiendo cuidadosamente las palabras utilizadas, las personas y los canales adecuados.

Momento de integridad, honestidad y ética: valores por los que se debe componer la comunicación, ya que cualquier falta de coherencia o conducta inapropiada en este aspecto puede dañar gravemente a la organización.

3. Cumplimiento de las normativas relacionadas con la Ciberseguridad y responsabilidad civil y penal del CISO y su equipo.

Santiago Cruz Roldán, Consultor Senior GRC en Govertis, cerró este segundo CyberInsight con un análisis del marco legal en ciberseguridad y la responsabilidad civil y penal que recae sobre los CISOs y sus equipos.

Abordó las dificultades de cumplir en España con la legislación en general y con directivas, normativas y reglamentos europeos relacionadas con la ciberseguridad y protección de datos.

Un punto destacado fue la utilidad del Código de Derecho de la Ciberseguridad, elaborado por la Agencia Estatal del Boletín Oficial del Estado. Este documento, que reúne más de 1.300 páginas de normativas, pretende proporcionar una ordenación de la amplia legislación española y europea en este tema.

Aclaró las diferencias entre los reglamentos de desarrollo de la Ley y reglamentos de la Unión Europea y cómo no son equiparables en su aplicación en determinados casos.

En este sentido, atendiendo a lo que expuso Cruz, un Reglamento es aplicable a todos los estados miembros por igual, mientras que una Directiva requiere de una trasposición de los estados miembros de la UE y que no son de obligado cumplimiento por las organizaciones, sino que su aplicación ha de estar sujeta a un análisis de su naturaleza jurídica, su organización interna, su actividad y el tratamiento de datos e información que realice.

Así, los reglamentos DORA y Ciberresiliencia tienen aplicación directa según su fecha de aplicación prevista, mientras que las directivas NIS2 y CER requieren de una trasposición que aún está pendiente en el caso de España. Su aplicación y obligatoriedad será dependiente de las características de las empresas y entidades, por su propia naturaleza, actividad y criticidad.

Destacó la obligación de cumplimiento de estas normas y en particular comentó el caso de una certificación en ENS nivel alto, conlleva el cumplimento directo de las medidas recogidas en NIS2, mientras que, si lo está en el nivel medio o básico, podría adoptar el correspondiente PCE-NIS2 para su cumplimento.

Otro aspecto fundamental de su exposición fue el papel del CISO y su equipo en garantizar el cumplimiento normativo. Tienen una responsabilidad relacionada directamente con las funciones documentadas que asumen y el establecimiento de medios encaminados a prevenir situaciones de seguridad comprometidas, asumiendo una posición de garantes. Los CISOs deben documentar claramente sus funciones y establecer mecanismos preventivos para mitigar riesgos de seguridad. Sin embargo, advirtió que una mala praxis o negligencia grave puede derivar en responsabilidades penales en casos dolosos o especialmente graves, siendo el responsable último el Órgano de Dirección de la organización.

Este enfoque refuerza la importancia de integrar la ciberseguridad como un eje estratégico dentro del gobierno corporativo, involucrando a todos los niveles de liderazgo en la gestión de riesgos digitales.

Gabriel Aracil Pizarro

Govertis, parte de Telefónica Tech

Por Rosa

17 de enero de 2025

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO