Mapa normativo en CYBERCOMPLIANCE
Hoy en día, la práctica total de las empresas están inmersas en el mundo digital. Pero, lo que muchos no saben es que, con cada paso en esta dirección, se acumulan responsabilidades, obligaciones normativas y riesgos. Aquí es donde entra en juego el Cybercompliance, un concepto que une dos mundos que hasta ahora se consideraban opuestos, como son el derecho y la tecnología. Un ejemplo de ello es la Directiva NIS 2 que, en tan sólo unos días, estaba prevista su entrada en vigor en nuestro país, tras la preceptiva transposición española.
Sin embargo, aunque su entrada en vigor estuviese prevista para el 18 de octubre de 2024, la complejidad de la materia conllevará un retraso significativo de dicha transposición, dado que ni siquiera contamos con el borrador de la norma a menos de un mes de la fecha prevista.
Esta Directiva supone la nueva normativa europea que obliga a sectores clave como el energético, sanitario o el transporte a garantizar la seguridad de sus sistemas de información. ¿Qué significa esto? Que no se trata de proteger únicamente datos, como regulaba el RGPD, por ejemplo, sino de asegurar que servicios esenciales, como el suministro energético en los hospitales, la continuidad y seguridad de los sistemas de una central nuclear o las infraestructuras tecnológicas de una empresa de seguros. Y, ojo, porque las sanciones para quienes no cumplan con estas normas serán importantes, en la línea de la tendencia generada por el propio RGPD.
Aquí es donde los mapas normativos se revelan como imprescindibles. Estos mapas son una suerte de esquema de obligaciones aplicables a una organización específica respecto a las obligaciones atribuidas por todas las normativas, sobre seguridad de la información o conexas, y en cuyo alcance se encontrase dicha organización. Hablamos, por tanto, de NIS 2, pero también del ENS, DORA, Las directrices de la EBA, RGPD, SOX, LSSI-CE, o el recientemente aprobado Reglamento de Inteligencia Artificial. Complementadas por los estándares que “voluntariamente” las organizaciones hayan decidido implementar y que pasan a nutrir, desde ese momento, su mapa de cybercompliance, como la ISO 27001, ISO 27701, NIST, SOC 2 Type 2, etc.
Todos estos ingredientes suponen el punto de partida de cualquier organización para configurar su “framework” en seguridad de la información, que será totalmente diferente para cada una, y deberá incluir todas las obligaciones y controles que le sean aplicables con base en el listado anterior.
Ello supone que, en términos de eficiencia operativa y de costes, el mejor enfoque posible supone realizar un ejercicio de identificación de las normativas aplicables en la organización, continuar mapeando las obligaciones específicas y las sinergias y puntos en común de dichas obligaciones, y el establecimiento de una estrategia para abordar la adecuación de la entidad a dicho mapa normativo, cuyas obligaciones versan sobre los controles tecnológicos que debe tener la organización.
¿Quién se encarga de la elaboración de este mapa y su posterior implementación? ¿Abogados o ingenieros?
Probablemente la conclusión más razonable sea la de que se requeriría un perfil híbrido, capaz de entender y trabajar con las normativas, así como con los sistemas de información y sus controles, pero ¿Existen tales perfiles? La realidad que nos encontramos es que, estos dos perfiles, rara vez consiguen hablar en el mismo idioma. Los perfiles más técnicos son reacios a conceptos como nivel de cumplimiento, procedimiento administrativo común en el ámbito sancionador de las Administración encargadas del control del cumplimiento de estas obligaciones, o el ámbito de aplicación de la norma. Por el contrario, los perfiles más legales excepcionalmente llegan al entendimiento de conceptos como segmentación de red, funcionamiento de un SOC/SIEM, o protección de activos mediante EDR. En definitiva, surge un nuevo perfil necesario para las organizaciones: abogados muy tecnológicos o técnicos muy legalistas, que serán los únicos capaces de afrontar un reto de la talla del que se nos presenta y que actualmente es mucho más que escaso.
¿Quieres ser tú ese perfil? Hablemos entonces de Cybercompliance