OpiniónSeguridad

Guía Autelsi de actuación ante incidentes de seguridad que requieran notificación

Francisco Lázaro Anguís, CISO de Renfe Operadora y Presidente del Grupo Calidad y Seguridad de Autelsi.

Francisco Lázaro Anguís, CISO de Renfe Operadora y Presidente del Grupo Calidad y Seguridad de Autelsi
Francisco Lázaro Anguís, CISO de Renfe Operadora y Presidente del Grupo Calidad y Seguridad de Autelsi

El panorama legal, regulatorio y normativo de la Ciberseguridad está cambiando en todo el mundo, pensemos en las referencias que en EEUU se están incluyendo en las regulaciones de vehículo autónomo o en regulación de productos médicos, en la iniciativa Europea para  dotarnos de un esquema de certificación en materia de ciberseguridad de productos y servicios o con la aparición de una serie de leyes que implican el deber de comunicación de los incidentes de seguridad.

La ciberseguridad representa un paso más en la evolución de la seguridad de la información, ahora el foco no solo está en la información (en el valor que esta tiene) sino también en las consecuencias que un ciberataque puede tener para la privacidad y la integridad de las personas. Por todo ello, un conjunto de leyes, reglamentos y Directivas exigen a los operadores de servicios esenciales, a los organismos pertenecientes tanto al Sector Público y a las empresas del sector privado, de los estados miembros de la Unión Europea, la notificación ante las autoridades competentes (para cada caso) de aquellos incidentes significativos que sufran en sus redes y servicios de información.

¿Qué Leyes y Directivas aplican a la ciberseguridad?

En España de forma nativa o por transposición de directivas o Reglamentos Generales Europeos  tenemos:

·         El ESQUEMA NACIONAL DE SEGURIDAD (ENS).

·         La LEY 8/2011, DE 28 DE ABRIL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS (más conocida como Ley PIC).

·          DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también conocida como Directiva NIS de servicios esenciales y digitales.

·         REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.

El foco no está solo en la información, ahora el foco está en la privacidad y la integridad de las personas

Aplicación en las empresas de la obligación de notificacion de los incidentes de seguridad

En los últimos años tanto a nivel nacional como a nivel europeo se está legislando en materia de seguridad y privacidad. El cumplimiento real no solo es un acicate para exigirnos más y en consecuencia disminuir el riesgo, sino que también puede disminuir las consecuencias penales; pensemos en la "culpa in vigilando" en la responsabilidad penal de las personas jurídicas (artículo 31 bis de la Ley de Enjuiciamiento  Criminal).

El legislador y los entes regulatorios consideran que la notificación de los incidentes de seguridad es un beneficio para todos: los estados, la sociedad, las empresas, los ciudadanos y clientes,  ya que los incidentes comunes, que afecten a varias empresas o entes públicos, pueden relacionarse e identificarse de manera anticipada o temprana y solucionarse con una mayor celeridad.

Es innegable también la información que aportan a la función de monitorización y supervisión de las autoridades competentes y que con carácter preventivo, esta información compartida puede utilizarse para prepararse mejor ante incidentes futuros mejorando la seguridad tanto de los sistemas como de los datos.

En los casos que sea obligatorio y donde haya sanción, la notificación y la cooperación desde el primer instante, puedan repercutir en una menor sanción. De esta manera, en el caso de la transposición de la Directiva NIS, a la hora de tipificar las infracciones y sanciones, la ley se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será proporcionado pero severo, en línea con lo ordenado por la citada Directiva.

¿Cómo notificar?, ¿qué sanciones?, ¿en qué plazos?, ¿quién notifica?...

Son muchas las preguntas que nos hacemos en relación con la notificación  y que el Grupo de Calidad y Seguridad de la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información (AUTELSI) ha dado respuesta en la “Guía de actuación ante incidentes de seguridad que requieran notificación”.

En su elaboración han participado más de  una veintena de expertos de diferentes campos profesionales (seguridad, privacidad, riesgos y legal), sectores y empresas.

La guía entre otras cuestiones responde a las siguientes preguntas:

·         ¿Qué es un incidente o brecha de seguridad?

·         ¿Por qué debe notificar?

·         ¿Qué incidentes deben notificarse?

·         ¿Quién debe notificar el incidente?

·         ¿A quién debe notificarse?

·         ¿Qué información se notifica?

·         ¿Cómo se notifica: a través de qué canales de notificación y formatos?

·         ¿Cuándo debe notificarse y en qué plazo?

·         ¿Cuál es la sanción si no se notifica?

·         ¿Qué debo tener preparado por si ocurre?

El objetivo de la guía es dar soporte a los profesionales de la seguridad de la información, a los distintos componentes del comité de crisis/seguridad o responsables en esta materia para que puedan informar, a tiempo, dichas situaciones con un criterio homogéneo a los organismos correspondientes. También pretende servir de elemento de sensibilización y de acercamiento de dicha problemática a los distintos órganos de Dirección de las empresas y entes públicos.

Computing 764