Seguridad por imperativo legal
Es ya “doctrina consolidada” (utilizando terminología típicamente jurídica) que el ámbito de la gestión de la seguridad se extiende mucho más allá del plano técnico. La triada de vértices personas, procesos y tecnología es a día de hoy indiscutible en cualquiera de los procesos que se aborde en torno a la seguridad o continuidad de cualquier negocio u organización.
Sin embargo, en una de esas convergencias que aparecen por la vía de los hechos, los responsables de seguridad, CISO, se han visto en la necesidad de pasar de ese consolidado triángulo: personas, procesos y tecnología, a un cuadrado perfecto: personas, procesos, tecnología y… ¡cumplimiento!
Medidas de seguridad digital en una organización
Hoy por hoy, buena parte de las medidas de seguridad que una organización debe implantar son exigencias respaldadas por algún tipo de norma legal. De cumplimiento, por tanto, inexcusable.
Al recuerdo de muchos vendrán la histórica Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, que aprobaba su reglamento de desarrollo. En el contexto legal que delimitaban, y para los ficheros de datos en su ámbito de aplicación, se indicaban un conjunto muy concreto y específico de medidas de seguridad a implantar y auditar.
Durante años estas normas relacionadas con el tratamiento de datos de carácter personal constituían la totalidad de normativa aplicable en el terreno de la seguridad de la información, pero en los últimos años, y de manera silenciosa, se ha ido extendiendo hasta el amplio panorama actual que, todo apunta, seguirá creciendo.
Revisemos algunas de las principales normas de rango legal que obligan a las organizaciones a implantar determinadas medidas de seguridad:
- El Esquema Nacional de Seguridad (ENS), aprobado en 2010, actualizado posteriormente a través del RD 951/2015, y recientemente a través del RD 311/2022: Esta norma tiene por objeto “crear la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos”. Aunque su ámbito de aplicación inicialmente parece limitado a las administraciones públicas, desde su primera versión, de forma tácita, viene siendo también de aplicación en las organizaciones privadas que prestan servicios a dichas administraciones públicas.
- El UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, que regula la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Conocido como RGPD, define obligaciones orientadas, entre otros principios, a garantizar la seguridad de dichos datos. Este reglamento, de aplicación directa, se acompañó de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGG) que igualmente define criterios para la adopción de medidas de seguridad.
- La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas que, aunque de carácter sustancialmente orientado a la protección de instalaciones, tiene por objeto “regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético)”.
- El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que supuso la transposición al ordenamiento jurídico español de la conocida como Directiva NIS. En la norma nacional se identifican aquellos sectores esenciales en los que es necesario garantizar la protección de las redes y sistemas de información.
- El Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el anterior “en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales”.
La lista podría extenderse mucho más incluyendo otras regulaciones de alcance más limitado o sectorial: la estrategia nacional de seguridad, el reglamento e-IDAS, la Ley 59/2003, de 19 de diciembre de firma electrónica o la Ley 5/2014, de 4 de abril, de Seguridad Privada que ya incluye en su ámbito de aplicación a las empresas prestadoras de servicios de seguridad informática cuyos requisitos podrán desarrollarse en un real decreto específico.
Cada organización puede (debe) analizar y gestionar sus riesgos, es decir, mitigarlos, reducirlos o transferirlos
Cómo implementar una estrategia de seguridad digital
Cabe señalar, en este punto, que la publicación de estas nuevas regulaciones legales introdujo, con mayor o menor grado de exigencia, un cambio de enfoque sustancial y de extraordinaria trascendencia respecto a la LOPD. Ya no se incluyeron en los textos un conjunto concreto, específico y discreto de medidas de seguridad exigibles. Por el contrario, se ha sustanciado el análisis de riesgos como la forma de determinar la taxonomía y alcance de las medidas de seguridad necesarias. En pocas palabras, cada organización puede (debe) analizar y gestionar sus riesgos, es decir, mitigarlos, reducirlos o transferirlos.
La legislación genera obligaciones, establece mecanismos supervisores y sancionadores, especialmente sobre sectores críticos y esenciales, y la tendencia indiscutible es la ampliación progresiva del conjunto de sujetos jurídicos obligados (véase la reciente revisión de la Directiva NIS 2, que ya se refiere a sectores importantes).
En este escenario, como indicábamos al comienzo de esta entrada, la gestión de la seguridad de la información en las organizaciones debe integrar a los ya tradicionales pilares de personas, procesos y tecnología, el nuevo, y no menor, del cumplimiento.
Y debemos hablar de integración, que no de incorporación. Los pilares tradicionales, el modelo de gestión, los procesos asociados al análisis y tratamiento de los riesgos y, en definitiva, la estrategia, deben alinearse en un sistema de gestión de la seguridad definido e implementado, y es en ese mismo sistema de gestión donde debemos integrar la gestión del cumplimiento, que, como los otros, no es una situación, es un proceso.
Esta visión integral de la estrategia de seguridad forma parte del núcleo de la propuesta de valor de Izertis. Desde esta aproximación, nuestra metodología aborda el diagnóstico (donde estamos), el escenario de riesgo objetivo (donde debemos estar) y el plan de actuación (como alcanzarlo) teniendo en cuenta esos cuatro ejes de actuación: personas, procesos, tecnología y cumplimiento.
Mantener el cumplimiento es un nuevo reto para las organizaciones, inexcusable por su rango normativo, y debe integrarse en el modelo estratégico de gestión de la seguridad, especialmente cuando entre los objetivos de dicha estrategia figura el de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Hacerlo, además, refleja una actitud de eficiencia y transparencia de la organización frente a clientes, proveedores, inversores, autoridades y otras partes interesadas; genera confianza y reputación y, sin duda, contribuye al desarrollo del negocio a través de la mejora en la competitividad de la organización.