Nuevas obligaciones para las empresas en materia de ciberseguridad.

ciberseguridad_pymes

La ciberseguridad es ahora más importante que nunca. Gobiernos, empresas y particulares usan software y todo el universo está cada vez más conectado. También lo están los dispositivos, lo que abre oportunidades de crecer como sociedad, pero también propone nuevos retos… ¡y nuevas ventanas para los criminales online!

En VirusTotal se analizan más de dos millones de ficheros únicos y nuevos al día, de los cuales más de 350.000 son detectados por cinco o más motores antivirus e identificados como software malicioso. Hablamos de 350.000 nuevas variantes de malware al día.

Ante este panorama, las pérdidas económicas provocadas por los ataques informáticos ascendieron al 0,8% del PIB mundial, es decir, a unos 74,15 billones de euros en 2018. Esta cifra incluida en el informe “Panorama actual de la ciberseguridad en España” de Google no ha parado de aumentar en 2019 y su previsión de crecimiento es aún peor para 2020.

Por este motivo, es lógico que los gobiernos de todo el mundo estén ahondando en diferentes legislaciones que favorezcan un aumento de la ciberseguridad. No en vano, un ataque a una empresa que preste servicios esenciales y/o infraestructuras críticas para un país, puede meter en problemas graves a toda la nación por falta de suministros de primera necesidad.

Por otro lado, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque. Esto se traduce en que casi 3 millones de empresas en España están poco o nada protegidas contra hackers. La cultura de la ciberseguridad en las pymes españolas es todavía reactiva.

En este sentido, el documento que tiene entre manos el Gobierno español es el borrador del Real Decreto que desarrolla precisamente el 12/2018, de seguridad de las redes y sistemas de información para los operadores de servicios esenciales y sus proveedores.

Para aclarar la situación actual, Vicente Moret, del área de ciberseguridad de Andersen Tax & Legal, ha elaborado una guía para despejar las principales dudas sobre las nuevas obligaciones que tendrán que atender las empresas una vez se apruebe el texto definitivo.

¿En qué estado se encuentra el borrador con el nuevo Gobierno? ¿Es posible que se introduzcan nuevas modificaciones? En la misma situación que hace dos meses. Está pendiente de su aprobación en Consejo de Ministros y de la correspondiente publicación.

¿Será obligatorio un responsable de seguridad de la información (RSI) para todas las compañías? El RSI deberá ser nombrado por las empresas que hayan sido designadas como operadores de servicios esenciales o infraestructuras críticas, independientemente de dónde esté situado su domicilio social. Los sectores clave son energía, salud, TIC, industria nuclear, financiero y transporte, entre otros.

Respecto a los prestadores de servicios digitales, se incluirían mercados en línea, motores de búsqueda online o servicios de computación en la nube.

¿Cuáles son sus responsabilidades ? Son muchas y variadas. Destacan, entre otras, elaborar y proponer las políticas de seguridad de redes y sistemas de la organización que incluyan las medidas concretas; desarrollar procedimientos; llevar a cabo auditorías periódicas de seguridad; notificar los incidentes a la autoridad competente; actuar como capacitador de buenas prácticas y aplicar las guías de la Administración.

Además, deberá hacerlo manteniendo la debida independencia respecto a los responsables de sistemas de información y ostentando una posición en la organización que facilite el desarrollo de esas funciones y una comunicación real y efectiva con la alta dirección, según establece el borrador de reglamento.

¿Están las empresas españolas preparadas para las nuevas obligaciones? Las que tienen más capacidades y volumen y en ciertos sectores, como el financiero o el energético, probablemente sí.

¿Están cumpliendo con las ya establecidas en el RD 12/2018? Las empresas obligadas ya han empezado a adaptarse para llevar a cabo un debido cumplimiento normativo, que además les permite mitigar posibles responsabilidades en caso de brecha grave de seguridad.

¿A qué sanciones se pueden llegar a enfrentar las empresas si no cumplen? Hay un completo régimen sancionador, siendo responsables los operadores de servicios esenciales y los proveedores de servicios digitales. Por la comisión de infracciones muy graves, la multa será de 500.001 euros hasta un millón de euros; las graves de 100.001 euros hasta 500.000 euros; y las leves se castigarán con amonestación o multa de hasta 100.000 euros.

El futuro tiene pocas certezas, pero sí sabemos que será más automático y dependiente de la tecnología. Atrás quedaron los días en los que nuestro trabajo era proteger ordenadores. Nuestra acción ahora es construir confianza ofreciendo seguridad a negocios, personas y gobiernos. Nuestro nuevo trabajo es proteger a la sociedad, algo en lo que todos podemos y debemos participar de forma activa.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *