Table of Contents Table of Contents
Previous Page  40 / 84 Next Page
Information
Show Menu
Previous Page 40 / 84 Next Page
Page Background

y en el preámbulo de dicha norma

se indica: “Las redes y sistemas de

información desempeñan un papel

crucial en la sociedad. Su fiabilidad

y seguridad son esenciales para las

actividades económicas y sociales, y

en particular para el funcionamiento

del mercado interior”.

La Directiva NIS fomenta el desa-

rrollo de una estructura de cola-

boración entre los países, con la

creación de grupos de cooperación

entre autoridades competentes y los

centros de notificación de inciden-

tes a nivel de cada país (CSIRT).

Además, se centra especialmente en

establecer requisitos en materia de

seguridad y notificación de inciden-

tes en lo que denomina operadores

de servicios esenciales y proveedo-

res de servicios digitales, nominando

sectores específicos como Energía,

Transporte, Banca, Infraestructuras

Mercados Financieros, Sanidad,

Agua, Infraestructuras Digitales y ser-

vicios como mercado en línea, moto-

res de búsqueda y servicios ‘cloud’.

La selección de las empresas y

organismos considerados como ope-

radores de servicios esenciales será

realizada por la autoridad competente

que se defina en cada Estado y existe

un plazo hasta el 9 de noviembre de

2018 para dicha selección. Otra fecha

importante es el 10 de mayo de 2018,

cuando se deben tener aplicadas

todas las medidas a nivel de adminis-

traciones públicas y empresas.

Es necesario destacar que la

Directiva NIS tiene bastantes parale-

lismos con la Ley de Infraestructuras

Críticas y que de alguna manera esta

última se verá afectará en la transpo-

sición. De hecho, algunas de las com-

pañías ya designadas como operador

crítico podrán ser nominadas como

operador de servicios esenciales en el

marco de la Directiva NIS.

Por resumir, el RGPD afectará a

todas las empresas y la Directiva NIS

solo afectará las empresas y organiza-

ciones nominadas como operadores

esenciales. Si bien, de cara a afrontar

su adaptación, sí existen planes y

tareas comunes a acometer como:

?

Análisis de la situación actual desde

el punto de vista de organización,

responsabilidades y procesos y

grado de adaptación a las exigen-

cias de las directivas y normativa.

?

Análisis del grado de cobertura de

las infraestructuras y servicios TIC

a las exigencias de cambio de la

organización y los procesos de

negocio.

?

Plan y presupuesto de dotaciones

(recursos humanos, infraestructu-

ras TIC, comunicación…).

?

Plan de Gestión del Cambio.

?

Ejecución planes de adaptación.

En cuanto a aspectos específicos

de infraestructuras y servicios TIC, las

tecnologías que pueden ser aplicadas

son muy variadas, si bien hay una

necesidad común, que es dotarse

de la seguridad idónea en los com-

ponentes y canales más críticos de

los procesos de negocio y prestación

de servicio. De este modo, se hace

necesario especificar el puesto de

trabajo y la red (intranet/extranet), ya

que es patente que muchas de las

brechas de seguridad se inician por

dichos componentes. Aún más, en el

contexto actual de incremento de los

ciberataques a empresas y organis-

mos, ya sea por puro negocio para

los ciberdelincuentes u otro tipo de

intereses más difusos.

Soporte de un ‘partner’

En este entorno cada vez más complejo

es interesante valorar el colaborar con

un proveedor externo. Las oportunida-

des de ayuda y colaboración por parte

de los proveedores TIC a las empresas

y organizaciones en sus procesos de

adaptación a las diferentes normativas

europeas van a ser numerosas y con

servicios y tecnologías muy variadas:

servicios de consultoría, auditoría, ser-

vicios de

datacenter

, servicios

disaster

recovery

y BRS, desarrollos a medida,

productos y soluciones

on-premise y

cloud

. En el ámbito de servicios y pro-

ductos o soluciones de seguridad vin-

culados de manera específica al RGPD,

cabe destacar los sistemas de gestión

y acreditación de consentimiento; y los

sistemas de cifrado y anonimización/

seudonimización de datos.

Y además, de manera horizontal,

existe la necesidad de disponer de

una buena solución de protección del

puesto de trabajo, que es el elemento

más próximo a los usuarios de los

sistemas de información y el eslabón

más débil en cuanto a potencial fuga

de datos y ciberataques.

Hablando del sector de proveedo-

res TIC en España, considero que

tenemos un ecosistema muy variado

y amplio capaz de cubrir las posibles

demandas que surjan para ayudar

a las empresas a su adaptación a

las nuevas normas europeas. Aunque

pueda haber oportunidades nuevas

muy de nicho, el factor innovación y

confianza

partner

tecnológico pesará

en la decisión de las empresas de

contar con unos o con otros.

En resumen, nos movemos en un

entorno cada vez más complejo y exi-

gente por las demandas de los regula-

dores. La colaboración con un tercero

dará a las empresas acceso a un

conocimiento y una experiencia que les

permitirán adaptarse a la normativa y,

además, aprovechar para asegurar un

elemento clave del negocio como son

los datos.

opinión

seguridad integral

monográfico

40 red seguridad segundo trimestre 2017

especial

1 35 36 37 38 39 40 41 42 43 44 45 46 84  FlippingBook