Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsNIS2, fin a la impunidad: la alta dirección es responsable de las brechas de seguridad

Information security
Por bl0ckch41nnews
50


La nueva normativa europea NIS2 refuerza las obligaciones de las empresas frente
a los ciberataques y responsabiliza a los directivos de las consecuencias de
los ciberataques.

Este ha sido el abecé de cada brecha de seguridad en la última década:

  • Aparece la noticia en los medios de comunicación: otra gran empresa cae
    víctima de un ciberataque;
  • se ha producido un robo de información personal de sus clientes;
  • en unas horas llega un correo electrónico: es la compañía cumpliendo su
    «obligación legal de informar» a los afectados;
  • la empresa aprovecha para pedir disculpas y reafirmar su «compromiso» con
    la seguridad de sus datos;
  • ¿Y qué pasa después? NADA, todo sigue igualy vuelta a empezar.

En lo que respecta a los afectados por la brecha, la responsabilidad de la
empresa no iba más allá. Ni siquiera en agujeros graves, que obliga miles de
clientes de varios países a anular de inmediato sus tarjetas de crédito o ver
comprometidos sus datos personales de salud para siempre en Internet.

A los afectados solo les quedaba esperar a los más que probables intentos de
estafa basados en su información personal, confiando en recordar que esa
persona que llama podría no ser su agente bancario o su clínica sino un
ciberdelincuente que conoce todos sus datos.

No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han
entrado en juego para modernizar la preparación y respuesta ante ciberataques
y uno de sus puntos clave es que apuntan directamente a la alta dirección de
las empresas a la hora de asumir responsabilidades por las brechas de
seguridad. En otras palabras,
prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia
los cargos técnicos de la compañía.

«El problema es que, aunque sobre el papel sí que existía una
responsabilidad, en la práctica nunca aparecía de forma clara», explica Marta Trabado, especialista en cumplimiento normativo de la firma
española de ciberseguridad A3Sec.
«Ahora de lo que se trata es que la responsabilidad recaiga directamente en
la dirección en caso de un ciberataque, porque es la que debe establecer las
estrategias de prevención y supervisarlas. Por tanto, pueden tener
responsabilidad incluso penal sobre las consecuencias de ese incidente», asevera.

Relacionados

Bl0ckch41nnewsConfiscan el servicio de chat cifrado…

Bl0ckch41nnewsRansomware FOG activo en América…

Bl0ckch41nnewsVeeam advierte sobre un error crítico…

Ahora, la alta dirección puede tener responsabilidad penal sobre las
consecuencias de un incidente de ciberseguridad.
Aunque la importancia de la ciberseguridad ha sido incluida en varias nuevas
regulaciones europeas, la
Directiva NIS2 (análisis) refleja la posibilidad de que la alta dirección es la responsable final. Esta
crea dos categorías de empresas, las «esenciales» y las «importantes», con
diferentes grados de supervisión por parte de los reguladores.

Las empresas etiquetadas como «esenciales» son aquellas que ofrecen servicios
o infraestructuras cruciales para el buen funcionamiento de la sociedad y la
economía. Las energéticas, las de transporte (aerolíneas, trenes, logística,
etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto
de servicios digitales como telecos) entran en esta categoría y las
autoridades podrán supervisar sus medidas de seguridad tanto antes de que se
produzca un ciberataque como después de haberlo sufrido.

La
directiva hace especial hincapié en que «cualquier persona física responsable de una
entidad esencial o que actúe como representante de ella deberán considerarse
responsables del cumplimiento de estas normas».

Las «importantes» son las fábricas, como las de productos químicos, equipos
médicos o electrónicos, las de alimentación y grandes distribuidores, los
servicios postales y de mensajería y las que investigan nuevas tecnologías.
Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en
supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir
una brecha.

Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia
Española de Protección de Datos y el RGPD, los cuales pueden imponer multas si
detecta que las empresas no han implementado salvaguardas adecuadas frente a
los riesgos de un ciberataque. El problema, en este caso, es que España aún no
ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto
de factores de la seguridad informática.

En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en
que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un
correo de disculpas tras un ciberataque y seguir adelante; la alta dirección
tendrá que asumir una responsabilidad activa y directa, tanto en la prevención
como en la respuesta a estos incidentes.

Fuente: El Diario | INCIBE



Source link

bl0ckch41nnews
También podría gustarte Más del autor

Los comentarios están cerrados.