Mesa redonda ciberseguridad

La ciberseguridad pasa por la formación e información a las empresas

La Directiva NIS2, una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS), fue el eje de la mesa redonda celebrada en la hemeroteca de El Norte de Castilla. De manera general, el objetivo de esta nueva normativa es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión Europea, con el fin de proteger la infraestructura digital ante cualquier posible ciberataque.

La periodista Susana Gutiérrez moderó el debate, que contó con el impulso de AON. En él participaron Patricia Sáez, broker senior de Ciber Solutions en AON; Santiago Aparicio, presidente de la CEOE Castilla y León; Marcos Román Polo, responsable del Servicio de Informática Industrial de la cooperativa agroalimentaria Acor y Beatriz García del Pozo, responsable de Calidad, Normativas Técnicas y Seguridad del Instituto Nacional de Ciberseguridad (INCIBE).

Los ponentes abordaron los retos que supone esta nueva normativa, cuya transposición a la legislación española está en curso, con el anteproyecto ya aprobado. Patricia Sáez quiso comenzar su intervención destacando el impacto positivo que esta directiva tiene para el sector asegurador. Señaló que «para nosotros, como firma líder de servicios profesionales, es muy positivo que los clientes y potenciales clientes se conciencien de la importancia de la ciberseguridad. Esto implica mayores exigencias en medidas de protección, lo que nos permite negociar mejores términos con las aseguradoras». Según explicó la responsable de AON, actualmente el mercado asegurador está en una fase «blanda», donde los costes son competitivos. Sin embargo, «las aseguradoras ponen mucho foco en las medidas implantadas, y cuanto más rigurosas sean, mejores condiciones se pueden conseguir». De ahí que la directiva NIS2 se perciba desde AON como un paso adelante que puede beneficiar tanto a empresas como a aseguradoras.

Por su parte, Beatriz García puso en contexto la necesidad de una nueva directiva. «La NIS1, de 2016, fue un primer paso importante, pero tras su revisión se detectaron carencias. Las amenazas han aumentado en magnitud y sofisticación, y nuestros sistemas de información son vitales para cualquier proceso productivo. Necesitamos estar preparados».

Apuntó también que la NIS2, amplía su alcance respecto a la anterior. «Ahora, todos los Estados miembros deben incluir sectores de alta criticidad y sectores importantes. Afecta tanto a medianas como grandes empresas, y permite que cada Estado identifique entidades relevantes según su impacto en la economía y los servicios esenciales». Destacó también la importancia de que esta directiva imponga medidas mínimas comunes de ciberseguridad. «Es clave establecer procedimientos, capacitar empleados y preparar planes de reacción ante incidentes. El riesgo cero no existe, pero podemos estar preparados para responder», abundó y recordó los servicios que desde el Instituto Nacional de Ciberseguridad se ofrece de cara a las Pymes y grandes empresas. «Tenemos recursos sectoriales, servicios de alerta temprana, respuesta a incidentes y un canal de atención para consultas. Es vital que las empresas notifiquen incidentes para facilitar la cooperación internacional, ya que el ciberespacio no tiene fronteras».

Santiago Aparicio, de CEOE Castilla y León, reconoció que muchas empresas todavía no están concienciadas. «Es cierto que no hay suficiente conocimiento. Y eso que nosotros lo vivimos en carne propia», dijo antes de contar el caso concreto de una transferencia bancaria desde una empresa española a un banco del Reino Unido que fue interceptada por un ciberataque. «Nos hackearon y se llevaron todo el dinero. Desde entonces entendimos la magnitud del problema. Ahora desde CEOE estamos empezando a difundir este tipo de experiencias y formar a nuestras organizaciones». El representante de la patronal aprovechó también para reclamar una «normativa clara» y más apoyo para las pequeñas empresas. «Es esencial tener un marco regulatorio que diga lo que hay que hacer. Las grandes empresas tienen medios, pero las pymes necesitan asesores, orientación y apoyo institucional», insistió.

Desde el ámbito agroalimentario, Marcos Román Polo compartió el caso de Acor, una de las cooperativas más importantes del sector primario en España. «La nueva directiva nos impacta directamente, porque la agroalimentación entra ahora como sector esencial. Pero nosotros llevamos años trabajando en esta línea. Ya tenemos una base sólida en ciberseguridad con certificaciones como la norma IEC62443, la ISO 27001 y el cumplimiento del RGPD. Hemos formado a trabajadores, socios y proveedores. Para nosotros, la seguridad de la información no es solo una obligación legal, sino una responsabilidad con el producto, los procesos y el país». Román también destacó el trabajo proactivo de Acor en resiliencia. «Tenemos procedimientos para garantizar la continuidad del servicio en caso de incidente. La nueva normativa nos obliga a notificar brechas y demostrar que podemos levantarnos rápido. Adaptaremos lo que ya tenemos a lo que la ley exija cuando se transponga», apuntó.

De igual modo, la mesa redonda sirvió también para evidenciar los retos inmediatos de la transposición de la NIS2. «No solo se trata de cumplir, sino de crear cultura», subrayó Sáez.

Aparicio pidió más pedagogía institucional al señalar que «las empresas no saben ni por dónde empezar. Hace falta mucha más difusión, guías prácticas y ayudas técnicas», mientras que García del Pozo destacó que «el riesgo cero no existe, pero entre todos podemos generar una respuesta europea más sólida. Compartir información, prevenir, formar y reaccionar es una responsabilidad compartida».

Santiago Aparicio reconoció que «cualquiera de nosotros puede ser objeto de un ataque y que nos puede hacer muchísimo daño», subrayando la importancia de difundir esta normativa entre las empresas para que conozcan su obligatoriedad y se anticipen con formación adecuada. También señaló que «las grandes empresas deben ayudar a las pequeñas a adaptarse», promoviendo una colaboración efectiva en la cadena de suministro.

Por su parte, Beatriz García propuso ver la directiva como «una oportunidad en que la ciberseguridad sea ese facilitador para el proceso digital». Insistió en que «hay que concienciar, hay que formar y hay que poner las medidas a disposición de la organización para prevenir ciberataques». Marcos Román celebró que la NIS2 establezca un «marco regulador a nivel europeo que nos permita hablar a todos el mismo idioma», algo que consideró clave.

De igual modo, Patricia Sáez aprovechó para resaltar el papel fundamental de los seguros. «Lo que más tranquilidad me daría si tuviera mi propia empresa sería tener pólizas de seguro tanto de ciberseguridad, para el caso de tener un ciberincidente, como de responsabilidad para directivos y administradores, como protección ante sanciones o incidentes», remarcó.

También se habló sobre las sanciones que implica la NIS2. El anteproyecto de ley en España ya establece importes concretos. Para las infracciones consideradas muy graves, 7 millones de euros o un 1,4% del volumen total de facturación para entidades importantes. Para las entidades consideradas esenciales las sanciones son mayores, hasta 10 millones de euros o el 2% del volumen total de la facturación. «Las multas dependerán de factores como el grado de cooperación de la empresa, la duración de la infracción, su carácter doloso y la existencia de medidas preventivas implantadas y documentadas», aclaró la representante de AON, Patricia Sáez.

• Temas
• ACOR
• Incibe
• Ciberataque
• Ciberseguridad