Miguel Ángel Valero
Más de 200.000 incidentes de ciberseguridad detectados en España en 2024, con un ciberataque considerado crítico cada tres días. Razones más que suficientes para "actualizarnos con las nuevas tendencias en esta materia”, como señala el subdirector general de Seguridad Digital del Ministerio para la Transformación Digital y de la Función Pública, Andrés Ruiz, en la jornada de la Fundación ESYS 'La ley de ciberseguridad española: retos y desafíos para la empresa'. En ese sentido, con la futura Ley, que pretende hacer frente a “los retos que presentan tecnologías disruptivas como la Inteligencia Artificial y la computación cuántica, que permiten a los ciberatacantes sofisticar los ataques de manera más elaborada y personalizada", se quiere situar a España "a la vanguardia de la ciberseguridad en Europa".
La nueva Ley de Ciberseguridad ampliará de forma sustancial el ámbito de aplicación, pasando de unas 200 entidades obligadas actualmente a más de 10.000, según Andrés Ruiz. Además, afectará a organizaciones de sectores estratégicos considerados esenciales para la vida social y económica del país, que deberán realizar evaluaciones individualizadas de riesgo y adoptar medidas concretas para proteger sus redes y sistemas de información.
La Ley de Coordinación y Gobernanza de la Ciberseguridad, actualmente en fase de proyecto, contempla la creación del Centro Nacional de Ciberseguridad. Precisamente, el informe Una propuesta de Gobernanza Pública de la Ciberseguridad en España, de la Fundación Empresa, Seguridad y Sociedad Digital, sugiere la constitución de la Agencia Española de Ciberseguridad, siguiendo el camino de la Agencia Española de Supervisión de Inteligencia Artificial, creada mediante el Real Decreto 729/2023, de 22 de agosto
Además de la elaboración del Proyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el Gobierno ha puesto en marcha la mejora de los centros de operaciones de ciberseguridad 5G, tanto a nivel de la Administración General del Estado como en pequeños municipios, junto con el impulso de tecnologías como la Inteligencia Artificial avanzada, la criptografía postcuántica y los sistemas de auditoría automatizada.
Félix Sanz Roldán, director del CNI entre 2009 y 2019, en el diálogo 'Viejos conocidos, nuevas amenazas', con Carlos López Blanco, presidente de la Fundación ESYS, destaca la evolución de los riesgos geoestratégicos y cibernéticos que afrontan tanto las empresas como España. Insiste en que “la ciberseguridad está absolutamente enraizada con la geopolítica”, y el actual escenario internacional se caracteriza por una creciente multipolaridad, donde conviven grandes potencias como EEUU y China conviven con la aparición de nuevos actores y “reinos digitales” que trascienden las fronteras tradicionales. En este escenario, Europa "debe desarrollar las capacidades de defensa que no tiene, como inteligencia", España debe hacer valer su condición de aliado fiable en el marco de la OTAN, apostando por una estrategia nacional que combine la protección del ciberespacio con la defensa de los intereses geoestratégicos, EEUU debe comprometerse con "los valores de la vieja Europa, que son los de la democracia".
"Rusia está desestabilizando el sistema occidental. China busca más la influencia económica. Rusia quiere colocar su bandera; China, abrir una tienda", señala gráficamente el exdirector del Centro Nacional de Inteligencia, que recomienda a las empresas reforzar su resiliencia ante amenazas híbridas y ciberataques porque "hay que evitar que el ataque se produzca" y porque "el éxito del atacante depende de lo mal o bien preparado que esté el atacado".
Alfredo Thomas Moretti, de la Dirección Global de Seguridad e Inteligencia de Telefónica; Rafael Ceres, CISO (responsable de seguridad informática) de Iberdrola, y Jacinto Muñoz, Director de Resiliencia y GRC de Seguridad de Mapfre, analizan el problema de las cadenas de suministro. Subrayan que el control de los proveedores es complicado cuando son muchos, porque además de las cuestiones legales y de regulación está la sensibilización, la formación, la prevención. Y avisan que los proveedores más pequeños son los que más difícil tienen cumplir con la normativa. Piden no sobrecargar a las empresas ni situarlas en desventaja competitiva. También resaltan el papel fundamental de los esquemas de certificación europeos como criterio objetivo para garantizar la ciberseguridad en la cadena de suministro.
David Echarri, responsable de Operaciones y Delivery de Prosegur, y Rafael Bolívar, Gerente de Ciberseguridad y Privacidad de Enagás, ponen el foco en cómo la evolución del marco regulatorio en ciberseguridad afecta tanto a la gestión operativa actual como a la planificación estratégica de las empresas. Además, han destacado la necesidad de anticipar los cambios normativos y de adaptar los procesos internos para cumplir con requisitos cada vez más exigentes, subrayando el papel clave de la colaboración público-privada y la importancia de la formación continua para afrontar los retos que plantea la normativa europea y nacional en materia de ciberseguridad. Coinciden en que está en juego la continuidad del negocio, la supervivencia de la empresa, pero también en que la regulación, la prevención, la tecnología, la formación tienen costes elevados, y en que faltan profesionales en ciberseguridad.
Sobre la gobernanza de la ciberseguridad han hablado Justo López, responsable de Seguridad de la Información de Endesa; Patricia Sáez, Cyber Consultant en AON, y Vicente Moret, secretario del Patronato de la Fundación ESYS. Destacan la creciente exigencia de roles y responsabilidades claras dentro de la empresa, la necesidad de adaptar los modelos de gobernanza a las particularidades de cada sector -especialmente en los industriales frente a los financieros-. La experta de AON señala que la gobernanza, en la medida en que indica el compromiso y la implicación de la empresa, es un asunto fundamental que tiene en cuenta la aseguradora a la hora de diseñar la ciberpóliza. Los tres reclaman unos requisitos mínimos asumibles para las pymes, la creación de ventanillas únicas para la notificación de incidentes (en línea con las recomendaciones de la Directiva NIS2 y con la propia Propuesta de la Fundación ESYS).
"El presente y el futuro nos van a exigir ser más diligentes y más conscientes de los riesgos y retos a los que nos enfrentamos, y también que habrá más normativa, por lo que es importantísimo que empresas e instituciones públicas dialoguen más y mejor para poner en común las preocupaciones y dilemas a las que se enfrentan cada una de ellas, para encontrar el punto común desde el punto de vista del óptimo social en esta materia", concluye Carlos López Blanco, presidente de la Fundación ESYS.