Privacidad y Ciberseguridad: hasta que la ciberdelincuencia nos separe

  • Opinión

En esta tribuna firmada por Concepción Cordón Fuentes, Miembro del Consejo Women4Cyber Spain, esta directiva plantea que Privacidad y Ciberseguridad ya van de la mano, son inseparables, no deben entenderse como enemigas, si una gana la otra pierde.

Después de este período estival, y para ir entrando poco a poco en “faena”, me he permitido el lujo de usar un estribillo de una de las canciones del verano, de “aquellos maravillosos y añorados veranos”, donde se disfrutaba al aire libre al son de la música sin restricciones, bailando en las noches cálidas del periodo estival...

Este contenido salió publicado en el número de Septiembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

El tema en concreto es “El anillo”, de Jennifer López, más conocida, por la repetición una y otra vez del estribillo, con el nombre “El anillo pa cuando...” (sin que esto quiera reflejar mis preferencias musicales, para lo cual hubiera escogido “Verso suelto”, una de las últimas composiciones de “De Vuelta”, el proyecto musical de nuestro colega Luis Fernández).

Antes del pegadizo estribillo, la frase completa y que me hizo reflexionar para escribir este artículo es:

“Ya lo tengo todo, pero, “el anillo pa cuando”...

Precisamente esto sintetiza justo lo que está ocurriendo en las organizaciones con la y Privacidad y Ciberseguridad: les hace falta un “compromiso formal“, aceptado por los responsables de ambas áreas.

Los inicios

Es habitual encontrar en las entidades departamentos enteros, en mayor o menor medida, trabajando cada uno por su cuenta, como si estuviesen jugando en distintas competiciones, en ligas diferentes (estamos en época de fichajes..., y ya se han cerrado algunos de ellos muy sustanciosos...).

Así encontramos Planes directores de Seguridad, Análisis de Impacto del Negocio, Planes de Continuidad de Negocio, Compliance, Códigos Éticos, Políticas de Privacidad, Políticas de Clasificación y Tratamiento de la Información, Procedimientos de Gestión y Notificación de Brechas de Seguridad, Procedimientos de Gestión y Notificación de Ciberincidentes, Planes de Seguridad de Operador (PSO) y Planes de Protección Específicos(PPE) para aquellos organismos y empresas que han sido designados Operadores Críticos, Declaración de Aplicabilidad de medidas de seguridad para los Operadores de Servicios Esenciales (OSE), Certificaciones de conformidad con distintas normas nacionales e internacionales....

Al hilo de la letra de la canción, las entidades, con las herramientas anteriormente descritas, “pueden tenerlo todo...”, o casi todo, para implementar una adecuada Privacidad y Ciberseguridad, sin embargo, siguen sin proteger adecuadamente sus activos, el core de sus negocios, faltando una adecuada interacción entre ambas.

El compromiso

Ya es hora de que las empresas consientan esta unión entre la Privacidad y la Ciberseguridad, es el paso definitivo que deben dar, ya sean públicas o privadas, para conseguir una Seguridad Integral capaz de afrontar los desafíos de una sociedad digitalizada donde la información y los datos personales son los ejes que mantienen la rueda que hace girar al mundo.

Un mundo que, por otro lado, busca la sostenibilidad en una sociedad de economía circular, que intenta aprovechar al máximo los recursos, y por supuesto las sinergias entre los mismos.

Formalizando el compromiso

¿Qué nos impide aceptar esta interconexión?

En verdad tenemos “casi todo” para no poner obstáculos e ir formalizando este compromiso.

La pareja tiene mucho en común para que se entiendan y emprendan un camino único, acompañados, complementándose, protegiéndose mutuamente y haciendo fuerte y robusta su casa.

Además, el viento sopla a favor...

Con las últimas normativas establecidas tanto a nivel nacional como europeo, poco a poco se han ido engranando las piezas del ecosistema digital, acercando posturas entre ambos ámbitos.

En España, la legislación en la administración electrónica se consolidó con el Esquema Nacional de Seguridad (ENS) que ha resultado ser la herramienta perfecta para mejorar la seguridad de las TICs en la Administración pública, y cuya influencia ha ido creciendo, llegando hasta los proveedores que trabajan con las mismas, y al número de entidades y sistemas que están dentro del ámbito subjetivo de la ley. En breve se publicará el nuevo Esquema Nacional de CiberSeguridad, aprovechando la experiencia adquirida en estos años.

La normativa de Protección de Infraestructuras Críticas, ley PIC, del 2011, sentó las bases para dotar de seguridad a las infraestructuras críticas que soportan servicios esenciales, mejorando y aumentando los sectores de aplicación que la Directiva europea proponía, algo que ha sido relevante para agilizar la aplicación de otras directivas relacionadas y que actualmente también está siendo revisada.

En cuanto a la Privacidad, ya se avanzó bastante con el cambio de paradigma que el Reglamento General de Protección de Datos (RGPD) inculcó, centrándose en la “seguridad del dato personal”, con enfoque de gestión de riesgos para dotar de las medidas adecuadas en aras de una mejor protección de los datos personales, y, por ende, de la privacidad.

Así mismo, la que busca mejorar la seguridad de las redes y sistemas de comunicaciones de los servicios esenciales, se convirtió en España en la primera Ley de Ciberseguridad, RD-12/2018 propiamente dicha con su reciente reglamento de desarrollo, RD-43/2021. La NIS.2 ya está gestionándose.

Todas estas directivas culminaron a finales del 2019 con distintas estrategias europeas encaminadas al aseguramiento del ciberespacio, siendo sin duda, la Covid-19, la aceleradora para que se convenciese al más escéptico de los implicados, dirigiendo todas las miradas en la Ciberseguridad como tabla de salvación de la sociedad debido a la “digitalización por inmersión” a la que el mundo entero se ha visto abocado.

Y en plena crisis, compañera inseparable de la Ciberseguridad ha sido la Privacidad, debido al considerable aumento de la información que navega entre las redes, con un alto porcentaje de datos de carácter personal.

Esto se debe no sólo al uso del teletrabajo, sino a la inmensidad de trámites que se han habilitado de manera telemática debido a la imposibilidad de movilidad de los ciudadanos por las restricciones impuestas por la crisis mundial.

Preparativos para el enlace

Una vez que tenemos el convencimiento de que esta unión ha de ser, debe serlo “para toda la vida”, por eso, hay que ponerse manos a la obra, estableciendo una estrategia a corto plazo e ir mejorándola progresivamente.

Quizás, tal y como ha pasado en el último año, el enlace se ha tenido que retrasar, a cambio hemos ganado en abundancia de instrumentos reguladores que poco a poco van diseñando las condiciones que se deben dar para que el maridaje sea perfecto.

De hecho, todas las normativas y estrategias están siendo revisadas y se ha acelerado su revisión.

El maestro de ceremonia

Este puede ser un punto de escollo importante, ya que sobre él recaerá toda la responsabilidad de haber sabido dotar de una adecuada organización y estructura para conseguir el éxito.

Más allá del nombre que se le ponga, CISO, RSI, RSE, DPO, CIO, CMR, CTO..., debe ser alguien con visión estratégica, mando ejecutivo, habilidad de trabajo en equipo, que no le tiemble el pulso cuando tenga que poner encima de la mesa propuestas que sabe no van a gustar pero son necesarias, etc..., en definitiva, alguien (no tiene que ser figura única, pueden ser comités) que dirija y coordine todas las acciones necesarias para conseguir un único objetivo común, haciendo que todos remen en la misma dirección, aprovechando ese viento a favor.

El enlace

Privacidad y Ciberseguridad ya van de la mano, son inseparables, no deben entenderse como enemigas, si una gana la otra pierde. De esta manera es un “win to win”, uno de los siete principios de la denominada Privacidad por Defecto (PbD) que el RGPD ha impulsado, llevándola a la máxima expresión con las metodologías que implementan Seguridad y Privacidad por Defecto y por Diseño, para que desde el principio de los procesos estén integradas la Privacidad y la Ciberseguridad.

En este sentido concluyeron, siguiendo con los clásicos del verano, dos de los cursos impartidos por la Fundación de la Universidad de Málaga (FGUMA), uno dedicado a la Privacidad,, y otro sobre Ciberseguridad.

Ambos cursos perseguían el mismo fin: el bienestar del individuo en la sociedad digital.

Reflexión final

¿Qué debemos hacer, ciudadanos, organismos reguladores, empresas, estados, para llevar a buen término el que la Privacidad y la Ciberseguridad sean una pareja bien avenida y duradera, uniendo esfuerzos para combatir con el mayor de sus peligros, la ciberdelincuencia?

¡Apostemos por ello!!

Concepción Cordón Fuentes, Miembro del Consejo Women4Cyber Spain