Es un problema de ambos y su solución debe partir del negocio y aplicarlo TI. Realmente la Seguridad, Ciberseguridad y Ciber-resiliencia en el Mundo Digital cada vez más es una materia intrínseca al Negocio y a la Tecnología, Procesos y Personas que los manejan y los riesgos inherentes a los mismos.

Deberían, ya que son los responsables de la misma y deben conocer y tratar, asumir o transferir los riesgos que pueden afectar. Es necesario disponer de un Gobierno efectivo de Datos y de la Información donde se controlen y apliquen las diferentes disciplinas que le afectan como: Privacidad, Seguridad, Ciberseguridad, Valor del Dato, Volumetrías, Ubicaciones y Flujos de Datos, etc.

Deberían ser conscientes del daño que sufriría la empresa (económico y reputacional) en caso de un Ciber-incidente. Para ello se deben realizar los debidos análisis de riesgos, impactos, consecuencias y las correspondientes auditorias de Seguridad y Ciberseguridad, como herramientas de Mejora y Prevención. Deben ser conscientes que el cifrado y secuestro de datos de la Organización o su Exfiltración además de los costes económicos y si es viable recuperarlos, afectan al Compliance, a la Imagen y Reputación e incluso a la Supervivencia del Negocio por posibles pérdidas de Clientes.

Seguramente no partas de 0 en el momento de implantar la ciberseguridad, lo más probable es que ya tengas implantadas diferentes medidas tecnológicas (antivirus, firewalls, gestión de identidades, etc.) y no tecnológicas (normativas, cláusulas de confidencialidad, etc.), lo importante en este punto es conocerlas y determinar su nivel de madurez. A su vez, dispondrás de medidas organizativas, legales y de compliance. Todas ellas forman de alguna manera imbricadas entre si el Marco de Control y Gobierno de la Organización que la Alta Dirección y sus Directivos deben y tienen la responsabilidad de hacer cumplir y dotar de Medios y Recursos para ello.

Para ello hay que llevar a cabo una auditoria del estado de la ciberseguridad y/o proceso de calificación o rating que ayuden a analizar la madurez y estado de la Organización y que, al menos y como mínimo debe recoger los siguientes puntos:

• Procesos (negocio, RRHH, contratación, desarrollo, ciberseguridad, etc.).
• Personal (equipos e implicación).
• Herramientas (medidas tecnológicas).

Hay que establecer el nivel de madurez de estos siendo los niveles los siguientes:

• 0 - Inicial (No existe)
• 1 - Gestionado (Existe, pero no está documentado)
• 3 - Definido (Existe y está documentado)
• 4 - Gestionado cuantitativamente (Existe, está documentado y se tienen indicadores que miden su eficacia)
• 5 - Optimización (Existe, está documentado, se tienen indicadores que miden su eficacia y se revisa periódicamente para establecer mejoras en función de dichos indicadores)

Generalmente tras una auditoria y conociendo el estado de la ciberseguridad desde el que se parte, se puede establecer un plan de mejora de la ciberseguridad, comúnmente conocido como Plan Director de Ciberseguridad, compuesto de Acciones, Proyectos, Hitos y Presupuestos.

Este plan debe actuar como mínimo en los tres puntos indicados anteriormente (procesos, personas y tecnologías y herramientas) estableciendo el nivel de madurez desde el que se parte y el que se quiere conseguir.

Este plan debe establecer una serie de líneas de actuación y unas actividades concretas para cada línea.

Como estás viendo, estos planes son complejos y se necesita tiempo para llevarlos a cabo por lo que deben desarrollarse por personal especializado y estar planificados tanto a corto lo más urgente (12 a 18 meses), a medio (19 a 36) y a largo plazo (entre 3 y 5 años).

Sí efectivamente debe existir el rol, ahora bien, dependiendo del tamaño de la organización no tiene porqué contratar a alguien específicamente para el encargo. Pero si al menos un Servicio Externo o Coordinación con los CSIRT que ayude y tenga los conocimientos y experiencia necesarios.

Lo que si hay que garantizar es que la persona que recoja el encargo tenga independencia del resto de áreas (incluyendo la operación de la ciberseguridad) para establecer estrategias, auditar la ciberseguridad, tomar decisiones y pueda informar con libertad a la alta dirección. Debería y es aconsejable forme parte del Comité de Dirección. Esta figura se denomina CISO (Chief Information Security Officer). Y recientemente en el seno del Foro Nacional de Ciberseguridad se ha creado un Esquema para estos Responsables de Ciberseguridad donde encontraremos los Objetivos, Funciones, Perfil, Competencias, etc.

Empieza desarrollando una Política de Seguridad de la Información para tu empresa. Este documento definirá las bases y directrices que se deben cumplir en materia de ciberseguridad en toda la compañía sin excepción. Puedes ayudarte con alineamiento a normas de referencia como ISO27001/2 o Legislación como el ENS (Esquema Nacional de Seguridad).

Además, puedes hablar con las diferentes áreas de negocio para introducirles a la ciberseguridad y a una actividad inicial y básica para la introducción de la ciberseguridad en cualquier proceso: el análisis de riesgos, el cual permite implantar la ciberseguridad desde diseño y por defecto y además tener en cuenta a su vez la Privacidad de Datos y el Gobierno de los mismos.

Trata de que se haga un análisis de riesgos de todos los procesos que se realicen en la empresa. Con esto conseguirás identificarlos, los responsables de estos, el nivel de importancia que se le da en la empresa, seleccionar los principales riesgos que puedan tener y empezar a poner medidas para reducir el riesgo.

No, al área que se encargue de la ciberseguridad hay que dotarla de suficientes recursos humanos tecnológicos y económicos teniendo en cuenta la evolución constante de las amenazas y vulnerabilidades ya que son dinámicas y cambiantes.

El equipo debe contar con personal profesional cualificado, que marque la estrategia de la empresa en materia de ciberseguridad. Servicios de apoyo externo y Herramientas, además de un Plan de Concienciación, Formación y Capacitación constante que vaya aumentando su Talento.

Todos estos equipos pueden formarse con personal interno, si está debidamente formado y cualificado, o con la contratación de un tercero. O mixtos.

Actualmente existen, entre otras, diferentes leyes relacionadas con la ciberseguridad en función de la actividad y ámbito que desarrolle la empresa:

• Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
• Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
• Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Normativa PCI DSS.

Teniendo en cuenta que los Incidentes de Ciberseguridad es algo habitual que suelen darse en cualquier Organización, País, Estado, etc. Hay que tomarlos como un proceso normalizado dentro de la Organización y la Sociedad. Si se deben intentar gestionar de la forma más eficaz y adecuada posible.

Dependiendo del impacto recibido se debe notificar a la autoridad de control correspondiente:

• CCN-CERT: Para la administración pública.
• INCIBE-CERT: Sector Privado.
• Agencia de protección de datos: Incidentes relacionados con datos de carácter personal.
• Otros Sectoriales como por ejemplo Banco de España o BCE EU, SWIFT, etc. (en caso del Sector Financiero)
• OCC (Oficina Coordinación Cibernética).

Además, es una buena práctica hacer una comunicación pública como ejercicio de transparencia o con los CSIRT existentes a nivel nacional e internacional fomentando la cooperación necesaria y desinteresada.

Sanciones y multas en el ámbito Legal y de Compliance, además de consecuencias reputacionales y de imagen.

La figura designada para tener contacto con las distintas autoridades de control. Normalmente el DPO en la parte de Privacidad y el CISO en la Parte de Ciberseguridad o también el Director de Seguridad.