Ciberseguridad: regulación europea y el papel de Auditoría Interna

Analizamos el marco regulatorio que se está gestando en la Unión Europea en materia de ciberseguridad y que ha convertido esta materia en una prioridad para todos. También abordamos la aplicación práctica de las normas.

De la mano de Vicente MoretLetrado de las Cortes Generales y Of Counsel en Andersen, analizamos al detalle el marco regulatorio que se está gestando en la Unión Europea en materia de ciberseguridad y que supone un cambio de paradigma relevante: la ciberseguridad se ha convertido en una prioridad para todos. Y de la regulación pasamos a la práctica, a la traslación de las normas al día a día de las empresas, con la intervención de Jon Fernández Ellacuría, de Auditoría TI Iberdrola, que presentó las líneas maestras del modelo estratégico en ciberseguridad de la energética.

Ciberseguridad como fortaleza

Moret subraya la relevancia que ha adquirido el riesgo de ciberseguridad. “Tener un nivel adecuado de ciberseguridad se convierte en una fortaleza, una ventaja competitiva, pero sobre todo se convierte en una posible causa que puede acabar con la supervivencia de la empresa, especialmente en pequeñas y medianas empresas, que no tienen los recursos apropiados para poder defenderse de un ciberataque”, comenta.

La intensa labor regulatoria que está llevando a cabo Europa, especialmente desde 2020, tiene como objetivo “garantizar que la ciberseguridad sea un parámetro para tener en cuenta en cualquier proceso de cambio en las administraciones, estados, organizaciones y empresas”.

Adaptarse a ese marco regulatorio deber ser, según el experto “una prioridad para cualquier entidad que participe de un proceso de transformación digital”.

En su repaso por la regulación actual y de la que está por venir, Moret apunta los aspectos más relevantes de normativas como: el Marco Estratégico de la Unión EuropeaShaping Europe’s Digital FutureDigital CompassNIS2DORAelDAS2Resiliencia Infraestructuras CríticasNext Generation Plan; así como el RD 43/2021. Y resume las tendencias de fondo que se pueden extraer de estas regulaciones en los diez puntos siguientes:

Grandes líneas de acción

    1. Atribución de responsabilidad al Consejo de Administración
    2. La importancia de la cadena de suministro
    3. La gobernanza interna de la ciberseguridad como elemento clave
    4. Los planes de continuidad
    5. El control de las autoridades se incrementa: las sanciones, el coste reputacional
    6. La centralidad de procesos y personas
    7. La certificación como elemento central
    8. El cumplimiento normativo: una nueva función legal de ciberseguridad
    9. La comunicación
    10. La autorregulación como solución ante la falta de respuestas

DORA, clave en las empresas financieras 

El experto pone énfasis en la regulación europea que en materia de seguridad se ha desarrollado para el sector financiero, la Ley de Resiliencia Operativa Digital (DORA). “Hay un antes y un después de DORA por muchas razones que podríamos resumir en dos. En primer lugar, porque es un reglamento europeo que se aplicará directamente a todos los países miembros sin necesidad de trasposición interna. Y, en segundo lugar, porque ofrece un patrón para enfocar la organización de la ciberseguridad en las empresas, de momento, del sector financiero, aunque puede ser probable que acabe aplicándose a otros sectores de actividad como energía, agua, telecomunicaciones, etcétera”, reflexiona Moret. “De hecho, ya hay grandes empresas que están voluntariamente adaptándose a esta regulación”, añade.

Ciberseguridad en Iberdrola

Jon Fernández Ellacuría, auditor interno de TI de Iberdrola, desgranó la forma en que la eléctrica afronta el gran reto de la ciberseguridad, algo en lo que es un referente empresarial y en lo que lleva tiempo trabajando con un marco propio y un posicionamiento estratégico claro. “En lugar de un enfoque reactivo, que sería limitarse a responder puntualmente a cada una de las diferentes regulaciones globales o locales, Iberdrola tiene un enfoque proactivo hacia la ciberseguridad. Lo que hemos hecho ha sido establecer un modelo o marco especifico con unos requisitos propios dirigidos por los criterios de negocio de Iberdrola, nuestras responsabilidades, valores y objetivos, y desde ahí respondemos a las regulaciones que, en muchos casos, están alineadas con los propios objetivos de Iberdrola”, subraya el auditor interno de la energética.

Jon Fernández destaca el papel de Auditoría Interna para impulsar la política de ciberseguridad, la dedicación de recursos e importancia de poner el foco en el modelo gobierno versus las auditorías técnicas.  Y a la hora de señalar aspectos relevantes de las lecciones aprendidas, el auditor interno de Iberdrola apunta tanto la ruptura de los clásicos silos organizacionales, como la importancia de la formación técnica y cultural del equipo.

Inscribirme
Ver sesión completa en AUDITORES INTERNOS TV