Entrevista a Alonso Hurtado por ASCOM.
¿Con que conclusión se marcha del debate organizado por ISACA sobre esta nuevo RD Ley que analiza el reglamento del desarrollo de la Directiva NIS?
La primera de todas ellas es el buen estado de salud de la seguridad de la información en España, de las ganas de seguir mejorando y creciendo por parte de todos los agentes implicados, tanto públicos, como privados. Prueba de ello son los más de 1000 asistentes, con representantes de todos los sectores implicados, que llegamos estar conectados en el evento.
Como segunda y principal conclusión el hecho de que este nuevo Reglamento nacional, viene a determinar y concretar con mayor exactitud las medidas que deben adoptar las organizaciones afectadas para lograr aumentar y mejorar la seguridad de la información y que las medidas en él establecidas se orientan, todas ellas, a lograr que aquellos operadores del mercado, sobre los que se sustentan una gran parte de la actividad económica presente y futura de España y de Europa, aumenten su nivel de seguridad de la información, siendo ésta absolutamente determinante para su viabilidad.
¿Qué opinión le merece que dicho RD Ley obliga a ciertas empresas que gestionan servicios esenciales a contar con un Responsable de Seguridad de la Información?
Estoy totalmente de acuerdo con dicha medida, de hecho, considero que llega tarde esta mayor generalización de la obligatoriedad. Al igual que ocurre en el mundo del Compliance, o en el de la Protección de Datos, es absolutamente determinante la obligación de designar un responsable específico que se encargue de dar cumplimiento a las obligaciones normativas, en este caso en materia de Seguridad de la Información.
¿Cree que esta figura podrá extenderse en el resto de las empresas de nuestro país, sabiendo que nuestro tejido empresarial son pymes con escasos recursos?
Sin duda alguna creo que esta figura terminará por extenderse al resto de organizaciones, pero quizá mediante fórmulas más flexibles, mediante la externalización de estas en entidades especializadas.
De hecho, siempre he pensado que este tipo de medidas abre una oportunidad grandísima para las entidades prestadoras de servicios, altamente especializadas, que mediante la concentración de servicios, logren además de una altísima especialización, la escalabilidad necesaria para poder lograr que todo el tejido empresarial acceda a servicios de seguridad de la información y Compliance que cumpla con la calidad mínima exigida.
No obstante, y sin perjuicio de lo anterior, tal y como comentamos en la jornada, quizá este Reglamento no llega en el mejor momento presupuestario para la mayoría de las organizaciones, pero sin duda alguna, sí llega en el momento exacto en el que el uso de tecnologías de la información ha sido, es y seguirá siendo absolutamente determinante para el correcto funcionamiento de la económica nacional y global.
¿Cuál debe ser el perfil profesional de este experto en seguridad que ahora este RDLey pone en primer plano, más jurídico o más volcando al aspecto tecnológico?
Sin duda alguna creo que esta figura terminará por extenderse al resto de organizaciones, pero quizá mediante fórmulas más flexibles, mediante la externalización de estas en entidades especializadas.
De hecho, siempre he pensado que este tipo de medidas abre una oportunidad grandísima para las entidades prestadoras de servicios, altamente especializadas que, mediante la concentración de servicios, logren además de una altísima especialización, la escalabilidad necesaria para poder lograr que todo el tejido empresarial acceda a servicios de seguridad de la información y Compliance que cumpla con la calidad mínima exigida.
Da la sensación que hay un paralelismo entre el compliance officer y este RSI ¿Cómo cree que puede encajar en los programas de compliance el tener que diseñar los riesgos cibernéticos?
Efectivamente. Es uno de los aspectos que pusimos de relieve. La figura del Responsable de Seguridad de la Información, la del Compliance Officer y la de propio Delegado de Protección de Datos presenta múltiples puntos de coincidencia, en tanto todas ellas se encuentran en la segunda línea de defensa de la organización.
La tecnología y, particularmente la ciberseguridad es, sin duda alguna, una de las necesidades principales de los programas de Compliance. Considero que en este momento hace falta especialistas con conocimientos suficientes en Compliance y en Ciberseguridad, algo que desde ASCOM estamos promoviendo permanentemente con acciones formativas específicas en materia de ciberseguridad y Compliance desde el Instituto de Estudios de Compliance (IECOM).
¿Qué es lo más complicado para un compliance officer de entender en materia de ciberseguridad en estos momentos?
Probablemente, la principal barrera para un Compliance Officer en relación con la ciberseguridad y la tecnología en general, no es tanto el conocimiento normativo, sino el conocimiento de la tecnología en sí misma, cómo funciona, y cómo pueden aplicarse de forma efectiva las normativas aprobadas.
Si bien siempre defiendo que el Compliance Officer no puede saber de todo (es imposible) , sí debe tener unos conocimientos mínimos para poder coordinar la actividad relacionada con cada una de las áreas en las que su función se desarrolla.
