Cifrado, cumplimiento y nube. El 19 de junio en Barcelona y el 21 de junio en Madrid, la revista SIC organizarĆ” una nueva edición de su espacio Respuestas SIC, en el que se pasarĆ” revista al estado del arte de las alternativas y soluciones tecnológicas orientadas al despliegue de servicios de seguridad de datos en los ecosistemas TIC empresariales āque en su mayorĆa incorporan tratamientos en la nubeā, con especial atención al de confidencialidad mediante el uso de tĆ©cnicas y mecanismos de cifrado, a fin de determinar su idoneidad, su compatibilidad con otros controles corporativos y las ventajas y los riesgos que puede acarrear su despliegue amplio.
En esta edición se pretende contestar a preguntas tales como: ĀæPara quĆ© tipo de datos y tratamientos deberĆa empezar a contemplarse el uso de cifrado con fines de cumplimiento legal? ĀæQuĆ© propuestas para el cifrado de datos plantean en la actualidad los proveedores de servicios en la nube y los proveedores de servicios de seguridad? ĀæEstĆ”n justificadas tĆ©cnica y organizativamente las razones por las que hasta la fecha existe tanta renuencia por parte de las Ć”reas profesionales de TIC de las empresas a desplegar de forma amplia cifrado de datos en las aplicaciones de uso masivo por los usuarios? ĀæTienen control en las empresas āy concretamente los CISOsā, sobre las polĆticas y procesos de cifrado de datos (estructurados, no estructurados, en movimiento, en reposoā¦) que se pueden estar ejecutando en sus organizaciones?
El asunto no es trivial. AdemĆ”s, conviene tener muy presente que los tiempos parece que tienden a llevarnos a incorporar el cifrado en casi todos los escenarios TIC en los que todavĆa no estĆ” generalizado.
Retraso. No tenemos transpuesta a nuestra legislación la directiva NIS, que entró en vigor a los veinte dĆas de su publicación en el diario oficial de la Unión Europea de 19 de julio del aƱo 2016.
En el punto 1 del artĆculo 25 de la referida Directiva se indica que āLos estados miembros adoptarĆ”n y publicarĆ”n, a mĆ”s tardar el 9 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. InformarĆ”n de ello inmediatamente a la Comisiónā. MĆ”s adelante se dice que āAplicarĆ”n esas medidas a partir del 10 de mayo de 2018ā.
Papel mojado. Entre el tiempo que se han tomado las estructuras de la ciberseguridad nacional para suavizar sus tensiones, los singulares procesos de consenso entre los partidos polĆticos, los elocuentes silencios pĆŗblicos de los lobbies y el tiempo que les lleva a las administraciones pĆŗblicas (a unas mĆ”s que a otras) ejercitar la posibilidad que tienen de realizar apreciaciones en los textos antes de que queden listos para que el Ejecutivo los traslade al Legislativo,⦠no ha sido factible tener la informalmente llamada ley de ciberseguridad. Y, a la postre, lector, ĀæquiĆ©n tiene prisa? Total, solo es una Directiva.
CISOs enojados. El acrónimo del CNPIC sigue siendo el mismo; pero la denominación completa del ente, que cuando se creó obedecĆa a Centro Nacional para la Protección de Infraestructuras CrĆticas, cambió no hace mucho tiempo al de Centro Nacional para la Protección de Infraestructuras y Ciberseguridad. Teniendo tan explĆcito el tĆ©rmino Ciberseguridad, parece sensato que a la hora de notificar lo que haya que notificar en este campo de actividad, se haga tambiĆ©n a los CISOs. De lo contrario, se enojarĆan con razón. Y tener a los responsables de la seguridad de la información de las organizaciones reguladas por la LPIC con la mosca detrĆ”s de la oreja serĆa una seƱal de que las cosas se pueden enfocar mejor.