Cifrado, cumplimiento y nube. El 19 de junio en Barcelona y el 21 de junio en Madrid, la revista SIC organizarĆ” una nueva ediciĆ³n de su espacio Respuestas SIC, en el que se pasarĆ” revista al estado del arte de las alternativas y soluciones tecnolĆ³gicas orientadas al despliegue de servicios de seguridad de datos en los ecosistemas TIC empresariales āque en su mayorĆa incorporan tratamientos en la nubeā, con especial atenciĆ³n al de confidencialidad mediante el uso de tĆ©cnicas y mecanismos de cifrado, a fin de determinar su idoneidad, su compatibilidad con otros controles corporativos y las ventajas y los riesgos que puede acarrear su despliegue amplio.
En esta ediciĆ³n se pretende contestar a preguntas tales como: ĀæPara quĆ© tipo de datos y tratamientos deberĆa empezar a contemplarse el uso de cifrado con fines de cumplimiento legal? ĀæQuĆ© propuestas para el cifrado de datos plantean en la actualidad los proveedores de servicios en la nube y los proveedores de servicios de seguridad? ĀæEstĆ”n justificadas tĆ©cnica y organizativamente las razones por las que hasta la fecha existe tanta renuencia por parte de las Ć”reas profesionales de TIC de las empresas a desplegar de forma amplia cifrado de datos en las aplicaciones de uso masivo por los usuarios? ĀæTienen control en las empresas āy concretamente los CISOsā, sobre las polĆticas y procesos de cifrado de datos (estructurados, no estructurados, en movimiento, en reposoā¦) que se pueden estar ejecutando en sus organizaciones?
El asunto no es trivial. AdemĆ”s, conviene tener muy presente que los tiempos parece que tienden a llevarnos a incorporar el cifrado en casi todos los escenarios TIC en los que todavĆa no estĆ” generalizado.
Retraso. No tenemos transpuesta a nuestra legislaciĆ³n la directiva NIS, que entrĆ³ en vigor a los veinte dĆas de su publicaciĆ³n en el diario oficial de la UniĆ³n Europea de 19 de julio del aƱo 2016.
En el punto 1 del artĆculo 25 de la referida Directiva se indica que āLos estados miembros adoptarĆ”n y publicarĆ”n, a mĆ”s tardar el 9 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. InformarĆ”n de ello inmediatamente a la ComisiĆ³nā. MĆ”s adelante se dice que āAplicarĆ”n esas medidas a partir del 10 de mayo de 2018ā.
Papel mojado. Entre el tiempo que se han tomado las estructuras de la ciberseguridad nacional para suavizar sus tensiones, los singulares procesos de consenso entre los partidos polĆticos, los elocuentes silencios pĆŗblicos de los lobbies y el tiempo que les lleva a las administraciones pĆŗblicas (a unas mĆ”s que a otras) ejercitar la posibilidad que tienen de realizar apreciaciones en los textos antes de que queden listos para que el Ejecutivo los traslade al Legislativo,ā¦ no ha sido factible tener la informalmente llamada ley de ciberseguridad. Y, a la postre, lector, ĀæquiĆ©n tiene prisa? Total, solo es una Directiva.
CISOs enojados. El acrĆ³nimo del CNPIC sigue siendo el mismo; pero la denominaciĆ³n completa del ente, que cuando se creĆ³ obedecĆa a Centro Nacional para la ProtecciĆ³n de Infraestructuras CrĆticas, cambiĆ³ no hace mucho tiempo al de Centro Nacional para la ProtecciĆ³n de Infraestructuras y Ciberseguridad. Teniendo tan explĆcito el tĆ©rmino Ciberseguridad, parece sensato que a la hora de notificar lo que haya que notificar en este campo de actividad, se haga tambiĆ©n a los CISOs. De lo contrario, se enojarĆan con razĆ³n. Y tener a los responsables de la seguridad de la informaciĆ³n de las organizaciones reguladas por la LPIC con la mosca detrĆ”s de la oreja serĆa una seƱal de que las cosas se pueden enfocar mejor.
