Cifrado, cumplimiento y nube. El 19 de junio en Barcelona y el 21 de junio en Madrid, la revista SIC organizará una nueva edición de su espacio Respuestas SIC, en el que se pasará revista al estado del arte de las alternativas y soluciones tecnológicas orientadas al despliegue de servicios de seguridad de datos en los ecosistemas TIC empresariales –que en su mayoría incorporan tratamientos en la nube–, con especial atención al de confidencialidad mediante el uso de técnicas y mecanismos de cifrado, a fin de determinar su idoneidad, su compatibilidad con otros controles corporativos y las ventajas y los riesgos que puede acarrear su despliegue amplio.

En esta edición se pretende contestar a preguntas tales como: ¿Para qué tipo de datos y tratamientos debería empezar a contemplarse el uso de cifrado con fines de cumplimiento legal? ¿Qué propuestas para el cifrado de datos plantean en la actualidad los proveedores de servicios en la nube y los proveedores de servicios de seguridad? ¿Están justificadas técnica y organizativamente las razones por las que hasta la fecha existe tanta renuencia por parte de las áreas profesionales de TIC de las empresas a desplegar de forma amplia cifrado de datos en las aplicaciones de uso masivo por los usuarios? ¿Tienen control en las empresas –y concretamente los CISOs–, sobre las políticas y procesos de cifrado de datos (estructurados, no estructurados, en movimiento, en reposo…) que se pueden estar ejecutando en sus organizaciones?

El asunto no es trivial. Además, conviene tener muy presente que los tiempos parece que tienden a llevarnos a incorporar el cifrado en casi todos los escenarios TIC en los que todavía no está generalizado.

Retraso. No tenemos transpuesta a nuestra legislación la directiva NIS, que entró en vigor a los veinte días de su publicación en el diario oficial de la Unión Europea de 19 de julio del año 2016.

En el punto 1 del artículo 25 de la referida Directiva se indica que “Los estados miembros adoptarán y publicarán, a más tardar el 9 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán de ello inmediatamente a la Comisión”. Más adelante se dice que “Aplicarán esas medidas a partir del 10 de mayo de 2018”.

Papel mojado. Entre el tiempo que se han tomado las estructuras de la ciberseguridad nacional para suavizar sus tensiones, los singulares procesos de consenso entre los partidos políticos, los elocuentes silencios públicos de los lobbies y el tiempo que les lleva a las administraciones públicas (a unas más que a otras) ejercitar la posibilidad que tienen de realizar apreciaciones en los textos antes de que queden listos para que el Ejecutivo los traslade al Legislativo,… no ha sido factible tener la informalmente llamada ley de ciberseguridad. Y, a la postre, lector, ¿quién tiene prisa? Total, solo es una Directiva.

CISOs enojados. El acrónimo del CNPIC sigue siendo el mismo; pero la denominación completa del ente, que cuando se creó obedecía a Centro Nacional para la Protección de Infraestructuras Críticas, cambió no hace mucho tiempo al de Centro Nacional para la Protección de Infraestructuras y Ciberseguridad. Teniendo tan explícito el término Ciberseguridad, parece sensato que a la hora de notificar lo que haya que notificar en este campo de actividad, se haga también a los CISOs. De lo contrario, se enojarían con razón. Y tener a los responsables de la seguridad de la información de las organizaciones reguladas por la LPIC con la mosca detrás de la oreja sería una señal de que las cosas se pueden enfocar mejor.

Documento en PDF
Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×