Josep Ros, CEO de Encora. 00:10
Bienvenidos al a este webinar de Encora, en el que os presentamos una nueva línea de negocio de nuestro departamento de Compliance y Legal en Encora.
Me acompaña nuestra Responsable de esta línea de negocio que es Estefanía Lesmes. Os vamos a contar 5 puntos que son la Ley de Protección de Datos, SGSI, ISO27001, ENS y NIS2. En Encora estamos comprometidos con ofrecer los mejores servicios a nuestros clientes. Ser útiles y ofrecer servicios prácticos y aplicables desde el minuto 1 es una de nuestras obsesiones.
Bienvenida a Estefanía.
Estefanía Lesmes – Technical Leader of Compliance & Legal (00:33)
Encantada estar aquí. Muchas gracias Josep
Josep Ros
Gracias a ti. Estefanía es una abogada que se ha incorporado en nuestro Encora Team desde hace unos meses y nos está ayudando internamente en todo lo que es poner en orden en la casa. Esto es lo que le pasa a muchas empresas que el día a día, ¿verdad? al final no da no da para estar al día y no podemos estar en misa y repicando.
Nuevos servicios de Encora: Ley de Protección de Datos, SGSI, ISO27001, ENS y NIS2.
Como sabéis estamos haciendo un Encora Webinar cada mes, más o menos. Ya hemos hecho alguno de Object First y de presentación también de los Servicios de Microsoft y Azure con Nacho Gil y y este que vamos a hacer hoy de presentación de lo que es la línea de negocio de Compliance y Legal.
1:15
No va a ser una cosa súper extensa de explicarlos, un servicio en concreto, sino que hemos a hacer la presentación de todo esto que veis aquí. De la Ley de protección de datos, del sistema de gestión de seguridad SGSI, de la ISO27001, de la ENS y de la NIS2, la ley europea que nos lleva a todos por la calle de la amargura, porque además, son cosas que iremos comentando, son bastante obligatorias y si no hacemos los deberes pues vamos a septiembre y nos puede caer una buena multa.
Además cualquier proveedor como Encora, pues tiene que estar alineado con sus clientes. Nosotros que trabajamos con clientes medianos y grandes nos encontramos que nos dicen: «oye nosotros tenemos el esquema nacional de seguridad nivel medio. ¿Y vosotros?» y claro… hay que alinearse, hacer las certificaciones que tocan para estar ahí y no desaparecer como proveedor de clientes tan importantes.
También abriremos un turno de preguntas, así que vamos al turrón. Qué ilusión poderos presentar estos nuevos servicios que va a llevar nuestra compañera Estefanía Lesmes.
2:30
En Encora os podemos ayudar en una doble vertiente en la aplicación de la Ley de Protección de Datos. Por una parte en toda la parte legal, ayudar a vuestro equipo legal a orientarle por si no tiene claro todos estos temas tan relacionados con la informática. Por otra parte aterrizar a nivel técnico las cuestiones que nos exigen las certificaciones para tener la SGSI adecuada o la ISO27001, el ENS o la NIS2. Nuestro equipo de ingenieros especialistas en Infraestructuras, Cloud, Servicios Gestionados y Ciberseguridad os pueden dar un gran apoyo.
Finalmente hay que pasar un examen por parte de Aenor, aquí en España es la única empresa que puede hacerlo.
Sucede en ocasiones que los clientes no tienen un departamento legal especializado en Ley de Protección de Datos o no tiene un equipo informático que tenga tiempo para llevar a cabo la implementación de los cambios de seguridad obligatorios. En cualquiera de las dos cuestiones desde Encora os podemos ayudar.
Ley de Protección de Datos
Vamos con el primer apartado de la Ley de Protección de Datos. Adelante Estefanía.
4:26
Estefanía Lesmes
Pues aquí realmente lo primero de todo, la importancia es innegable, ya no solo porque obviamente hay un cumplimiento normativo que toda empresa tiene que cumplir. Da igual si eres grande, si eres pequeña, si eres mediana, esto no le importa al legislador.
A nivel europeo surgió el reglamento el reglamento europeo en el año 2016 y luego, consecuentemente, dos años después, su transposición en España con la LOPD. Esto lo que hace es que todas las empresas tienen que tener regulado este tema.
A mayores ya no solo es que es el hecho de que sea una normativa como tal y ya está, sino que, sobre todo en España tenemos a la a la Agencia Española de Protección de datos, que es un órgano muy muy activo, ya no solo a nivel de guías de directrices sobre como tenemos actuar, sino también a nivel sancionador.
Es una normativa que puede que antes no se conociera tanto, pero ahora cada vez más, sobretodo con las sanciones que está llevando a cabo la AEPD en algunos casos, si nos vamos a los más más altos de un mayor incumplimiento, podríamos llegar hasta un 4% de la de la facturación anual, que no es una sanción leve.
Ya no solo es un tema de que sea un cumplimiento legal, no sino que yo creo que cada vez más la gente conoce más el tema de protección de datos y estar más concienciado entonces que una empresa le pueda dar esta seguridad. Esta garantía, pues también es como un punto, un punto añadido, un valor añadido que le puede dar que le puede dar la empresa, ¿no?
Principios de Protección de Datos
5:50
Y bueno, un poquito más. Si nos vamos ya pues a la parte de principios, ¿no? de como se crea toda toda esta legislación, estos son los principios.
No voy a andar en detalle, obviamente por no alargar esto mucho más. Pero si hay que tener en cuenta que cada empresa es un mundo. Es decir, no todos los principios afectan de la misma manera cada a cada empresa. Y es por eso importante personalizarlo a nuestra situación.
No hay una talla única de protección de datos para para, para todas las empresas, que es muchas veces lo que desde la consultoría se intenta.
Pero esto no no puede ser. No puede ser así desde Encora luchamos mucho por esta adaptación al cliente, por adaptarlo a sus a sus necesidades. Este es un poco el signo de valor no que nos representa. Si quieres, comentamos un poquito sobre los principios, de dudas que pueda ver a nivel más general, porque al final yo vengo de la parte legal y lo conozco.
Josep Ros
Sí, a mí hay una cosa que hay aquí que es licitud que me rompe la cabeza. No se qué demonios es esa palabra. Cuéntanos.
Estefanía Lesmes – 6:52
Pues, pues aquí licitud se basa en que el tratamiento que hagamos de cualquier dato personal, tenga una base legal detrás. Lo que te marca la normativa te marca una serie de bases legales como puede ser:
- El consentimiento del interesado.
- Que haya un contrato detrás.
- Que haya una obligación legal.
- Que haya un interés legítimo.
Todo esto ya te lo marca la normativa. Si nosotros hacemos un tratamiento, sin esta base legal detrás, estaríamos incumpliendo. Nos podríamos realizarla. Estoy hay que tener lo que tener en cuenta. Vendía a ser el típico concepto de que sea lícito el tratamiento no viene. Viene un poquito de aquí.
¿No sé si algún otro punto que quieras que comentemos?
Josep Ros – 7:29
Lo de minimización de datos tampoco acabo de entender muy bien qué significa. Cuéntame.
Estefanía Lesmes
Pues de aquí es bastante sencillo. Es el tema de que nosotros para hacer un tratamiento, al final, imagínate que tú y yo vamos a formalizar un contrato. Yo al final de ti, solo voy a necesitar nombre y apellidos, el NIF, la firma del contrato y luego un dato bancario para el pago.
No necesito nada mas. Y de esto se trata de que yo solo recoja los datos que voy a necesitar. Y esto es muy importante, ¿no? Muchas veces vemos que nos piden datos para hacer según que cosas. Pues esto. Conforme la normativa y este principio no estaría no estaría permitido.
Y luego podemos comentar algún otro principio, que considero bastante importante. Sobre todo por un poco también el valor que puede dar Encora. Es el tema de la responsabilidad proactiva, que es el último de los principios lo que te dice la normativa no es que simplemente yo te ponga aquí la normativa y tú tengas que cumplir, sino que la empresa también tiene que integrar este concepto y todo lo que vaya desarrollando.
Todos los datos que maneja, tiene que mostrarse pro activamente a favor de ese cumplimiento y a favor de reforzar unas medidas de seguridad.
Yo no solo es que que trate tus datos conforme a lo que marca la normativa, sino que a nivel de seguridad, estos datos también tienen que tener su confidencialidad, su integridad y yo poder demostrarlo y hacerlo desde antes de. No simplemente cuando yo diga vale, ahora implemento la normativa, sino que todo mi universo, digamos de gestión del dato, tiene que tener estos estos principios integrados.
Servicio de Protección de Datos by Encora
8:55
Y aquí nos surge la pregunta de cómo nos puede ayudar a ayudar Encora a todo este tema.
Nosotros siempre partimos de la base de la adaptación al cliente. Es decir siempre vamos a partir de: ¿de dónde de dónde parte el cliente a nivel de protección de datos y cómo le podemos ayudar?.
Si el cliente es una nueva empresa que se está desarrollando o pues tiene la normativa obsoleta. Por ejemplo, hay muchas veces que vemos en contrato la normativa del 99. Si tenemos esto en día, es casi mejor no tener nada que tener eso.
Entonces haríamos toda una adecuación a la normativa. Pues dar soporte, por ejemplo, en un análisis de riesgos previo en toda el marco documental. Si tiene cualquier ejercicio de derechos de cualquier interesado o tiene una brecha de seguridad, también podríamos darle soporte.
9:39
Hay diferentes modelos donde podemos dar servicio desde una implementación únicamente. También podemos hacer un mantenimiento activo. Dar es ese soporte al cliente para ayudarle a gestionar su cumplimiento en materia de protección de datos.
SGSI by Encora
9:53
Y ahora vamos ya con el segundo de los puntos que es el SGSI.
Josep Ros – 9:58
Muy bien, esto es una palabra de estas chungas que nos aparece por ahí. ¿Vale? Y que los que somos ajenos a todo el tema de derecho y todo el tema legal nos viene un poco ¿que demonios es? ¿Algo de seguridad social. ¿Qué demonios es esto? Cuéntanos.
Estefanía Lesmes – 10:12
Pues mira, el Sistema de Gestión de la Seguridad de la Información es tan sencillo como pensarlo como el cerebro de nuestra organización.
Al final, nosotros, sobretodo desde Encora nos dedicamos mucho a implantar herramientas de seguridad. Y aquí lo que se trata es de que todo el mi sistema de información tanto de herramientas como el propio activo de la información. Tenerlo bien procedimiento.
Es decir, tener unas directrices claras, unos procedimientos claros que mis recursos estén optimizados todo esto en base a los riesgos que yo tengo como como organización.
Nosotros, en este sentido, haríamos una evaluación inicial de los riesgos que tiene la empresa. Y a partir de aquí ya se diseñaría todo un sistema que se trata de ir mejorando a medida que se va ejecutando.
¿La finalidad cuál es? Es claro: los tres pilares de la serie de información que son la confidencialidad, la integridad y la disponibilidad del dato.
Y luego nosotros a mayores. Añadimos siempre la autenticidad y la trazabilidad que cada vez se engloban también dentro de estos pilares y sobre todo porque de cara la trazabilidad es muy importante, sobre todo la gestión de incidentes. Me interesa saber que ha pasado y tenerlo todo bien, bien controlado y bien y bien atado.
¿Qué permite un SGSI bien implementado?
11:22
Efectivamente aquí nuestro sistema de gestión de la información no solamente cubre nuestra casa, sino también la gente de fuera que nos viene, que nos viene a trabajar o la gente a la cual nosotros les damos los datos para que nos hagan ciertos ciertos trabajos, ¿no?
Al final, siempre hay que tener en cuenta que cualquier trabajo proveedor externo que trabaje con nosotros hay que pedir una serie en medida de seguridad que debe cumplir.
¿Qué nos permite tener un sistema de gestión bien implementado? En este sentido, por ejemplo, identificar y mitigar los riesgos de una forma proactiva y preventiva. Es decir, anticiparnos ya a lo que a lo que pueda pasar.
12:01
Cumplimiento con ciertas normativas, porque muchas veces hay normativas que se basan en los mismos principios.
Entonces, tener un sistema de gestión nos permite luego si queremos certificarnos o adaptarnos a cualquier normativa, ya tener una base muy sólida de forma que puedan podamos avanzar mucho más rápido en el proceso de certificación.
Mejorar la eficiencia de procesos y recursos. Prevenir incidentes. Asegurar la continuidad del negocio.
Al final, se trata de optimizar lo que ya tenemos y documentarlo y procedimentarlo de forma que quede claro. Porque siempre tenemos que intentar que todo el personal de nuestra organización esté concienciado en materia de seguridad y hacerlo participe.
De nada me vale tener herramientas muy potentes si luego mi usuario no sabe cómo manejarlas o las maneja de una forma ineficiente o inadecuada.
Esto hay que tenerlo también en cuenta, porque también se contempla dentro del sistema de gestión ese plan formativo de concienciación a los trabajadores. Y al final se resume en que generamos confianza a nuestros clientes, a nuestros clientes, a nuestros socios y al final en el mercado es es un signo distintivo tener un sistema de gestión bien implementado.
Josep Ros 13:03
Genial. Muy bien
Servicios SGSI by Encora
Estefanía Lesmes 13:05
¿Y cómo podemos ayudar desde aquí? Pues lo que haríamos, como siempre sería adaptarnos a lo que el cliente necesite. Nosotros lo que haríamos sería un diagnóstico inicial, ver un poquito desde qué punto partimos. Siempre haríamos un análisis de riesgos en este diagnóstico para conocer los riesgos que tiene la entidad y trazar un plan de mejora de estos de estos riesgos.
Diseñaríamos todos los procesos, elaboración de procedimientos, verificación de cumplimiento normativos y tiene, por ejemplo, algunas obligaciones concretas como empresa, como puede ser DORA, por ejemplo.
Luego también daríamos soporte en esa gestión de incidentes y acciones de formación o concienciación si lo necesita la empresa.
Josep Ros – 13:46
Aquí. Permíteme decir, pues efectivamente, como bien comenta, hay empresas que están muy maduras, otras que lo tienen hecho un desastre. Y a veces no es tanto el tema de las cosas que realmente hay que hacer a nivel legal, que es sota, caballo rey, como muchas veces, un problema de comunicación.
Suele haber un poco de lío dentro de que, si el departamento informática, que si el departamento legal que tal vez no haya como tal o no sé qué. Un problema de comunicación de organización. Un tema político dentro de la empresa, ¿vale?. El tener una una empresa externa como pueda ser Encora, en este caso, puede servir como de espejo de decir oye, esto lo tenéis mal, la sota bien al rey bien, pero el caballo está mal.
Vamos a cambiarlo. Podemos ayudar a dar los pasitos y a limar asperezas a veces entre entre recursos internos de la empresa. ¿No? Vale que estos efectivamente es muy humano. Y para eso estamos.
Estefanía Lesmes – 14:51
Sí, al final aquí nosotros, lo que hacemos, claro, ves todo, entonces ves hasta debajo de la alfombra, digamos de la casa del cliente. Entonces, si que muchas veces nosotros no somos críticos o a lo mejor no lo vemos porque lo hemos tenido siempre, así no que esto algo muy común. Yo siempre he trabajado así. Entonces yo pensaba que estaba que estaba haciéndolo bien, ¿no?
Entonces también tener esa visión externa. Para que nos hagan ver alguna forma en lo que podemos mejorar. Y ya no solo eso, sino que al final implementar un sistema de gestión o luego la ISO, no como comentaremos a continuación, es un proceso muy largo. Entonces, tener estas pautas, estos, digamos estos timings marcados también ayuda bastante a sacar el trabajo no?
ISO27001 by Encora
Josep Ros – 15:32
Estupendo. Seguimos. Pues venga la gran joya de la corona hoy día que es la hizo que da un miedo tremendo porque nos metemos ahí en un fangal importante. Esto es un montón de trabajo y esto no es algo que compres. No voy a ir, me gasto x dinero. No sé cuántos miles de euros y ya la tengo.
Que bonita. Sino que es un poco cambiar nuestra forma de pensar nuestra forma de trabajar, verdad? Y no puntualmente. Ahora cambiamos esto, nos vestimos de lagarterana un año y luego volvemos a quitarnos el disfraz. ¿No? Esto es algo ya estructural a nivel de pensamiento a nivel de forma de trabajar mucho más serio.
De una forma más así de estar por casa, no más profesional, verdad? Cuéntame el detalle de que es la hizo 27001 y a quién le aplica.
Estefanía Lesmes – 16:25
Así es, lo último que decías al final, no se trata solo de superar una certificación porque luego esta certificación vas a tener que ir renovándola cada cierto tiempo y cada vez va a ser más complicado renovarla porque siempre se trata de un ciclo de mejora continua. No podemos tener los el mismo que teníamos hace hace dos años, sino que tenemos que tenerlo mejor.
Entonces antes comentábamos el sistema de gestión de seguridad de la información como el cerebro de la seguridad dentro de una empresa.
La ISO no es otra cosa que un estándar internacional que te verifica que ese sistema de gestión de seguridad de la información supera sus controles.
Es decir, la ISO estable unos controles de lo que ellos entienden que tiene que tener un buen sistema de la información. Y en base a eso, si nosotros superamos todos los controles, tendríamos esta certificación.
Hay que tener en cuenta aquí que a diferencia de otras normativas, como puede ser el esquema nacional de seguridad, la ISO no exige unas medidas concretas. Marca un poco el cómo entiende que debería tenerlo, pero siempre adaptado a cada empresa. Es decir, Marca las líneas generales.
Y esto a veces es bueno y a veces es malo. ¿Por qué? Porque al ser una normativa tan ambigua, muchas veces hace que nosotros no tengamos muy claro que nos está pidiendo o como plasmarlo sobre el papel, sobre nuestros procedimientos y aquí tener este soporte externo muchas veces es muy recomendable para un poco aterrizar, digamos la ISO en nuestra empresa.
ISO27001: Planificación
18:02
Como muchas veces esto es tan tedioso y sí que es verdad que es un procedimiento bastante largo en el tiempo. No podemos pensar que una ISO la podemos pasar en dos, tres meses, porque en la mayoría de las casos, suelen ser de 10 a 12 meses. Es es un proceso bastante bastante largo.
Y lo que comentabas tú antes, Josep. Es un proceso en el cual si podemos ver aquí las fases una vez llego a la de seguimiento, luego vuelvo a la de mejor a continua y realmente vuelvo a empezar. Vuelvo a planificar otra vez. Vuelvo a implementar los cambios que yo propongo.
Nosotros aquí exponemos una planificación que entendemos que la normativa lo marca así. Es decir, una fase de iniciación donde yo veo el contexto de la empresa. Veo realmente si la dirección es colaborativa con esta certificación , si los trabajadores están involucrados y luego ya pasamos a la fase de planificación.
Hacemos un análisis del estado de la empresa en base a sus a sus riesgos. Y luego trazamos un plan de tratamiento del riesgo y una declaración de aplicabilidad en función de la ISO, lo que me aplica o no.
Fase de implementación: ya hablaríamos todo el tema de procedimientos, políticas, directrices de actuación, etc. Para luego parametrizarlas.
Es decir, la fase de seguimiento no es otra cosa que una monitorización. Es decir, verificar que lo que yo he implementado, lo he hecho correctamente o no. Y ahí ya podría empezar a valorar una auditoria y valorar la certificación de Aenor.
Tanto el auditor como el certificador siempre tiene que ver que tú has seguido un proceso y que este proceso lo implementado correctamente. Y luego ya fase de mejor a continua y volveríamos.
Volveríamos a empezar siempre un tema circular.
Josep Ros – 19:40
Estefanía, ¿qué personas clave de la empresa tienen que implicarse en la ISO?
Estefanía Lesmes – 19:50
Perfecto. Pues aquí en normalmente, la ISO sí que define varios varios roles de de seguridad. Siempre tiene que haber un responsable de la información, un responsable de seguridad.
Nosotros también recomendamos tener más figuras como las que plantea el ENS para que todo esté bien gestionado. Es decir, también un responsable del servicio, un responsable de los sistemas.
Pero, al margen de los responsables, hay que tener claro que todo el personal tiene que estar concienciado y tiene que formar parte de la ISO porque todos los procedimientos que se van a plantear se tienen que comunicar a los trabajadores y los trabajadores lo tienen que absorber como suyo.
Es decir, tiene que ser unas pautas para todos por igual. Sí que es verdad que obviamente a nivel de responsabilidades hay responsables que tienen más obligaciones que las que puede tener un trabajador corriente, por así decirlo.
20:40
Y aquí ¿como podemos ayudar nosotros?
Pues al final nosotros, lo que haríamos es un diagnóstico como hacemos con el SGSI, es decir, ver un poco de dónde partimos y ya empezaríamos con todas las fases que he comentado antes.
Empezaríamos por el contexto. Aquí si que es verdad, que es lo que tú comentabas antes, que a veces es muy interesante que haya ese soporte externo que nos haga este contexto, este análisis del contexto para ver un poco como tenemos la casa, por así decirlo.
Y en base a eso ya plantear toda la serie de fases. Nosotros participaríamos en la implantación, como si luego queremos hacer recertificaciones. También podríamos participar en esta tarea de mejora continua.
Si es una empresa, por ejemplo, que ya lo ha integrado porque ya tiene su propio departamento, ya ha hecho esta implementación. Nosotros podríamos colaborar en una auditoría interna previa a la certificación, que siempre tiene que hacer un órgano independiente de quien ha hecho esa implementación.
Y luego también acompañamiento en cualquier auditoría que tenga la empresa o cualquier certificación. Porque siempre es importante saber que que nos están pidiendo y cómo dar respuesta al al auditor o certificador.
ENS
Josep Ros – 21:53
Ahora ya cambiamos de tema. El Esquema Nacional de Seguridad o ENS. Son todos temas que están un poco ligados entre sí. No podemos hacer una ISO27001 sin que la ley protección de datos también esté implicada.
Entonces ENS esto cuéntame que es a quien aplica. ¿Por qué? Si nos tenemos que preocupar o no. Es obligatorio para administraciones públicas. Y si nosotros ni somos una administración pública ni somos un proveedor de una administración pública, ¿nos aplica o nos aplica? Cuéntame, por favor.
Estefanía Lesmes – 22:32
Pues el ENS es un marco normativo que es únicamente de aplicación en España. Es un estándar de buenas prácticas a nivel de ciberseguridad bastante potente.
También es verdad que tiene diferentes categorías y en base a eso, exige unas medidas u otras como luego veremos. Pero establece en definitiva unos principios básicos y unos requisitos mínimos para la protección de la información.
Esta normativa al inicio surgió principalmente para las administraciones públicas. No obstante, cada vez más, digamos todos los proveedores que quieren trabajar con estas administraciones públicas van a tener que certificarse.
Es decir, si yo soy un proveedor de algún servicio esencial de estas administraciones, voy a tener que adaptarme al esquema nacional de seguridad y en cualquiera de las categorías, no, normalmente depende de la que me pida a la administración.
23:21
Si nosotros, como como empresa privada la ley no nos va a obligar. Pero es un signo de reconocimiento porque el esquema nacional los pide unas medidas bastante altas a nivel de seguridad antes.
Es decir si yo como empresa te digo que tengo un ENS de categoría media te estoy diciendo que tengo un buen sistema de gestión de seguridad bien implementado y con unos controles que me marca la normativa nacional. Que son bastante altos, bastante exigentes. Es decir le doy una garantía a mis clientes, a mis colaboradores y al mercado, en definitiva de que tengo un buen sistema de gestión de seguridad de información bien implementado y con buenos controles.
Categorías de seguridad de ENS
24:00
Como comentaba antes la ISO es bastante ambigua es decir, te dice más o menos cómo debes gestionar tu sistema.
El ENS para nada. El ENS te dice exactamente hasta qué control de acceso tienes que implementar e incluso el cifrado te dice el número de bit exactos que tiene que tener ese cifrado como mínimo. Es decir, va muchísimo más allá, no solo esa normativa, sino que hay muchísimas guías de desarrollo que te lo exigen.
En función de la categoría que nos queramos certificar, por así decirlo, tenemos unas serie de medidas o otras.
¿De qué va a depender esta categoría? A nivel de administraciones públicas tienen su propia guía. Es decir, que en función de los datos que manejen, se les va a categorizar.
A nivel de proveedores, en la práctica, suele ser el que me pida la administración de turno. Es decir, si yo voy a optar a una licitación pública, si me piden categoría media, va a ser la que me voy a certificar no tiene sentido que me certifique de la básica. Si no me me va a servir.
Yo como consultora que he realizado muchos ENS y os puedo asesorar, siempre recomiendo certificarme en la en la categoría media porque porque te da un muy buen estándar a nivel de seguridad y no te exige unas medidas tan altas como la categoría alta que si que va muchísimo más allá.
Y a nivel de costes también. También se se nota por así decirlo.
Josep Ros – 25:21
La básica no nos recomendarías, ¿no? Si nos ponemos, si nos arremangamos, hacemos la media ya, ¿verdad?
Estefanía Lesmes – 25:26
Yo iría por la media. Sí, sí, sí, porque es la más equilibrada realmente entre medidas y al final inversión y también luego de cara a una certificación a a un sello distintivo la media ya te lo garantiza.
Josep Ros – 25:44
Aquí una pregunta desde el desconocimiento sería, yo que sé, para un ayuntamiento podría ser una básica o una media y para un ministerio de defensa o una cosa así o un ministerio del interior o policía o tal sería una alta ¿o no tiene nada que ver?
Estefanía Lesmes – 25:58
Muchas veces va en función del dato que manejas. Normalmente, si es ayuntamiento va a ser o media o alta. Básica, es muy raro que lo tengan.
Puede haber algún organismo muy particular, pero ya te digo que normalmente será media o o alta.
Josep Ros – 26:13
Por ejemplo, me viene a la mente de tema de salud. De tratamiento de datos de una persona que tiene una enfermedad delicada.
Estefanía Lesmes – 25:58
Aquí iríamos a por el tipo de categoría alta por el tipo de categoría de datos de categoría especial y lo que comentabas antes antes también hilando con eso al final, hay que tener en cuenta que muchas de las cosas que estamos comentando aquí están directamente interrelacionadas.
Es decir, la parte de protección de datos se va a evaluar tanto en la ISO27001 como en el ENS porque porque hay una parte en en estos dos temas de cumplimiento normativo. Y dado que al final, nosotros manejamos la información y dentro de la información, se encuentran específicamente los datos de carácter personal.
También se va a evaluar esta esta de ecuación a la normativa. Por eso es importante que obviamente, la habitación de datos tiene que ser una base ya innegociable para para cualquier empresa.
Servicios ENS por Encora
27:05
Y ¿Cómo podemos ayudar desde Encora con el ENS?
Si una empresa por ejemplo no tiene claro qué nivel de categorización del ENS tiene que certificarse, pues aquí le podríamos hacer nuestro asesoramiento en función de las necesidades que tienen y en función también de donde parte porque a lo mejor sí, parte de un nivel de seguridad muy muy bajo pues para optar al nivel medio igual requiere mucho tiempo y esfuerzos.
Tal vez sería más recomendable empezar por un básico y luego ir ir avanzando. Si ya nos viene y nos dice mira, tengo esta licitación y necesito certificarme en esta. Pues ya haríamos todo el proceso de implantación del sistema de seguridad de información, todo el marco documental y y si lo requiere, por ejemplo, que ella lo tenga implementado y que necesito una auditoría.
Hay veces aquí también comentarlo, que hay licitaciones públicas que no te exigen la certificación como tal. Te exigen simplemente que tengas una auditoría de alguna empresa externa. Entonces este servicio también lo podríamos dar nosotros para que luego ellos puedan optar a estas hacer licitaciones públicas.
Y luego, obviamente todo el soporte en todo el acompañamiento a auditoria, certificación que necesiten.
Josep Ros – 28:13
La certificación, recordar que hay que tenemos todos que acabar con Aenor que es la única empresa aquí en España que hace el pone el sello. Nosotros acompañamos a este proceso.
NIS2
Estefanía Lesmes – 28:24
Y ya vamos con con el último de los puntos la famosa NIS2.
Josep Ros – 28:30
¿Hubo una NIS1? Esto es europeo, ¿verdad? No es de España. ¿Habrá una NIS3? ¿Esto es una serie?, ¿Una saga? ¿Una trilogía?
Estefanía Lesmes – 22:41
Seguramente haya NIS4, NIS5 porque cada vez más el mundo está más digitalizado esto, esto es innegable. Cada vez más, ciber amenazas van a ser más más potentes, más para ir más al detalle.
Entonces, cada vez las herramientas de protección que tengamos que implementar será eran mayores. La directiva. La directiva NIS2 como bien comentabas es europea. Sí que es verdad que la propia directiva marca que cada estado tiene que desarrollar su propia ley al respecto. El plazo que tenían todos los países europeos era finales del año pasado.
En España. Aquí nos hemos quedado un poco atrás y aún estamos en fase de anteproyecto de ley. Esto no quiere decir nos engañemos, que significa que, como España, no hecho los deberes y no se no ha sacado la ley, no nos aplica. No. La directiva ya está en vigor y tiene vinculación. Es decir, que cualquier empresa que le apliquen NIS2 ya tiene que empezar a ponerse las pilas, porque en cualquier momento pueden requerirle cierta información y tiene que que cumplir con este aporte documental.
Qué es NIS2 en definitiva y qué implica. Es una directiva europea que establece unos determinados requerimientos a nivel de ciberseguridad, sobre todo vinculado a la gestión de incidentes, porque porque lo que se quiere es reforzar esta resiliencia, reforzar esta esta barrera de protección en todo el mercado e interior europeo ante las ante las crecientes ciberamenazas.
¿Qué me implica a mi como empresa la NIS2? Lo que me implica es que voy a tener que adoptar una serie de medidas técnicas operativas y organizativas. Adecuadas y proporcionales, obviamente a mi sector en función de la categoría que tenga que luego lo comentaremos para gestionar los incidentes en materia de seguridad.
Efectos de notificación autoridades de control. Toda mi cadena de su contratación también, que es algún punto que comentaba bastante toda mi cadena de su contratación. También la tengo que tener bien asegurada, porque se trata, en definitiva, de que si yo tengo una cibera amenaza y soy una empresa grande de un sector esencial no se vea afectado un número de individuos muy amplio.
Josep Ros – 30:50
Se trata una cosa muy tonta, Estefanía. Sería, pues, cosas que suceden que una persona por la tarde o por la noche, fuera de su horario laboral, desde su entorno familiar accede con una tableta o un ordenador el que está infectado por su hijo, por ejemplo. Este equipo comprometido nos ponemos a acceder a una documentación de correo electrónico, Sharepoint etc.
Lo hacemos con la mejor de las voluntades porque lo que queremos es fuera de nuestro horario laboral hacer algo importante para la empresa, pero igual aquí la estamos liando ¿verdad? Pueden ser cosas así también de cómo tenemos que trabajar, ¿no?
Estefanía Lesmes – 30:30
Efectivamente, si aquí la empresa tiene que marcar bien sus directrices en materia de seguridad, tiene que tener la política de seguridad bien delimitada. Ya no solo eso, sino que los accesos fuera de equipos corporativos también los debería limitar. Y en definitiva, lo que marcaba sobre todo NIS2 es que yo, si tengo cualquier incidente, tenga una rápida actuación frente a este incidente y sepa rápidamente como resolverlo.
Si es un incidente que puede afectar, por ejemplo, más a una seguridad más global, también hacer esta labor de notificación, la autoridad de control para que también lo tengan en cuenta, puedan alertar puedan actuar rápidamente.
Al final de eso se trata de recuperarla la normalidad cuanto antes. Un plan de continuidad bien implementado.
NIS2: ¿A quién afecta?
32:10
¿A quién afecta la NIS2? Aquí tenemos la normativa diferencia principalmente entre entidades esenciales y entidades importantes en una escala daría por encima esenciales y por debajo importantes de que depende ser una entidad esencial o una importante.
La clasificación depende del tamaño de la empresa del sector en el que trabaje y de la criticidad de sus actividades. Por ejemplo, una empresa, una gran empresa del sector de electricidad, por ejemplo, sería una entidad esencial. Operadores aéreos, bancos a nivel nacional, hospitales. Todas estas entidades son esenciales.
Entidades importantes aquí no pensar que porque sea un sector concreto, ya son esenciales. Porque si yo, por ejemplo, eh, formo parte del sector de la banca, formo parte del sector del transporte, pero soy una empresa mediana o pequeña, aquí se me consideraría importante.
Aquí hay que entender también que hay otros sectores que sí que por su criticidad, pues no son un sector tan crítico. Y aquí si que cualquier tipo de empresa pues sería importante. Por ejemplo, empresas de mensajería, empresas de gestión de residuos, estas son empresas que ya directamente van a entidades importantes.
33:16
El hecho también de que sea un sector concreto no hace que me apliquen NIS2. Es decir yo puedo pertenecer a un sector aparentemente más crítico como puede ser a lo mejor un sector de servicios digitales en la nube, pero que mi servicio sea muchísimo menor o que tenga vinculación, pero no tanta, y que yo sea una pequeña empresa. Entonces aquí, por ejemplo, directamente, a lo mejor no me aplica. ¿No?
Servicios NIS2 por Encora
33:40
Con todo esto desde Encora, podemos dar ese valor de adecuación a la normativa. Lo primero de todo que haríamos es ver si realmente te aplica la normativa y en qué grado.
Porque claro, en función de si eres esencial o eres importante, los requisitos que te exigen son unos u otros.
Entonces, una vez lo tengamos claro ya haríamos toda esa adecuación a la normativa, todos los marcos de seguridad, verificar que los tenemos bien alineados con NIS2 y luego cualquier asesoramiento legal.
También soporte, por ejemplo, en cualquier inspección que que podamos tener por parte de la autoridad de control.
Y en definitiva, pues también en formar y realizar acciones de concienciación a nuestro personal para la gestión de estos incidentes, tener claro como actuar que es la finalidad de la normativa es esta. Que si nos pasa cualquier incidente en materia de ciberseguridad sepamos como actuar y actuemos rápido.
Josep Ros – 34:34
La formación es importantísima en todos los puntos en protección de datos de NIS2.
Estefanía Lesmes
Sí. Sí, es fundamental tener a todo el personal, independientemente de que sea departamento de IT, departamento de recursos humanos, departamento de administración, cualquier departamento es importante que tenga claro ciertos.
Obviamente, el nivel que se le pide es diferente pero siempre tener una base sólida.
Josep Ros
Genial
Estefanía Lesmes
Perfecto
35:37
Y pues nada con esto más o menos lo tendíamos, pero que haya sido que haya sido menos que haya sido ameno. Estoy aquí para cualquier pregunta que tengáis. Estupendo. Pues nada.
Muchísimas gracias, Estefanía. Cualquier duda que tengáis nos la podéis lanzar a hola@encora.es y estaremos encantados de responderos y de que podáis hablar con Estefanía sin ningún compromiso. Hacemos un Teams y comentamos la jugada.
Hasta ahora en Encora os podíamos ayudar con temas de Ciberseguridad, Infraestructura, Cloud, Microsoft y Servicios Gestionados.También Talento IT y ahora pues también en temas de Ley de Protección de Datos, Compliance y Legal.
Muchísimas gracias a todos, eh? Gracias a Estefanía por tu participación. Gracias a todos por participar. Saludos desde Mallorca.
Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos.
Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos Ley de Protección de Datos
