Javier Candau, jefe del Departamento de ciberseguridad del Centro Criptológico Nacional, evalúo en su introducción de bienvenida a CISO DAY 2022 lo que está por venir en cuanto a la Directiva de seguridad en Redes de la UE y el trabajo del CISO
CISO DAY 2022 abría sus puertas el pasado 9 de junio con la bienvenida institucional realizada por Javier Candau, jefe del Departamento de ciberseguridad del Centro Criptológico Nacional. Candau en sus primeras palabras resaltaba la importancia del CISO DAY: “Lo consideramos un evento fundamental porque el CISO o el responsable de seguridad cuando estamos hablando del sector público, pues es una figura que permite la mejor coordinación entre el sector público y el sector privado”, explicaba.
El jefe de Ciberseguridad del Centro Criptológico Nacional centraba su introducción al evento detallando las cuatro lecciones extraídas tras los años de aplicación de la Directiva de Seguridad en Redes de la Unión Europa (NIS 1.0). Una directiva que se va a actualizar próximamente con la publicación de la NIS 2.0.
En lo que se refiere a los Criterios de designación de los operadores de servicios esenciales de las NIS 1.0, Javier Candau afirmó que “han sido muy dispares entre todos los países”. Así, el experto explicaba que hubo países con una designación de operadores que superaba los 1.500 y países con una designación de operadores que estaban por debajo de los 300 teniendo el mismo número de habitantes. Este criterio pretende cambiar con la NIS 2.0 donde todo va a ser mucho más claro “y se van a establecer límites de operadores que tengamos en cada país entre 10.000 y 20.000, con lo cual en España el cambio va a ser sustancial”.
Además, la NIS 1.0 invitaba a aplicar medidas de seguridad, pero no se decía cuáles. A este respecto, Candau resaltaba la ventaja de España por tener “un Esquema Nacional de Seguridad aplicable y obligatorio para el sector público y muy recomendable para el sector privado.”. Otro de los aspectos destacados por el jefe de Ciberseguridad del Centro Criptológico Nacional es el de la dispar notificación de incidentes transfrontenrizos. En este caso España también tiene cierta ventaja porque “los incidentes muy altos y críticos son los que tenemos que notificar, con lo cual en este sentido ya estamos por delante de lo que nos va a pedir la NIS 2.0”, añadía el experto.
En esta NIS 2.0 que está por llegar próximamente, Javier Candau destacó de ella que “va a ver más sectores, va a ver más entidades de servicios esenciales y va a ver una segunda categoría de entidades que proporcionan servicios importantes a las cuales también les va a afectar la regulación”.
En lo referido a la regulación del trabajo del CISO, Javier Candau resaltó el artículo 7 del Real Decreto 43/2021, donde por primera vez se definen las funciones del CISO y se les da unas misiones importantes. Igualmente, habló de la reciente aprobación del nuevo Esquema Nacional de Seguridad que en su artículo 13 del RD 311/2022 habla de la regulación de la certificación del responsable de seguridad, que ”esperemos que sea la misma certificación que cualquier CISO necesita para poder ejercer sus funciones”.
El futuro de la Ciberseguridad marcado por retos como las redes, el teletrabajo o la seguridad de móviles.
Antes de finalizar su intervención, Javier Candau hablo del futuro en lo que a Ciberseguridad se refiere: “tenemos muchos retos, los atacantes han industrializado sus procedimientos de ataque, tenemos que cubrir todo lo que hasta ahora en un principio no se cubría”, añadió.
Así recordó que es necesario trabajar en la seguridad en redes, la seguridad corporativa de las redes de la organización, “pero también tenemos con la pandemia y el teletrabajo que securizar todos los puestos de nuestros funcionarios, de nuestros trabajadores de teletrabajo.”- Además Candau insistió en proteger nuestros servicios de nube y la telefonía móvil: “Mucha información de la empresa acaba en los dispositivos móviles.”
Desde el Centro Criptológico Nacional – dijo Candau – Nuestro compromiso es que a través de la plataforma nacional os podamos dar a todos la mejor ciberinteligencia posible para que vuestras defensas se adapten a los ataques recibidos”.