seguritecnia 449

56 SEGURITECNIA Enero 2018 El artículo 36 tipifica como infrac- ción grave no someterse a una audi- toría de seguridad o poner obstácu- los a la realizada por la Administración, según lo ordenado por la autoridad competente. Teniendo en cuenta que la supervisión por terceros es el me- canismo fundamental para asegurar el cumplimiento de medidas de segu- ridad, consideramos que su ausencia debería ser considerada muy grave. Para establecer la cuantía de las sanciones, el órgano sancionador tendrá en cuenta criterios como la utilización por el responsable de pro- gramas de recompensa por el des- cubrimiento de vulnerabilidades en sus redes y sistemas de información, pero no se valora el establecimiento de un proceso de gestión de vulne- rabilidades, mucho más extendido en la actualidad y de mucha mayor eficiencia. Tampoco se hace men- ción a otras medidas preventivas, ta- les como la concienciación de per- sonal, o si se disponía de información previa sobre las causas que podían dar lugar al incidente. En definitiva, no puede culpabilizarse a una organización de haber sido es- cogida como primer objetivo por ata- cantes que dispongan de vulnerabili- dades no tipificadas todavía. Si no se tiene en cuenta esta circunstancia, la organización podría tener una triple penalización: sufrir una incidencia, de- dicación de recursos a su rápida reso- lución y, adicionalmente, una cuan- tiosa sanción pese a no haber podido tomar ninguna acción que la evitase. El órgano sancionador podrá mo- derar la cuantía de las sanciones en cuatro supuestos (artículo 39) que in- dican una especial predisposición del infractor a corregir las infracciones ob- servadas. Cabría plantear un quinto supuesto para aquellas organizacio- nes que hayan demostrado una acti- tud diligente hacia el cumplimiento de las medidas que se le hayan re- querido y se hayan sometido a pro- cesos de auditoría y monitorización por entidades o agencias terceras operadores o proveedores de servicios. Un punto a destacar positivamente es el establecimiento de un régimen de infracciones de las administra- ciones públicas, incluso previendo la iniciación de actuaciones discipli- narias. No obstante, el montante de las sanciones económicas estableci- das para las empresas puede inducir a que se perciban con un fin recauda- torio, más que disuasorio. Tratándose de una ley nueva, que regula espacios hasta ahora desconocidos, conven- dría dejar bien patente su intención de avanzar en el uso de buenas prácticas para afianzar una nueva cultura de se- guridad. Para ello, podría sustituirse la mera imposición de la sanción econó- mica al infractor, por la exigencia de dedicación, en un plazo inferior a tres meses, de presupuesto adicional igual al volumen de la sanción propuesta, destinado a la mejora de la seguridad de la organización. La pluralidad de autoridades con competencia sancionadora eleva el riesgo de discriminación en el trata- miento de las infracciones en sus res- pectivos ámbitos de competencia. Una vez más, se echa en falta una au- toridad de referencia sobre el resto, o el e stablecimiento de mecanismos de armonización de las sanciones para dar consistencia al régimen san- cionador. tes desde cuya fecha de cierre hayan transcurrido más de doce meses, pu- diendo conservar únicamente la de aquellos que aún no se hayan ce- rrado o que se hayan cerrado en los últimos doce meses. Supervisión, control y régimen sancionador El regulador se atribuye un derecho ilimitado de auditoría sobre opera- dores, tanto en el número de audi- torías exigibles como en su profundi- dad. Sobre los prestadores de servi- cios digitales, el derecho es ilimitado en profundidad, dado que debe ser iniciado por denuncia. Por otra parte, no se contempla la reutilización de la información derivada del programa de auditorías que operador o prestador puedan ya estar ejecutando en cum- plimiento de las previsiones del artí- culo 15.4.d). Conviene tener presente que el ejer- cicio de esta acción por parte de la Administración supone un sobrecoste para los operadores, por lo que, en lo posible, su uso debería ser restrictivo. Por la misma razón, deben valorarse positivamente y reforzarse las accio- nes que tiendan a reducir costes en el proceso de inspección y control, utili- zando al máximo la información gene- rada por los procesos de auditoría se- guidos voluntariamente por los propios A vista de