Seguritecnia 481

40 SEGURITECNIA Diciembre 2020 Entrevista De la misma manera, las entidades tienen que realizar esta supervisión sobre los proveedores y, además, es necesario que se habiliten los meca- nismos para una mayor implicación de los reguladores y autoridades en su control. Por ejemplo, como se está proponiendo en la futura regulación del sector financiero, Digital Opera- tional Resilience Act, en la que se pre- tende incluir a los proveedores críti- cos o sistémicos para el sector den- tro del alcance de las autoridades de supervisión europeas, de forma que puedan liderar de forma directa su su- pervisión. Desde su punto de vista, ¿qué tecno- logías de ciberseguridad van a pre- dominar durante los próximos años? La evolución de las tecnologías va a seguir avanzando, tal y como ha ve- nido sucediendo hasta ahora. El uso de tecnologías como la analítica de datos, la Inteligencia Artificial o el Internet de las Cosas impactarán en el negocio; pero también se utilizarán para mejo- rar las capacidades de seguridad y res- iliencia. Serán capaces de detectar, res- ponder y resistir mejor y de forma más temprana ante potenciales ataques. Más allá de las tecnologías, uno de los aspectos principales que seguirá creciendo en los próximos años se- rán los ciberseguros, que permitan a las entidades transferir par te del riesgo que no son capaces de miti- gar con un coste razonable. Para ello, será imprescindible que las entidades se apoyen en expertos en cibersegu- ros y ciberseguridad, que les ayuden a identificar qué aspectos son impres- cindibles de cubrir en función de su situación de riesgo. organizaciones para tener un adecuado gobierno de la ciberseguridad, debido a la cada vez mayor externalización de servicios. Ser capaces de tener un ade- cuado gobierno y gestión de los pro- veedores desde el punto de vista de se- guridad puede reducir en gran medida la probabilidad de tener un incidente. Una de las grandes preocupaciones manifestadas durante la pandemia ha sido la seguridad de la cadena de su- ministro, esto es, de todas esas plata- formas y servicios que han utilizado las compañías para sostener el tele- trabajo. ¿Cómo deben las empresas afianzar la seguridad de sus provee- dores para evitar brechas? La cadena de suministro se encuen- tra en plena transformacion digi - tal con la incorporacion de nuevas tecnologias que contribuyen a mejo- rar su eficacia, fiabilidad, conectividad y monitorizacion, pero que van también ligadas a nuevas amenazas y riesgos. Las entidades deben ser conscien- tes de que siguen siendo responsables de los incidentes y brechas que pue- dan ocurrir, tanto por los efectos direc- tos que puedan tener sobre su opera- tiva, como por el impacto reputacio- nal que les puede suponer un incidente que afecte a sus proveedores. A este respecto, las entidades deben liderar la supervisión proactiva de los terceros para garantizar que el nivel de riesgo se encuentra dentro de lo que la entidad puede soportar. Pero esto ha de hacerse de forma eficiente, fo- calizando el mayor esfuerzo en aque- llos proveedores significativos que pue- den tener un efecto perturbador im- portante en las infraestructuras críticas y los servicios esenciales. seguridad de las redes y sistemas de in- formación], puede convivir tanto con la regulación sobre protección de infraes- tructuras críticas actual (y que también está pendiente de renovación), como con la futura evolución de la Directiva NIS, que ya ha arrancado con la consulta pública lanzada por la Comisión Europea. Desde su punto de vista, ¿cuál es el principal avance de que ha introdu- cido la normativa en materia de segu- ridad? Teniendo en cuenta únicamente el Real Decreto-Ley NIS, y a la espera de la pu- blicación de su reglamento de desarro- llo, es una normativa que no tiene as- pectos excesivamente novedosos en materia de protección, sino que sigue la tendencia regulatoria actual. Deja una mayor libertad a las entidades para que apliquen las medidas en función de los riesgos identificados por ellas mismas. Lo que sí es destacable es la transver- salidad que se persigue con la norma. Esta busca cubrir, por primera vez a nivel nacional, una gran cantidad de sectores en materia de ciberseguridad, dado que hasta ahora la referencia era el Esquema Nacional de Seguridad, que se focaliza en el sector público. Esto puede crear una falta de diferenciación y ajuste a las particularidades de cada sector, por lo que será necesaria la co- laboración público-privada para imple- mentarla correctamente, en una com- binación de operadores, autoridades competentes y proveedores especialis- tas en normativa de seguridad. Al margen de la regulación, ¿cuáles son los principales retos que tienen las organizaciones en relación con el gobierno de la ciberseguridad? La función de ciberseguridad debe te- ner un gobierno con una visión de 360 grados, que sea capaz de tener una vi- sibilidad interna de lo que ocurre en ci- berseguridad y también ocuparse del entorno exterior, cubriendo las interde- pendencias con los reguladores y los proveedores. Este último punto, en particular, es uno de los retos más importantes de las “Un aspecto que irá en aumento en los próximos años serán los ciberseguros, los cuales permiten a las entidades transferir parte del riesgo”