Maite Arcos (ESYS): «A veces el mayor peligro de un CPD es el cubo de agua de la limpieza» [3/3]

septiembre 25, 2025septiembre 26, 2025 Javier Rinus 200 Views 0 comentarios Ciberseguridad, DES, ESYS, NIS2, Westcon

TPB347 jul24. Durante la visita al stand de Westcon en el DES, pudimos asistir a la conversación entre Maite Arcos, directora general de Fundación Empresa, Seguridad y Sociedad Digital, y María Isabel Arias, directora de Ciberseguridad de Westcon Spain, donde se fueron desgranando algunas de las claves e interrogantes de la nueva Directiva NIS2 que entrará en vigor en los próximos meses. Una charla que ya han paseado por otros eventos itinerantes organizados por el mayorista de cara al canal. De la nueva normativa se desprende que todas las empresas, y no solo las que tenían una concepción anterior de infraestructura crítica, deben prepararse para afrontar el nuevo reto, abarcar su responsabilidad a todos los niveles corporativos, conocer las penalizaciones y aplicar la normativa transparentemente para beneficio de los clientes.

¿A quién compete y le impacta NIS2?

Ya no es solo a dispositivos conectados, IoT, etc de las infraestructuras críticas, también a las personas y a sus puestos de trabajo y que va mucho más que el propio CISO. Que se caiga la web causa impacto en la vida normal, por ejemplo en el suministro de respiradores o mascarillas como se vio en la pandemia. Sobre los sectores afectados, hay una lista extensa anexa al NIS2, difícilmente alguna empresa se librará, y se añaden a las Administraciones Públicas y algunas agencias locales según país.

Pero sobre todo ahora están implicadas cualquier empresa situada en cadenas de distribución: alimentos, medicamentos… Cualquier interrupción de la cadena logística, que se corte internet, trae consecuencias. Y no solo se trata de riesgos cibernéticos externos, a veces el mayor peligro de un CPD es el cubo de agua de la limpieza. Por eso se trata también de que los empleados no sean parte del problema, sino de la solución, y eso se consigue a través de la formación. Y otra consideración: los contratos de compra en informática cada vez se ajustan más a presupuesto, pero comprar barato igual sí afecta a la ciberseguridad y al negocio.

¿Existe una recomendación universal?

Tampoco existe una solución universal que valga para todo y para todos. La ciberseguridad es un traje a medida, no son solo los equipos informáticos o donde tengas alojados los datos, depende de los clientes que se tenga, de la zona geopolítica en la que se opere, si es una empresa que importa o exporta… Todo eso repercute también en su ciberseguridad. La idea básica de NIS2 es que no se puede permitir que una pieza llegue a afectar a toda la cadena. Recordad el caso de una compañía (Colonial Pipeline) que suministraba el queroseno de los aviones que fue hackeada a través del sistema de facturas y dejó sin volar a Florida y el gobernador tuvo que decretar el estado de excepción.

Luego cualquier proveedor a una empresa tercera le atañe. Pongo otro ejemplo. La industria alemana era en un 90% dependiente del gaseoducto ruso y cuando se cortó el grifo tuvo que buscar alternativas y empresas españolas de gas licuado de repente pasaron a tener un papel preponderante… poniéndose en el punto de mira de los chungos de Putin para atacar esa vía de escape y sin tener nada que ver con la guerra de Ucrania te metes en el ojo del huracán, y de un día para otro el CISO de las compañías que no tiene por qué estar en la estrategia geopolítica tiene que hacer un curso acelerado de relaciones internacionales, y eso es en todo caso responsabilidad del consejo de administración. Por eso ya se habla de responsabilidades concretas de los puestos de dirección.

¿Están las administraciones públicas concienciadas o solo reglamentadas?

Cada normativa tiene su propio objetivo. NIS2 mira a la cadena de distribución. Otros miran datos personales como el RGPD, y otras normativas son más sectoriales como DORA para las entidades financieras. Normalmente se suman, pero a veces hay que mirar que no se contradigan, y eso no siempre está garantizado. Van a seguir viniendo de la Unión Europea y en plan reglamento, que es más duro que mediante directiva, pero para lo bueno buscando la solidaridad del marco europeo común.

«Hay que tener todo mapeado y tener pensado qué hacer si algo falla, los planes de contingencia son fundamentales. Por eso, pedagogía y mucha formación permanente, desde el Consejo de Administración hasta el último empleado» (Maite Arcos, ESYS)

¿Quién pone la multa? ¿Quién me ayuda? ¿Cómo salgo de esta?… Los Estados están para cuidar a sus ciudadanos y empresas, prevenir ataques, detectar amenazas y lanzar alertas. En España tenemos una larga serie de entes y organismos, aunque cada uno dependiente de un ministerio distinto, lo que puede inducir a confusiones contradictorias. Tenemos el DNS dependiente del de Presidencia (pertinente en el caso de espionaje Pegasus), el CCN del de Defensa (lanzó a nivel mundial el primer parche para desactivar WannaCry), el INCIBE del de Transformación Digital (que promueve la concienciación y resiliencia), la OCC/CNPIC del de Interior (que vela por las infraestructuras críticas), la AEPD del de Justicia (es la que regula y multa), el NIS2 de las distintas autoridades sectoriales… Falta una verdadera ventanilla única y no está nada definido, pero tampoco es un caos, suele haber bastante colaboración.

¿Alguna última recomendación?

Los clientes potenciales también deben cuidarse más allá de tener un CISO propio o delegado, y ahí entra a jugar el canal. ¿Cómo venderles la tecnología? La seguridad completa no existe, el objetivo es prevenir los ataques y detectarlos lo más pronto posible para que el impacto sea menor. Todo lo que está conectado es vulnerable, y además el perímetro es hoy más extenso. Hay que tener todo mapeado y tener pensado qué hacer si algo falla, los planes de contingencia son fundamentales. Por eso, pedagogía y mucha formación permanente, desde el Consejo de Administración hasta el último empleado.