Las actuales amenazas a las que se ve sometido el sector financiero son una realidad a la que las entidades, públicas y privadas, deben hacer frente. La irrupción de nuevas tecnologías y nuevos métodos de ataque contra esta organizaciones pone de manifiesto la necesidad de estar preparados para un nuevo escenario regulatorio y de prevención con más ciberseguridad frente a ciberataques. En este contexto, tuvo lugar el 11º Congreso PICSE (Protección de Infraestructuras Críticas y Servicios Esenciales), organizado por la Fundación Borredá. Como ediciones anteriores, esta edición reunió a destacados profesionales vinculados con las infraestructuras críticas y los servicios esenciales.
La presentación del Congreso corrió a cargo de César Álvarez, coordinador de Proyectos de la Fundación Borredá, y Ana Borredá, presidenta de la Fundación Borredá, quienes dieron la bienvenida y fueron los encargados de dar paso a la primera intervención de la jornada.
La ciberseguridad con la transposición de la normativa europea
La jornada PICSE abordó el horizonte normativo y estratégico al que tendrán que hacer las infraestructuras críticas de aquí a los próximos meses.
Marina Rodríguez, jefa de la Unidad de Ciberseguridad y Lucha contra la Desinformación del Departamento de Seguridad Nacional, planteó cómo España dispone de un nivel de ciberseguridad «bastante aceptable», destacando cómo los mayores esfuerzos que ha hecho la Administración «no van dirigidos a definir el ordenamiento, sino a avanzar y mejorar el modelo de gobernanza». Puso de manifiesto cómo «la hiperactividad europea es patente en materia de ciberseguridad» y cómo se está planteando un fondo de ciberemergencia. Además, Rodríguez también comentó que el Reglamento Europeo de Ciberresiliencia centra la atención en la vulnerabilidad que tienen todos los productos, tanto a nivel técnic, como de diseño. Desde el punto de vista de la ciudadanía, Rodríguez alertó de la necesidad de «trabajar en políticas de autoprotección». Además, puso de manifiesto que «La falta de talento es un problema, así como la falta de unidad sobre los perfiles concretos que van a ser necesarios» en materia de ciberseguridad.
Álvaro de Losada Torres-Quevedo, jefe de la Oficina de Coordinación de Ciberseguridad, dependiente del Ministerio del Interior, habló del proceso de transposición de la Directiva NIS2 al ordenamiento español. Losada explicó que «esta directiva ha generado una enorme expectativa porque viene a cambiar el tablero de juego, tanto por la incorporación de nuevos sectores como por la propia definición de entidades esenciales, lo que va a aumentar mucho el número de sujetos obligados», comentó. Adelantó, además, cuáles van a ser los pilares fundamentales sobre el acuerdo de gobernanza: «la creación de un organismo superior que sea la autoridad competente en materia de ciberseguridad con capacidad decisoria, pero no ejecutiva; un nivel intermedio de autoridad, que hará labores ejecutivas; las denominadas autoridades de control, cuya labor recaerá sobre quienes ya las tengan, y, además, se contará con la participación colaborativa de las autoridades sectoriales y de las comunidades autónomas».
Por su parte, Ángel Flores, jefe del Servicio de Inteligencia y Coordinación de CNPIC, abordó el horizonte normativo de las entidades críticas y adelantó parte del argumentario que recoge el proyecto de ley que traspondrá la Directiva Europea sobre Resiliencia (Directiva CER). Flores señaló que, si bien el contenido es prácticamente el mismo, a diferencia de la anterior directiva, «ahora sí va a haber un régimen sancionador». Indicó, además, que «llevará aparejado un desarrollo reglamentario que ponga luz en cada uno de los artículos que se centran en esta ley de resiliencia en entidades críticas». La tarea asignada al CNPIC será «el desarrollo de una estrategia nacional de protección de resiliencia de las entidades críticas, la realización de una evaluación nacional de amenazas y riesgos para todos los sectores estratégicos, y la elaboración de un plan de protección y resiliencia de las entidades críticas», comentó.
A continuación, tomó la palabra Javier Candau, adjunto al subdirector general del Centro Criptológico Nacional, quien explicó cómo estaba estructurada la Directiva NIS2 y cómo esta consta de entidades consideradas «esenciales» y entidades «importantes». Candau también hizo referencia al Esquema Nacional de Seguridad, a la Red Nacional de SOC y a la plataforma nacional de notificación y seguimiento de ciberincidentes. Además, el experto comentó diversas medidas de ciberdefensa activa, herramientas fundamentales para conseguir que España se convierta «en un objetivo difícil de atacar», concluyó.
En último lugar, tomó la palabra Juan D. Peláez, responsable de Sector Financiero y TIC de INCIBE, quien explicó las labores que realizan desde su organismo, entre las que se encuentra prestar apoyo a la ciudadanía a través de herramientas como la Oficina de Seguridad del Internauta, Internet Segura for Kids o Incibe-Cert. Comentó que este último cuenta con planes específicos para sectores estratégicos como el financiero, que buscan reducir la cifra de los 58.000 ciudadanos víctimas de incidentes en materia de ciberberseguridad. Peláez puso de manifiesto cómo el volumen de incidentes en esta materia aumenta año tras año. El experto finalizó su intervención hablando del Reglamento Europeo DORA, que tiene como objetivo «mejorar la resiliencia operativa y la ciberseguridad en el sector financiero», específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación.
Otros paneles y ponencias del congreso
Además, el congreso PICSE, que estaba especialmente dedicado al sector financiero, ahondó en la evolución del sistema de protección de infraestructuras críticas; en el papel del dinero en efectivo como servicio esencial; y en las diferentes amenazas en el sector financiero como, en concreto, el fraude, la cadena de suministro, las amenazas internas, las amenazas persistentes avanzadas y los ataques a cajeros automáticos.
La entrada Infraestructuras críticas y entidades esenciales afrontan un nuevo panorama normativo se publicó primero en Red Seguridad.
