España exige a las empresas la creación de una figura de responsable de seguridad digital. En concreto, la nueva normativa publicada hace pocos días contempla la creación de la figura del Responsable de Seguridad de la Información (RSI). Esta persona ostentará las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización.
El Boletín Oficial del Estado (BOE) ha publicado el Real Decreto Ley 43/2021, que regula las obligaciones de determinados operadores a la hora de proteger sus redes y sistemas de información. La nueva norma obliga a los operadores de servicios esenciales a garantizar que el RSI dispone de medios y recursos suficientes para poder desarrollar sus funciones de manera real y eficaz, para lo cual se le deberá dotar de personal con conocimientos y experiencia, de recursos necesarios, y deberá ostentar una posición en la organización que facilite el desarrollo de esas funciones, en particular teniendo interlocución real y efectivo con la alta dirección.
Francisco Pérez Bes, socio de Derecho Digital de Ecix y exsecretario general del Incibe, destaca que "esta nueva regulación de esta figura se ha percibido en el sector muy positivamente, pues viene a reconocer la figura y las funciones del CISO (Chief Security Information Officer), como la persona experta en la protección de la información de las organizaciones". A su juicio, "la información se ha convertido, desde hace ya algún tiempo, en un activo fundamental para cualquier negocio. Y, como activo valioso que es, se encuentra permanentemente amenazado por los ciberdelincuentes y otros riesgos inherentes a la actividad de las compañías", señala el especialista.
El riesgo derivado de los incidentes de ciberseguridad es, según afirma la mayoría de los directivos y consejeros consultados por la consultora Gartner en 2020, la principal amenaza para las empresas, sólo por detrás de los riesgos de cumplimiento normativo. Sin embargo, el informe añade que la mayoría de los ejecutivos encuestados creen que sus organizaciones no están adecuadamente protegidas ni frente a los ciberataques, ni frente a otros riesgos de seguridad.
"El cambio en la ciberseguridad va a suponer, sin duda, un refuerzo de las funciones y responsabilidades del CISO", destaca Francisco Pérez Bes
Las previsiones del documento señalan que en el año 2025 el 40% de los consejos de administración de las empresas dispondrán de un comité específico dedicado a los temas relacionados con la ciberseguridad de la organización, que estará liderado por un directivo cualificado en esta materia. En la actualidad, este porcentaje se calcula que no llega al 10%.
"El cambio en la gobernanza de la ciberseguridad de las empresas va a suponer, sin duda, un refuerzo de las funciones y responsabilidades del CISO, pues es evidente que la ciberseguridad es un elemento transversal dentro de cualquier organización, ya que todas las áreas de la organización utilizan diariamente y de forma intensa la tecnología, con el consiguiente riesgo de que se incrementen los incidentes de seguridad", concluye el especialista en Derecho Digital, Francisco Pérez Bes.
