Paco Pérez Bes es uno de los pioneros y referentes en Derecho Digital en España. Actualmente es socio de Derecho Digital en EcixGroup, profesor universitario y responsable de la vocalía jurídica de Arco Atlántico. Pérez Bes también ha sido secretario general del INCIBE (2014 – 2019). Entre sus obras destaca el ‘Código digital de Derecho de la Ciberseguridad‘, publicado en el Boletín Oficial del Estado (BOE), y el libro ‘Cuentos de ciberseguridad’.
La ciberseguridad se ha convertido en un asunto relevante a nivel mundial. ¿Cuál cree que es a día de hoy el estado de la ciberseguridad en España?
Técnicamente es bueno. A nivel internacional, España es un país muy potente en ciberseguridad, tiene grandes profesionales técnicos y las empresas se han tomado en serio la seguridad. La regulación española se ha anticipado siempre a la regulación europea. De hecho, la Ley de Infraestructuras Críticas ha salido antes o a la par que la normativa europea. Eso ha permitido a la industria alcanzar un grado de cumplimiento superior.
Desde la óptica de la gobernanza, España es un país con muchos organismos y competencias en ciberseguridad. España también es uno de los países que más incidentes gestiona del mundo, y gracias a eso podemos medir, mitigar, gestionar, mejorar. Por lo tanto, España está muy bien posicionada a nivel de gestión, de gobernanza y desde una óptica técnica.
Jurídicamente tenemos bastante regulación. En cambio, echo en falta perfiles más profesionalizados en esta materia.
Por lo general, le daría muy buena nota a España en lo que tiene que ver con la ciberseguridad.
La ciberseguridad es un activo. ¿Considera que las empresas están cumpliendo sus obligaciones en cuanto a la ciberseguridad?
La ciberseguridad no es un tema que puedas elegir, forma parte de tu supervivencia. Tu empresa tiende a la desaparición si no es cibersegura. Te pueden paralizar el negocio o las inversiones y la responsabilidad legal que asumes también es muy grande. Vamos hacia una gestión de la empresa desde la óptica del riesgo, y este es un riesgo muy claro y evidente que los directivos no se pueden permitir asumir.
Hasta ahora estábamos viendo mucho poner el foco en la parte técnica o tecnológica, es decir invertir en tecnología y dando por sentado que con eso es suficiente. Mientras que ahora se empiezan a dar cuenta de que eso no es así. De hecho, la ley habla de medidas técnicas y organizativas. Entonces es en la parte organizativa donde no se está poniendo el foco tanto como se debiera.
La ciberseguridad, que empezó siendo un tema muy de CISO (Chief Information Security Officer), poco a poco se está incorporando como un riesgo de negocio y como parte de la cultura y de la actividad de la compañía. La ciberseguridad llega al inversor, al administrador y a la toma de decisiones de la empresa.
Por lo tanto, ¿hace falta implementar una cultura de la ciberseguridad en las empresas?
Sí. No sé si es un fin o un medio. Si la ciberseguridad pasa a formar parte de la actividad, como son los riesgos laborales o los financieros, sí hace falta. Tiene que formar parte del ADN de la compañía de cualquier sector, dando información y formación a los empleados y directivos. Es una labor de todos. Es un trabajo muy constante y a medio – largo plazo, pero no se puede ir hacia otro lado.
¿Están prestando atención las empresas a la ciberseguridad? ¿Les ha costado ver estos riesgos?
Sí, les ha costado mucho. Hasta que no les impacta a nivel económico no lo perciben como una amenaza. Cuando han visto que es un asunto de inversión, de defensa y de diligencia empresarial, empiezan a ver que esto va más allá de lo que es un mero incidente de seguridad que puede tener consecuencias.
La ciberseguridad también es una oportunidad de negocio. Puedes estar perdiendo o ganando gracias al nivel de ciberseguridad que pueda tener tu organización. Todo eso te da confianza en el mercado y te puede diferenciar de tus competidores.
Tenemos que ir incorporando también estas diferentes ópticas para que las empresas se den cuenta de la importancia que tiene todo esto, tanto internamente como en el de la sociedad y la seguridad nacional.
Además, las empresas se han dado cuenta de que el problema no es solo suyo, sino que también viene de sus proveedores. Legalmente existe la obligación de requerir a los proveedores que cumplan con las medidas de seguridad y lo pueden hacer a través de certificaciones, como el Esquema Nacional de Seguridad (ENS) o las ISOS.
Por último, ¿considera importante la implementación del Compliance by design?
Es fundamental. Todo lo que sirva para ayudar para cumplir la norma desde el origen, es decir sabiendo lo que tenemos que hacer y cómo, agiliza mucho los procesos y evita ralentizar determinados procedimientos. Al final, todo ese tiempo acaba siendo dinero.
