El perímetro de seguridad nacional cibernética: un nuevo desafío para los asesores generales y los oficiales de cumplimiento

(Para Fabricio De Feo)
03/03/21

En el difícil momento de reconstrucción que seguirá a la gran crisis económica provocada por la pandemia, uno de los bienes más preciados que tiene un país es la información, que debe ser defendida tanto como se defienden las fronteras nacionales en caso de guerra. De eso se trata cuando se trata de seguridad cibernética, y desde hace algunos meses nuestro país viene dando grandes pasos para proteger nuestro "programa interno" de seguridad que se ejecuta en la web.

Se debatió el viernes 26 de febrero en un webinar organizado por Lexout, empresa que ofrece servicios legales y profesionales en subcontratandoy The Skill, firma de comunicación especializada en comunicación jurídica. Protagonistas Aigi, Asociación Italiana de Juristas Corporativosy Aitra, Asociación Italiana de Transparencia y Anticorrupción.

Alimentado y competente el parterre de los invitados, el abogado Giuseppe Catalano - presidente Aigi (secretario de la empresa e jefe de asuntos corporativos Assicurazioni Generali Spa), el abogado Giorgio Martellino (presidente de Aitra - jefe de la Sección Aigi Center así como Consejero general de Avio Spa) y el profesor Francesco Bruno (socio fundador de B - Asociación entre abogados y miembro deconsejo asesor por Lexout).

En la mesa redonda, moderada por Pietro Galizzi (jefe de asuntos legales y regulatorios de Eni Gas y Luce Spa y socio Aigi), con la presencia del abogado Gianluca Cattani (consejo asesor Lexout), el profesor Roberto Baldoni (Director General Adjunto Dis con responsabilidad en Ciberseguridad), el Doctor Fabio Mulazzani (oficial de negocios y continuidad de la Autoridad Europea de Seguridad Alimentaria), el ingeniero Massimiliano Vegni (CEO de It Systems Srl), el abogado Antonio Enrico Agovino (miembro de la junta de Aitra y jefe de cumplimiento por Inwit spa). 

Para dar un marco regulatorio, aún con las recientes introducciones hechas por el gobierno en materia de seguridad, fue el profesor Baldoni, quien explicó cómo se ha lanzado una campaña nacional en diciembre dirigida a actualizar los "activos TIC": en esencia, es se trata de asegurar todas las redes que soportan información de carácter exclusivo, que son decisivas para el país. Si bien por un lado el Decreto Legislativo 231/2001 sobre la responsabilidad de las entidades por delitos que se produzcan dentro de la empresa por omisión de supervisión obliga a las empresas públicas y privadas a cumplir también con respecto a posibles ciberataques, de más fue necesario adentrarse en las especificidades de ciberseguridad con cuatro Dpcm y una Dpr que contribuyan a la identificación de aquellas redes que están particularmente expuestas y que deben ser protegidas por contener información sensible.

En diciembre pasado, muchas empresas que interactúan con varias partes del estado recibieron una carta invitándolas a enviar un mapa completo de las redes que respaldan información potencialmente sensible dentro de seis meses y luego en junio. El Departamento de Seguridad impondrá inmediatamente después un sistema de seguridad que garantice el bloqueo de esta información: El mundo que tenemos ante nosotros es complejo, si queremos navegar por él tenemos que hacer cosas complejas. El perímetro de seguridad nacional cibernética se creó para asegurar las funciones esenciales del país, aquellas que de ser bloqueadas darían lugar a problemas de seguridad nacional. - explica - Para regular este estudio de riesgo hay 4 dpcm y un dpr, es el trabajo de unas 200 personas entre técnicos y expertos regulatorios. Hay un acuerdo intergubernamental sobre todos los decretos, luego pasamos a las opiniones de las Cámaras, el Tribunal de Cuentas y el Consejo de Estado y algunos de estos están en trámite - sigue así - para la seguridad informática, las inspecciones de las medidas de seguridad, la medición y gestión de la respuesta a incidentes son cruciales, y finalmente el Centro Nacional de Evaluación de Certificaciones se está implementando en el Mise - explicó el profesor Baldoni - Esta es una oportunidad para que construyamos una base de habilidades en la que jugarán los equilibrios geopolíticos..

Algunas de las empresas que han sido convocadas por el Departamento de Seguridad para tomar una serie de acciones para proteger su información sensible, ¿son empresas que ingresan al sistema de compras del país, la carta recibida puede en muchos aspectos no ser clara, se esperará una aclaración? Aún no existe una versión pública de la Dpr - responde Baldoni - Hemos tratado de tener en cuenta todos los problemas relacionados con las licitaciones tanto para entidades privadas como públicas, como Consip, sin embargo, deberíamos poder gestionar algunos problemas, estamos tratando de construir un sistema que funcione y aporte valor al sistema de pase. . Intentaremos solucionar los problemas, habrá repercusiones inmediatas también a nivel económico.

De las palabras a los hechos, ¿cómo se construye un sistema de seguridad cibernético correcto y eficaz? El primer paso para implementar un plan de seguridad es un enfoque "holístico" para la seguridad convergente. - explica Fabio Mulazzani - las empresas deben incrementar sus habilidades y conocimientos en ciberseguridad, el método debe entenderse como multidisciplinario y no enfocarse solo en áreas técnicas - continúa el experto - Son muchos los sectores que hay que tener en cuenta en materia de seguridad convergente: en este marco de perímetro nacional de ciberseguridad, que hace referencia a un plan europeo, cada empresa debe poner de su parte aumentando sus competencias. Una de las mayores dificultades que tenemos todos es hacer que la comunicación sea más sencilla y eficaz: debemos comunicarnos de forma clara y precisa, aboliendo las tecnicismos en la medida de lo posible. Nuestra organización es como un castillo que hay que defender, y defender tu castillo significa pensar en los cimientos, poner en marcha sistemas de reingeniería. No tiene que mirar solo las redes, sino todo el plan de negocios - añade Fabio Mulazzani.

Son muchos los aspectos de seguridad de los que sabemos poco y que deberíamos aplicar a las empresas - subrayado Gianluca Cattani - Italia está a la vanguardia de la ciberseguridad, y no olvidemos que, en este nivel, las licitaciones, cuya legislación de seguridad es de origen comunitario, también tienen un valor importante. es más - añade Cattani - Las empresas ya deben comenzar a prepararse para el cambio: en seis meses se mapearán los activos TIC, es decir, redes o servicios de TI que interactúan con las funciones esenciales del Estado..

Pero, ¿qué son estas empresas que tienen que organizar su ciberseguridad desde cero? La respuesta siempre es Cattani: Estamos hablando de empresas que atienden al Interior, Defensa, Energía, Telecomunicaciones, Finanzas: en el caso de un ciberataque, todo el país paga los costos e incluso un solo ataque puede ser muy peligroso. Piensa en el sector de la salud, el suministro y distribución de agua potable o energía: estos son servicios imprescindibles y hoy todo es electrónico ... tal vez la presa una vez movida por manivela, ahora todo funciona con un acceso informático.

Finalmente, la atención se centró en los costes, como explicó el ingeniero Massimo Vegni: El perímetro nacional de ciberseguridad se percibe con cierta ansiedad porque nos conduce a nuevas reglas. Todo se deriva del hecho de que hay "tipos malos" que atacan nuestras infraestructuras estratégicas y nuestras empresas estratégicas, tanto para robar datos como para manipularlos. El mapeo de redes sensibles no es un trabajo simple y a menudo tratamos con dispositivos cuyos términos de seguridad desconocemos. Pero el riesgo de ciber disrupción involucra otros aspectos: los ataques no provienen solo de particulares, sino también de estados extranjeros que tienen la capacidad de espiarnos, que se benefician de tener información sensible. La alta dirección debe involucrarse para estos desafíos, porque enfrentarlos significa tener que utilizar recursos sustanciales, que deben entender cómo esa inversión es una oportunidad para asegurar nuestras empresas., Recalcó Vegni de nuevo.

No olvidemos los aspectos procesales penales y civiles, tanto en el modelo 231 como en el perímetro de ciberseguridad, como bien explica el abogado Antonio Enrico Agovino: Con la concepción de este nuevo perímetro de ciberseguridad, los delitos informáticos adquieren una nueva relevancia que -como bien han señalado los expertos- siempre se han visto en el escalón más bajo entre los delitos recogidos en el Decreto Legislativo 231/2001, entre otros, la sujeto de escasa jurisprudencia.