#IncibeEmprende Charla Paco Pérez Bes “Marco legal, normativa y nichos de mercado"
Como os contamos en anteriores post, en el Campus Internacional de Ciberseguridad hemos incorporado un área de Emprendimiento con el objeto de ayudar a nuestros alumnos a desarrollar sus proyectos de emprendimiento, tanto personal como empresarial.
Además, hemos comenzado a desarrollar el proyecto #IncibeEmprende, en colaboración con el Instituto Nacional de Ciberseguridad (INCIBE), en el que, a través de charlas, talleres y eventos, realizamos actividades especializadas en la promoción de iniciativas emprendedoras en ciberseguridad, con la finalidad de incorporar emprendedores a la economía y sociedad digitales españolas.
Como no se concibe el emprendimiento sin cierto grado de innovación, muchos de los expertos que nos acompañarán a lo largo de todo el proyecto, lideran áreas de innovación en grandes consultoras nacionales e internacionales.
#IncibeEmprende Charla Paco Pérez Bes “Marco legal, normativa y nichos de mercado" por...
¿De qué trata la Charla de Paco Pérez Bes sobre el Marco legal, normativa y nichos de mercado?
En la primera semana de marzo han comenzado las charlas de este proyecto, en la primera, nos ha acompañado Sergio de los Santos, donde habló sobre el estado actual de la ciberseguridad en España. En la segunda nos acompañó Paco Pérez Bes, socio del área de derecho digital de Ecix Group y Ex secretario general de INCIBE, medalla al mérito de la Guardia Civil y en definitiva, uno de los grandes referentes del ciberderecho en España.
La charla de Paco estuvo orientada a presentar al futuro emprendedor, cuál es el marco legal y la normativa vigente que debe conocer, tanto desde la perspectiva del cumplimiento normativo como desde la perspectiva del propio emprendimiento, porque como se explicó el emprendimiento en ciberseguridad puede tener un enfoque jurídico que se salga del ámbito típicamente técnico.
¿Cuál fue el índice de contenidos de la sesión?
El índice de contenidos de su charla fue el siguiente:
Introducción
Obligaciones de información y transparencia
Obligaciones de protección de datos personales y medidas de seguridad.
Obligaciones de ciberseguridad para empresas esenciales e importantes.
Normativa sectorial.
Obligaciones como proveedor de empresas esenciales.
En un primer momento, comenzó haciendo una reflexión sobre el hecho de que la ciberseguridad se ha convertido en un elemento imprescindible para algo más que proteger la información, las redes y los sistemas informáticos. Destacó, además de estos, otros tres aspectos en los que muchas veces no caemos, sobre todo los dos últimos:
La continuidad del negocio.
La responsabilidad legal de las empresas y la personal de sus administradores.
La seguridad nacional.
La Ciberseguridad se ha convertido en un elemento imprescindible para algo más que para proteger la información, las redes y los sistemas informáticos.
Además, se refirió a que la regulación de la ciberseguridad también se ha convertido en un elemento esencial y estratégico para Europa, lo que ha derivado en una gran cantidad de regulación, que va añadiendo nuevas obligaciones a los agentes involucrados: empresas, AAPP, intermediarios, etc.
¿Qué normas componen la regulación de la Ciberseguridad en Europa?
Este haz normativo se compone de normativa general y sectorial, adicional a la normativa ya existente (RGPD, LSSI, etc.):
The NIS 2 Directive.
The European Cyber Resilience Act.
The Digital Operational Resilience Act (DORA).
The Critical Entities Resilience Directive (CER).
The Digital Services Act (DSA).
The Digital Markets Act (DMA).
The European Health Data Space (EHDS).
The European Chips Act.
The European Data Act.
The European Data Governance Act (DGA).
The EU Cyber Solidarity Act.
The Artificial Intelligence Act.
The Artificial Intelligence Liability Directive.
The Framework for Artificial Intelligence Cybersecurity Practices (FAICP).
The European ePrivacy Regulation.
The European Digital Identity Regulation.
The European Cyber Defence Policy.
The Strategic Compass of the European Union.
The EU Cyber Diplomacy Toolbox.
¿Qué es la LSSI (Ley de servicios de la sociedad de la información y del comercio electrónico)?
Cuando pasó al punto 2, de obligaciones, se centró en la Ley 34/2002, de Servicios de la Sociedad de la Información, la directiva de comercio electrónico y la nueva directiva ePrivacy.
Sobre la LSSI indicó que es objeto de esta Ley, la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a las obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.
Existen obligaciones de los prestadores de servicios incluidos los que actúan como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones, las comunicaciones comerciales por vía electrónica, la información previa y posterior a la celebración de contratos electrónicos.
¿Cuáles son las obligaciones de informar en materia de Ciberseguridad?
Y a partir de ahí se centró en las prohibiciones (art. 8), las obligaciones de informar (art. 10), la obligación de información sobre seguridad (art. 12bis) y las comunicaciones comerciales por vía electrónica (art. 19).
A continuación, habló sobre las obligaciones de información de ciberseguridad. En concreto la disposición adicional octava y la disposición adicional novena. Habló de las obligaciones de registro de nombre de dominio, de cara a proteger el negocio del futuro emprendedor a través de las medidas de protección del dominio/marca, el registro de información de titularidad del dominio y el Cybersquatting.
En definitiva, todo un repaso de la ley. De arriba abajo. Haciéndola entendible y en un tiempo récord.
¿Qué es la Directiva NIS2?
Esta directiva establece medidas que tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión con el objetivo de mejorar el funcionamiento del mercado interior:
Obligaciones que requieren que los Estados miembros adopten estrategias nacionales de ciberseguridad y designen o establezcan autoridades competentes, autoridades de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés);
Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades cuyo tipo se enmarca en los anexos I o II; así como para las entidades identificadas como críticas con arreglo a la Directiva (UE) 2022/2557;
Normas y obligaciones relativas al intercambio de información sobre ciberseguridad;
Obligaciones de supervisión y ejecución para los Estados miembros.
¿Qué son los CSIRT?
Paco tambien explicó lo que son los CSIRT, su enfoque basado en el riesgo, las relaciones de cooperación con otros actores interesados que el objeto de mejorar la consecución de los objetivos que están bajo el amparo de la Directiva, y se centró en los aspectos y obligaciones de gobernanza (art. 20) explicando que los órganos de dirección de las entidades esenciales e importantes deberán:
Aprobar las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades.
Supervisar su puesta en práctica.
Responder por el incumplimiento.
En definitiva, otro repaso en toda regla a la directiva NIS2.
La verdad es que la charla estaba siendo muy interesante, a pesar de que nuestro público es eminentemente técnico, y ya sabemos que a los técnicos todo lo que tiene que ver con legislación y normativa nos provoca cierta urticaria.
¿Cuáles son las técnicas de fraude más habituales?
Una de ellas es la suplantación de la identidad de una PYME (Pequeña y Mediana Empresa) para engañar a clientes es una técnica de fraude cada vez más común en el mundo digital. Esta forma de fraude, también conocida como suplantación de identidad empresarial o fraude de CEO, implica que los ciberdelincuentes se hagan pasar por representantes legítimos de una empresa para obtener información confidencial o realizar transacciones fraudulentas.
La suplantación de la PYME a clientes puede tener graves consecuencias tanto para la empresa como para sus clientes. La pérdida de confianza de los clientes puede afectar negativamente la reputación de la empresa y conducir a la pérdida de ingresos y clientes. Además los clientes afectados pueden enfrentarse a pérdidas financieras y al robo de identidad si proporcionan información confidencial a los delincuentes.
¿Qué medidas de prevencción podemos utilizar frente a la suplantación de la identidad de una Pyme?
- Educación y Concientización: Es fundamental que las empresas eduquen a sus clientes sobre cómo detectar correos electrónicos fraudulentos y cómo proteger su información personal.
- Verificación de Identidad: Los clientes deben ser alentados a verificar la autenticidad de los correos electrónicos o mensajes sospechosos antes de responder o proporcionar información confidencial.
- Autenticación de Dos Factores: La implementación de la autenticación de dos factores puede ayudar a prevenir el acceso no autorizado a cuentas de clientes, incluso si los delincuentes obtienen credenciales de inicio de sesión.
- Monitoreo de Actividad: Las empresas deben monitorear de cerca la actividad en línea y estar atentas a cualquier indicio de actividad fraudulenta.
La suplantación de proveedores a las Pymes es otra de las técnicas más comunes, también es conocida como "fraude de pago falso" o "fraude de factura falsa", esta práctica implica que un estafador se haga pasar por un proveedor legítimo de una empresa para obtener pagos fraudulentos.
¿Cómo podemos protegernos de la suplantación de proveedores a las pymes?
Verificación de Identidad: Verificar la identidad de los proveedores a través de canales seguros, como llamadas telefónicas a números confirmados y direcciones de correo electrónico corporativas.
Validación de Facturas: Examinar cuidadosamente todas las facturas recibidas para detectar posibles discrepancias, como cambios en los números de cuenta bancaria o detalles de contacto.
Establecer Procedimientos de Pago Seguros: Implementar políticas internas que requieran la verificación de múltiples partes antes de realizar pagos grandes o inusuales.
Educación y Concienciación: Capacitar a los empleados sobre los riesgos de la suplantación de proveedores y cómo reconocer señales de advertencia, como correos electrónicos sospechosos o cambios en la información de pago.
Seguimiento de Transacciones: Realizar un seguimiento regular de las transacciones financieras y revisar las cuentas bancarias y los registros de pagos para detectar actividades sospechosas.
Confirmación de Cambios: Establecer un proceso para confirmar cualquier cambio en la información de pago o en los detalles de contacto del proveedor, especialmente si se solicita por correo electrónico.
Implementación de Controles de Seguridad: Utilizar sistemas de seguridad informática robustos, como firewalls y software antivirus, para proteger contra el phishing y otros ataques cibernéticos que podrían facilitar la suplantación de proveedores.
En la recta final, antes del turno de preguntas, se detuvo unos minutos en explicar qué se debe hacer si se detecta el fraude tanto a nivel operativo como para no cometer ningún tipo de irregularidad que pueda afectar a la responsabilidad civil, administrativa, penal y reputacional de la organización que ha sido afectada.
Y finalmente terminó con la protección de datos de carácter personal, algo de lo que todos hemos oído hablar, pero desde un enfoque diferente. Lo normal es verlo desde la perspectiva de la responsabilidad del que recoge esa información y debe protegerla, sin embargo, lo trató desde la perspectiva del prestador del servicio. ¿Y eso por qué? Pues porque en la mayoría de las ocasiones para prestar ese servicio trabajamos con información sensible de nuestros clientes y debemos tenerlo muy en cuenta para no hacer algo, por desconocimiento, que pueda plantearnos un problema legal.
Si has leído hasta aquí te habrás dado cuenta de lo interesante que resultó la charla en la que Paco presentó a los alumnos que están empezando a desarrollar su proyecto de emprendimiento empresarial en el Campus Internacional de Ciberseguridad, su privilegiada visión del mundo normativo y jurídico alrededor de la ciberseguridad.
Paco tambien es tutor en el Máster en Ciberderecho certificado por la UCAM del Campus Internacional de la Ciberseguridad, anímate a formarte en este materia tan demandada hoy dia, de la mando de grandes profesionales como Paco.
No te pierdas la Clase Gratuita de Paco Pérez Bes sobre la Publicidad de los servicos de inversión de criptoactivos en el siguiente enlace.