La estrategia de la Unión Europea ante las amenazas cibernéticas

Las amenazas cibernéticas son cada vez más frecuentes, con consecuencias potencialmente devastadoras. La Unión Europea se está tomando muy en serio esta cuestión

Foto: Ciberseguridad
Ciberseguridad

El 13 de septiembre, la Comisión Europea (CE) publicó su nueva estrategia para hacer frente a las crecientes amenazas cibernéticas alineando a los gobiernos nacionales, la industria y la sociedad civil.

Se estima que la ciberdelincuencia causará daños por valor de 3.000 millones de euros en 2020. Además, se espera que miles de millones de dispositivos, en los que todavía no se ha priorizado la seguridad en su diseño, estén conectados al “Internet de las cosas”.

[Ciberseguridad: ¿Cómo puedo proteger mi empresa de los ataques?]

Sólo en 2017, el ataque de WannaCry afectó a más de 400.000 ordenadores en más de 150 países; un mes después, el Petya afectó a Maersk, Saint-Gobain y WPP. En el caso de Maersk, los daños podrían ascender a más de 300 millones de dólares. El enfoque establecido en la estrategia de la CE tiene por objeto mejorar las capacidades de la Unión Europea para hacer frente a estas amenazas y crear una mayor capacidad de recuperación y autonomía estratégica, reforzando las capacidades en términos de tecnología y competencias. Asimismo, pretende contribuir a la construcción de un mercado único fuerte, fomentando la confianza del consumidor en las tecnologías emergentes.

Creación de un mercado único de ciberseguridad

La CE propone reforzar la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). Esta propuesta se presenta en un momento en el que los Estados miembros de la UE están trasponiendo la Directiva sobre la seguridad de las redes y los sistemas de información (Directiva NIS) en los respectivos ordenamientos jurídicos nacionales para mayo de 2018.

Hoy en día, los operadores de servicios esenciales (por ejemplo, servicios de infraestructura de energía, finanzas, salud, transporte e Internet) podrían enfrentarse al riesgo de costes de cumplimiento elevados debido a las distintas interpretaciones de la Directiva NIS de un Estado miembro a otro.

La propuesta de potenciar el papel de ENISA en la fase de aplicación de la Directiva NIS podría armonizar los requisitos de ciberseguridad en toda la UE, reduciendo así los costes de cumplimiento para los operadores de servicios esenciales.

Un marco de certificación

La ENISA también apoyará la evolución de las políticas de la UE en materia de sistemas de certificación de la ciberseguridad en el ámbito de las tecnologías de la información y las comunicaciones (TIC), con el fin de avanzar hacia un mercado único de la ciberseguridad.

El marco de certificación tiene por objeto superar la falta de sistemas de certificación de ciberseguridad reconocidos en toda la UE para incorporar normas más estrictas de resistencia a los productos, servicios y sistemas.

Las empresas evitarían pasar por varios procesos de certificación en el comercio transfronterizo, limitando así los costes administrativos y financieros, aumentarían la resistencia de los productos y servicios TIC de uso diario y harían de la ciberseguridad una fuente de ventaja competitiva.

Mientras que en esta fase la propuesta sugiere que la adhesión a este sistema de certificación debe ser voluntario; la industria debería seguir muy de cerca la cuestión para impedir la adopción de reglamentación obligatoria sobre productos o proveedores de servicios de ciberseguridad más allá del proceso legislativo.

Seguridad en el diseño y principio de vigilancia

Los sistemas de certificación tienen por objeto crear unas condiciones de competencia equitativas entre los proveedores de servicios TIC, garantizando que todos los productos se construyan utilizando métodos de desarrollo seguros de vanguardia, integrando el principio de “seguridad en el diseño”. Esto significa que los productos y servicios se someterán a pruebas de seguridad adecuadas con arreglo a criterios comunes preestablecidos antes de llegar al mercado. En última instancia, el objetivo es fomentar un “principio de vigilancia” por parte de los vendedores comprometidos con la actualización de su software en caso de que se descubran vulnerabilidades o amenazas.

Podría ser la oportunidad para que los proveedores de TIC establezcan requisitos comunes de declaración de la vulnerabilidad en toda la UE

Se crearía un órgano mixto Comisión- Industria para desarrollar el “principio de vigilancia”, una iniciativa conjunta que podría ser la oportunidad para que los proveedores de TIC establezcan requisitos comunes de declaración de la vulnerabilidad en toda la UE para establecer unas condiciones equitativas entre los proveedores de seguridad de las TIC. Este sería otro paso hacia el desarrollo de un mercado único fuerte y competitivo para los productos y servicios de ciberseguridad.

Cooperación público-privada contra la ciberdelincuencia

Uno de los retos más importantes a los que se enfrenta el espacio europeo de ciberseguridad es la falta de intercambio de información sobre vulnerabilidades cibernéticas entre los sectores público y privado. Esto se debe a menudo a los riesgos de comprometer la información comercial confidencial y los posibles daños a la reputación cuando se comparte información con las autoridades públicas.

Para superar esta situación, la CE propone crear centros de intercambio y análisis de información en los Estados miembros para facilitar el intercambio de información con las partes interesadas del sector privado nacional.

Estamos lejos de tener una ley europea dedicada al intercambio de información sobre ciberseguridad, sin embargo, se trata de un primer intento de mejorar la cooperación y el intercambio de información entre múltiples sectores de infraestructura crítica con el fin de fomentar la confianza entre los actores públicos y privados.

Además, la CE sugiere que se cree un Fondo de Respuesta de Emergencia para la Seguridad Cibernética, destinado a ayudar en la respuesta y recuperación ante los ciberataques, siguiendo el ejemplo de los mecanismos de crisis en otros ámbitos políticos de la UE.

Estamos lejos de tener una ley europea dedicada al intercambio de información sobre ciberseguridad, sin embargo, se trata de un primer intento

La CE trata de hacer frente al delito cibernético estableciendo y apoyando la creación de asociaciones y mecanismos de cooperación entre los sectores público y privado, como el Centro Cibernético de Lucha contra el Fraude en Línea y la Red de Expertos que aplican el modelo y las normas de intercambio de información para analizar y mitigar los riesgos de los delitos electrónicos y los fraudes en línea.

Por último, la CE también se propone hacer frente a la ciberdelincuencia transfronteriza facilitando el intercambio de información sobre incidentes cibernéticos por parte de empresas privadas con las organizaciones policiales nacionales y EUROPOL.

Conclusiones

La Comunicación de la CE ofrece una oportunidad para mejorar la preparación, respuesta y recuperación en materia de ciberseguridad en toda la UE, pero también con terceros países, en un intento de garantizar la seguridad de su sociedad cada vez más digitalizada y, por tanto, del mercado único digital.

Esto aumentará las oportunidades no sólo para la industria de la ciberseguridad y las TIC, sino también para todas aquellas empresas que producen millones de dispositivos conectados a Internet y utilizados por los consumidores europeos.

Da una oportunidad para mejorar la preparación, respuesta y recuperación en ciberseguridad en toda la UE, pero también con otros países

Sin embargo, queda mucho por hacer. El mero hecho de que las competencias en materia de seguridad y ciberseguridad sigan siendo competencia de los Estados miembros amenaza con obstaculizar los esfuerzos de la CE. Así pues, sin un marco jurídico obligatorio, la CE solo puede pedir a los Estados miembros que estén dispuestos a cumplir y actuar en los ámbitos en los que tienen la responsabilidad primordial.

La CE tendrá que hacer frente a las preocupaciones de la industria de las TIC en relación con el cumplimiento de los certificados de ciberseguridad de procesos técnicos. El riesgo podría ser que las empresas que operan a escala mundial se enfrenten a una segmentación regional que podría inducir a costes de duplicación elevados. También hay que aclarar el papel de la industria en el proceso de certificación; esto apenas se menciona en la propuesta.

Alejandro Sánchez
Alejandro Sánchez

*Alejandro Sánchez es Senior Director del Área de Ciberseguridad de FTI Consulting en Bruselas.

Blog FIDE

Escribe un comentario... Respondiendo al comentario #1
0 comentarios
Por FechaMejor Valorados
Mostrar más comentarios