Es noticia
Hacia un nuevo mundo ¿ciberseguro?
  1. España
  2. Blog FIDE
Fide

Blog FIDE

Por

Hacia un nuevo mundo ¿ciberseguro?

La regulación de la ciberseguridad trata sobre implementar medidas para proteger a los ciudadanos europeos, sus datos personales o a las infraestructuras más críticas de los ciberdelincuentes

Foto: Imagen: Pixabay/Pete Linforth.
Imagen: Pixabay/Pete Linforth.

Si se menciona RockYou2024 puede parecer un nombre de un usuario de cualquier red social o videojuego. No obstante, cuando se hace una búsqueda rápida en internet, se puede leer que hace referencia a la (seguramente) mayor filtración de contraseñas de la historia. Concretamente, 10.000 millones de contraseñas.

Para poner en contexto el volumen de la filtración, solo esta supone un número de contraseñas filtradas mayor a la población mundial (en la fecha de redacción del artículo, 8.122 millones de personas).

No obstante, RockYou2024 (desgraciadamente) no es un incidente aislado. Sin moverse de la misma filtración, antes hubo un RockYou2021 con otros 8.400 millones de contraseñas filtradas.

Más allá de filtraciones, es posible ver el estado actual de los ataques de ciberdelincuentes en algunas entidades españolas que han sufrido en los últimos años ciberataques de diferente tipología e impacto como Telefónica, Endesa, la Dirección General de Tráfico, el Servicio Público de Empleo, ayuntamientos como el de Sevilla u hospitales como La Paz.

Foto: Centro de control de tráfico en la sede de la Dirección General de Tráfico (DGT) en Madrid. (DGT)

Otro caso muy reciente, y que no provino de un ataque sino de un fallo de actualización de software, ha sido el incidente de Crowdstrike, que ha dejado bloqueados aeropuertos, hospitales y diversos servicios públicos en todo el mundo.

Con este escenario no es de extrañar que el regulador europeo (tradicionalmente, extremadamente regulador) haya puesto el foco en la regulación de la ciberseguridad para proteger al ciudadano.

Foto: Foto: Diego Radamés (Europa Press)

Porque al final, no se debe olvidar que la regulación de la ciberseguridad, en última ratio, trata sobre eso, sobre implementar medidas para proteger a los ciudadanos europeos, sus datos personales o a las infraestructuras más críticas de los ciberdelincuentes.

Es por esto por lo que a nivel europeo se ha visto una evolución en la normativa relativa a la ciberseguridad. Pruebas de ello son la aprobación de la Directiva de ciberseguridad, sobre seguridad de las redes y sistemas de información (NIS), el Reglamento sobre la resiliencia operativa digital para el sector financiero (el Reglamento DORA) y la Directiva sobre la resiliencia de las entidades críticas (CER).

Por su parte, NIS 2 tiene como objetivo definir las bases para las medidas de gestión de riesgos de ciberseguridad de manera consolidada en los Estados miembros, enfocándose en la armonización de la prevención, detección y respuesta ante incidentes de seguridad que afecten, tanto al sector público como al privado, cuando prestan servicios esenciales o importantes a la sociedad.

Foto: Vista de unas banderas de la Unión Europea. (iStock) Opinión

DORA, por su parte afecta a todas las entidades financieras (y aseguradoras), siendo su objetivo fortalecer la resiliencia operativa digital en el sector financiero de la Unión Europea. Las medidas determinadas en DORA abordan la gestión de riesgos, la notificación de incidentes, las pruebas de resiliencia operativa y la supervisión de proveedores terceros de servicios de TIC.

Finalmente, la Directiva CER tiene como objetivo fortalecer la resiliencia de las entidades críticas en la Unión Europea. Pretende que se adopten medidas para asegurar la continuidad y resiliencia de sus servicios, desarrollando Planes de Continuidad del Negocio y pruebas periódicas de recuperación ante desastres.

La regulación de la ciberseguridad no sucede solo a nivel europeo, España, entre los países de la UE, destaca por tener una de las regulaciones más detalladas sobre ciberseguridad, abarcando legislación derivada de Directivas y Reglamentos europeos, así como leyes propias que son exclusivas del marco legal español.

Foto: El presidente del Gobierno, Pedro Sánchez. (EFE/Emilio Naranjo)

Dentro de las normativas nacionales, se encuentra el Esquema Nacional de Seguridad (ENS) definiendo principios básicos y requisitos mínimos que aseguran la protección de la información y los servicios ofrecidos (siendo también aplicable a las empresas privadas cuando prestan servicios a sistemas de las Administraciones Públicas que están sujetas al ENS). Sin duda, el ENS es una de las normativas más rigurosas hasta la fecha sobre seguridad de la información.

Como ha sido analizado, la propia necesidad ha hecho que los reguladores hayan actuado de manera “rauda” para incrementar la presión normativa sobre la regulación de la ciberseguridad, con una mentalidad proteccionista sobre los ciudadanos y exigente a las entidades afectadas. No obstante, ¿es este acercamiento el más apropiado?

Ya solo en este artículo pueden verse más de cinco normativas diferentes de ciberseguridad (bien es cierto que DORA actúa como lex specialis sobre NIS 2) que pueden afectar de manera simultánea a una entidad. Esto hace que la empresa (pública o privada) se encuentre en un momento realmente complejo con respecto a su regulación y gestión.

Foto: Foto: Reuters/Vincent West.

Dichas normas suelen estar inspiradas en estándares internacionales de seguridad de la información o ciberseguridad como la ISO 27001, por lo que el sistema de gestión no difiere, en exceso, entre normativas. No obstante, cada normativa incluye especificaciones concretas que pueden hacer que su gestión sea complicada si no se hace previamente un estudio comparativo.

Finalmente, la notificación de incidentes, al menos en España, puede suponer un quebradero de cabeza para los sujetos obligados, ya no solo por tener que notificar por diferente vía cuando un incidente afecta a datos personales y cualesquiera de las normativas mentadas, sino que, en muchos casos la comunicación entre las diferentes autoridades es ineficiente.

En conclusión, el estado actual de riesgo de la ciberseguridad ha hecho al regulador intentar proteger de la mejor manera al ciudadano e imponer medidas a las entidades. No obstante, esta presencia de múltiples normativas y estándares, cada vez más, está complejizando tener un modelo de cumplimiento de ciberseguridad único y válido para todos los contextos.

placeholder

*Javier Arnaiz, mánager de Ciberseguridad y Privacidad en ECIJA.

Si se menciona RockYou2024 puede parecer un nombre de un usuario de cualquier red social o videojuego. No obstante, cuando se hace una búsqueda rápida en internet, se puede leer que hace referencia a la (seguramente) mayor filtración de contraseñas de la historia. Concretamente, 10.000 millones de contraseñas.

Internet Hackers
El redactor recomienda