Propuesta de estrategia Europea de Ciberseguridad: Implicaciones para el sector privado

El pasado 6 de Febrero la Comisión Europea hizo pública su propuesta para una estrategia unificada de ciberseguridad en la UE.  Dicha propuesta parte de la premisa de que los países de la unión necesitan robustecer su capacidad de prevención, detección, resistencia y coordinación ante las crecientes amenazas del ciberespacio.

El documento establece que la seguridad del mundo digital es una responsabilidad compartida de  los gobiernos, las empresas privadas y los ciudadanos y viene a definir el papel que deben jugar  sectores críticos como  el de la energía, el transporte, las entidades financieras, las bolsas de valores, los proveedores y empresas de servicios de Internet y también las administraciones públicas.

Sobre estas premisas existe un consenso generalizado de todas las partes implicadas: Las ciberamenazas son muy reales y es necesario gestionarlas de manera global ; sin embargo, la propuesta ya ha generado  polémica entre aquellos contrarios a la regulación por parte de los estados de las medidas de control y seguridad que el sector privado tenga que poner en práctica y los que argumentan que ésta es de hecho la única vía para que las empresas tomen medidas serias para minimizar el impacto del cibercrimen en la economía de la UE.

Los más críticos con la propuesta argumentan además que la misma está influenciada por los intereses comerciales de empresas del sector de la seguridad y que el documento está desarrollado desde una perspectiva que magnifica la magnitud real del problema .Argumentan que una política de ciberseguridad no puede establecerse desde el  miedo, y critican que se pueda estar utilizando este miedo como instrumento para favorecer intereses privados.

Sea como sea, lo que parece claro es que la tendencia es una creciente regulación del sector privado en lo relativo a estas cuestiones,  lo cual augura, al menos,  con independencia de la efectividad final de la estrategia, buenos tiempos para los profesionales de la ciberseguridad.

En este breve artículo vamos a centrarnos en analizar exclusivamente las cuestiones más relevantes para el sector privado que se plantean en la propuesta.

Pasividad del sector privado

El siguiente párrafo del documento (que hemos traducido con la mayor fidelidad posible) resume la percepción de la Comisión sobre el posicionamiento actual del sector privado:

… los actores privados carecen de incentivos efectivos para proporcionar información fiable sobre la existencia o el impacto de los incidentes de seguridad (que sufren), adoptar una cultura de gestión de riesgos o invertir en soluciones de seguridad. La legislación propuesta aspira a conseguir que los actores en sectores clave (energía, transportes, entidades financieras, bolsas de valores y proveedores de servicios clave de Internet, así como las administraciones públicas) evalúen los riesgos que les afectan y mediante una adecuada gestión de los mismos,  se aseguran de que los sistemas de información y las redes son fiables y resistentes y que compartan la información con las autoridades competentes en materia de ciberseguridad. La adopción de una cultura de ciberseguridad  podría crear oportunidades de negocio y aumentar la competitividad del sector privado, convirtiendo  la ciberseguridad en un factor de la oferta de valor.”…

 “Aquellas entidades (del sector privado) deberían reportar a la autoridades de seguridad competentes todos aquellos incidentes que, afectando a las redes o sistemas de información, tengan un impacto en la continuidad de sus servicios esenciales y suministro de bienes”.

Es evidente que el sector privado es reacio a dar publicidad a los incidentes que pueda sufrir por el posible riesgo reputacional que ello conlleva. La Comisión Europea entiende, creo que con buen criterio, que esta precaución impide la obtención de información fiable y consolidada sobre las amenazas reales y su impacto global y esto es un factor que impide articular una estrategia efectiva de defensa.

Personalmente creo que una mayor transparencia en los datos sobre el impacto económico real del problema, ayudaría a una gestión más eficaz y a acabar con una cierta tendencia existente a manejar datos sesgados y difíciles de validar, de cara a sobre-estimular la demanda de soluciones de seguridad.

Obligación de notificación de brechas de seguridad

En este sentido, lo que esta propuesta en concreto requiere de las empresas es que los incidentes de seguridad que ocurran se notifiquen a las autoridades competentes, aunque establece que estas autoridades deberán colaborar estrechamente y compartir información con otras como las de protección de datos de carácter personal.

Parece evidente que  la legislación Europea va a seguir la tendencia de las llamadas leyes de notificación de brechas de seguridad puestas en práctica en los EEUU. De hecho, el borrador de la nueva regulación Europea de protección de datos incluye la exigencia de notificar los incidentes relativos a la privacidad, en un plazo no superior a 24 horas, no solo a la autoridad reguladora competente, sino también, en algunos casos, a cada una de las personas afectadas por el problema.  Por su parte, la legislación Española ya incluye esta obligación al menos para las empresas de telecomunicaciones en la Ley General de Telecomunicaciones.

Como dato anecdótico, mencionar que algunas aseguradoras ya están viendo oportunidad de negocio y desarrollan productos para cubrir los impactos que para las organizaciones puedan derivarse de esta obligación de ser transparentes con las brechas de seguridad.

Cultura de gestión de riesgos de las empresas e inversión de seguridad

Uno de los puntos más polémicos de la propuesta es la afirmación generalizada de que las empresas tienen pocos incentivos para establecer una gestión adecuada de los riesgos tecnológicos y para invertir en la seguridad de sus sistemas y redes.  En esto solo puedo estar parcialmente de acuerdo. Un buen número de empresas de los sectores críticos que menciona la propuesta (ej: bancos, proveedores de servicios de Internet, etc…)   están reguladas y tienen estructuras organizativas para una adecuada gestión de riesgos y hacen fuertes inversiones en seguridad de la información y las redes y sistemas.

Parece  exagerado asumir de manera general que los administradores en estas empresas  no contemplen los riesgos derivados del uso de la tecnología y del ciberespacio y la gestión de estos riesgos como un factor estratégico de éxito de las empresas que gestionan. No obstante, puede asumirse que en caso de ser aprobada la propuesta, una mayor regulación en este sentido puede ser un factor que ayude (además de a generar negocio como expresamente menciona la propuesta) a aumentar la profesionalización de empresas menos maduras en la gestión del riesgo.

Promover el liderazgo Europeo en Tecnologías de la Información y las comunicaciones y soluciones y servicios de ciberseguridad

La Comisión considera que Europa tiene una excesiva dependencia con respecto a terceras partes fuera de la UE en lo relativo a las tecnologías de la información, las comunicaciones  y soluciones y servicios de ciberseguridad. Por ello plantea  la necesidad de promover el desarrollo y el liderazgo de una industria Europea en estas áreas críticas. Al mismo tiempo plantea la necesidad de estimular una demanda interna de estas tecnologías y productos de alta seguridad.

El sector privado necesita incentivos para asegurar un alto nivel de ciberseguridad; por ejemplo, sellos indicando el nivel de ciberseguridad de productos y servicios podrían ser un buen indicador de la seguridad a la vez que proporcionar una ventaja competitiva para las empresas que los obtengan…Las obligaciones establecidas en la directiva, deberían contribuir a aumentar la competitividad de las empresas en los sectores cubiertos…”

En este sentido el documento menciona de manera sucinta las distintas iniciativas que se van a poner en marcha desde la Comisión para desarrollar estas cuestiones; entre ellas:

  • Incentivos para la adopción (y el desarrollo) de tecnologías y soluciones de seguridad en la UE.
  • Elaborar recomendaciones y promover acciones para que la ciberseguridad esté contemplada como parte del ciclo de vida de productos y servicios.  Conseguir que la seguridad esté embebida en los productos de una manera amigable para el usuario.
  • Promover el desarrollo y adopción de estándares, manuales de buenas prácticas y directrices técnicas.
  • Estimular el I+D en cuestiones de ciberseguridad.

Vamos a finalizar aquí este post.  Estaremos atentos a los avances de la Comisión en esta estrategia unificada de ciberseguridad. Esperemos que sea de ayuda para las empresas de cara a identificar futuros requisitos y/o oportunidades de negocio.

Un fuerte abrazo y gracias por la atención.

Artículos relacionados

Ciberamenazas

Sabotaje en la Red

Ideas para Estrategia para la Prevención del Fraude Online

Escenarios de robo de credenciales en el Fraude Online

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s