Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

En qué consiste la directiva NIS y la estrategia de ciberseguridad

En qué consiste la directiva NIS y la estrategia de ciberseguridad
Javier Puyol es abogado y socio de ECIXGroup.
06/12/2015 14:34
|
Actualizado: 23/12/2015 11:29
|

En esta noticia se habla de:

Si bien no hay una definición co­mún para conceptos como ci­berseguridad, ciberespacio, ci­berdelincuencia, ciberespionaje o ci­berataques, éstos están presentes en el día a día de la actividad empresarial. Para Paloma García, de hecho, se tienen en cuenta en to­do análisis de riesgos y en el diseño de cualquier estrategia de negocio.

La ciberseguridad es la primera lí­nea de defensa contra la ciberdelin­cuencia, y por ello las políticas euro­peas y nacionales de seguridad con­templan la ciberseguridad como una línea de actuación con entidad propia que hay que desplegar y dotar de las medidas de apoyo necesarias para al­canzar objetivos concretos.

Como señala TicBeatsi 2015 ha sido el año de la consolidación de la ciberseguridad como una tendencia clave en el panorama tecnológico, 2016 será el curso en que descubriremos todo el alcance que las ciberamenazas de nueva generación pueden tener, tanto en sus ataques a particulares como a empresas y organismos públicos.

No en vano, los cibercriminales idearán nuevas formas de personalizar los ataques, haciendo que 2016 sea el año de la extorsión online. La extorsión online se acelerará a través del uso de análisis psicológicos y de ingeniería social de las potenciales víctimas. Los hacktivistas se verán forzados a exponer información más comprometedora incluso, impactando en los objetivos y facilitando infecciones secundarias.  

Eso, unido a que los hacktivistas aumentarán los métodos de ataque para destruir sistemáticamente objetivos con brechas de datos de alto perfil, convertirá el próximo año en un auténtico hervidero de amenazas digitales.Como manifestaciones o tendencias de esta cirberdelincuencia, se señalan habitualmente como las más comunes en la actualidad, las siguientes:

a). Se está produciendo un crecimiento de las tácticas de guerra cibernética y el ciberespionaje.

b). Por otro lado, en este momento hay más ataques y más fuertes al Internet de las Cosas.

c). Se presume que  el debate sobre la privacidad se está intensificando y lo hará todavía más.

d). El “ransomware” ha saltado a los tratamientos en la nube. (Ransonware es el software malicioso que al infectar los equipos los bloquea y pide un rescate para recuperar el control, evolucionará en sus métodos de propagación, cifrado y los objetivos a los que apunta).

e). Se están produciendo más ataques a dispositivos móviles

f). También están creciendo los ataques contra el punto de venta, que ahora son nuevos y diferentes.

g). Debe destacarse que los ataques fuera de Windows se están expandiendo.

h). Hoy en día hay una mayor explotación de los fallos de software

i). Y finalmente existen nuevas técnicas de evasión del sandboxing, que consiste en escapar de los entornos o mecanismos de cuarentena o sandboxing, como se conoce en inglés, que está librando una importante batalla que tienen afrontar en la actualidad los departamentos de seguridad.

Este escenerario viene propiciado para la Fundación Esys, debido al uso masivo de las Tecnologías de la Información y las Comunicaciones (TIC) que es ya una realidad y sobre todo su incorporación en todos los ámbitos: políticos, económicos y personales, que hace necesario abordar su impacto sobre las personas, las instituciones y, por supuesto, sobre las empresas.

Una de las cuestiones que más preocupan a las empresas es la seguridad en todo tipo de comunicación, información o transacción a través de la red.

Por eso, es fundamental buscar soluciones que garanticen la seguridad de los sistemas TIC para, por ejemplo: prevenir incidencias, disponer de sistemas de denuncia, implementar capacidades de corrección de vulnerabilidades, disponer de sistemas de comunicación de incidentes y proporcionar a los responsables de la Seguridad del Estado y de las empresas los medios jurídicos y técnicos para denunciar y perseguir los delitos y a los delincuentes.

La amenaza de la ciberdelincuencia o, más en general, de los ciberataques es real y está presente en España, afectando a las infraestructuras informáticas y de telecomunicaciones, tanto a las de la Administración Pública como a las de las empresas y los ciudadanos.

Como consecuencia de todo ello nace la llamada Directiva NIS, que es la abreviatura de “Network and Information Security”, la cual constituye un primer intento serio de la UE para hacer frente al reto de la ciberseguridad en el contexto actual en el cual es constante la preocupación por la seguridad en el ciberespacio, especialmente tras los cada vez más frecuentes incidentes de seguridad que se producen protagonizados en muchos casos por agentes gubernamentales al servicio de Estados. Su objetivo principal no puede ser otro que dar una respuesta coordinada y europea frente a esta nueva amenaza cuyos potenciales riesgos son innumerables.

En este sentido, tal como señala el Instituto Español de Estudios Estratégicos, su aprobación supone una serie de nuevas obligaciones muy relevantes, tanto para los Estados miembros, como para ciertos actores que, en realidad, incluyen a la mayoría de los principales agentes económicos, afectando a sectores tan relevantes como la energía, la banca o la sanidad. Además, los Estados deberán adaptar sus estructuras administrativas a estas nuevas obligaciones.

El Ciberespacio es un nuevo ámbito en el cual aquellos actores que estén dotados de las herramientas más avanzadas y eficaces para proteger a sus ciudadanos y a sus intereses nacionales contarán con una gran ventaja respecto a aquellos que no tomen demasiado en serio las cuestiones relacionadas con la ciberseguridad, por lo cual conviene estar a la cabeza de este esfuerzo necesario por alcanzar unas más altas dosis de seguridad, certezas y legalidad en ese ámbito, tan a priori contrario a estos parámetros como es la Red.

Las tres propuestas clave de la Directiva NIS (network information security) son tal como expone Rosalía Arroyo, además, de que cada país adopte una estrategia de ciberseguridad y una autoridad competentes; debe crearse un mecanismo de cooperación para compartir información sobre seguridad en toda la Unión Europea y que los operadores de infraestructuras críticas, como energía y transporte, y los proveedores de servicios (plataformas de comercio electrónico, redes sociales, motores de búsqueda, cloud, webmail, etc), y ello sin perjuicio de que por parte de las administraciones públicas, se adopten las medidas necesarias para gestionar sus riesgos de seguridad e informen sobre los incidentes de seguridad que sufran a las autoridades nacionales competentes.

Esta última medida es la que despierta más recelos. Afectaría a empresas de la talla de Facebook, Google, Microsoft, Dropbox, etc. Muchas de ellas opinan que informar sobre una brecha de seguridad o confesar que han sido objetivo de un ciberataque minaría su reputación. Y lo que resulta tan curioso es que pongan pegas a la directiva europea cuando, americanas como son la mayoría, están obligadas en sus países a informar sobre los problemas de seguridad que sufran.

Claro que además de afectar a su reputación, la directiva planea imponer multas a las empresas que pierdan datos de sus usuarios, lo que hará que tengan que tener un cuidado extremo con las medidas que toman para asegurar sus datos sensibles. Esta medida coloca en una difícil situación a las 23 millones de pymes que se calcula que hay en Europa, y que normalmente tienen menos recursos para blindarse contra posibles problemas de seguridad. Por no hablar de que muchas de ellas ni siquiera estarían en condiciones de saber si han sufrido una brecha de seguridad

Bajo estas las propuestas debe tenerse presente que la Directiva NIS afecta a los llamados “facilitadores de los servicios de la sociedad de la información”, los cuales tienen la obligación de informar de cualquier incumplimiento de seguridad que “afecte significativamente la continuidad de servicios críticos y el suministro de bienes” a una autoridad nacional, tanto si se hubieran comprometido los datos como si no.

Con independencia de ello, y retomando las reflexiones sobre la ciberdlincuencia, como escenario natural en que ha desplegar sus efectos dicha Directiva NIS, PricewaterhouseCoopers estima que los delitos informáticos de 2015 van a suponer un coste de 900 millones de euros. Por ello la ciberdelincuencia es hoy uno de los principales retos de dimensión global.

Según datos de la Plataforma de Seguridad de las Redes e Información de la Unión Europea (Network and Information Security, NIS) de mayo de 2015, el mercado de la ciberseguridad mundial crecerá entre 2014 y 2019, entre un 8 % y un 13,4 % al año. Según datos de la Plataforma de Seguridad de las Redes e Información de la Unión Europea (Network and Information Security, NIS) de mayo de 2015, el mercado de la ciberseguridad mundial crecerá entre 2014 y 2019, entre un 8 % y un 13,4 % al año. Este sector supone una gran oportunidad de crecimiento para la industria española y su internacionalización.

Estas políticas, no obstante, deben estar coodinadas en el marco de la UE. Por ello, deben asumirse en el desarrollo las mismas, idénticos principios a los que informan el marco de la estrategia de ciberseguridad europea, tal como pone de manifiesto Lydia Gonzalez, en las que existen una serie de prioridades, que son aplicables tanto al mundo digital, como al de carácter físico. Dichos principios o prioridades son las que se indican a continuación:

a). Para asegurar la resilencia  del ciberespacio la UE aboga por una legislación y mejora de la concienciación en materia de seguridad. En el ámbito de la legislación propone la creación de autoridades, a nivel nacional de cada estado miembro, de  Seguridad de las redes y de la información (sus siglas en inglés NIS). Las entidades a nivel UE ya han sido creadas y, tendrán un papel de coordinación sirviendo de puente entre las diferentes entidades a nivel nacional. Asimismo la UE estima necesario la regulación de la gestión de los sectores (energía, transporte, banca, bolsa y proveedores de servicios de Internet) desde la perspectiva de hacer una gestión apropiada del riesgo y de informar sobre incidentes de seguridad, que impacten en la continuidad de sus servicios esenciales y suministro de bienes.

b). Para alcanzar una reducción drástica del cibercrimen la UE aboga por endurecer la legislación, desarrollando leyes específicas para “tipos de cibercrimen”, junto con la creación de alianzas para su persecución. Por las características de los cibercrímenes se requiere disponer de conocimientos especializados y medios tecnológicos para su investigación. Desde la UE se percibe un desequilibrio de capacidades entre los países miembros. Para la eliminación de estas diferencias desde la UE se financiarán programas, dentro de los países miembros, para la identificación de fortalezas y carencias en las capacidades para la investigación de cibercrímenes.

c). Para el desarrollo una política en ciberdefensa y capacidades en materia de seguridad la UE patrocina la creación de sinergias entre la sociedad civil y las fuerzas militares para la protección de los activos críticos. Además se buscará llevar a cabo un esfuerzo complementario al llevado a cabo por la OTAN en este aspecto.

d). Para el desarrollo recursos industriales y tecnológicos para ciberseguridad se promoverá la creación de un mercado único para productos de seguridad. En 2014 se pondrá en marcha un programa para la investigación y desarrollo de tecnologías de seguridad, centrándose en las tecnologías emergentes (se nombra la informática forense y la nube). Además se incentivará el consumo de productos “seguros” dentro de la UE. Las medidas de incentivación serán el fomento de la gestión del riesgo, adopción de estándares y soluciones de seguridad. Otra medida de incentivación será la invitación a las compañías aseguradoras a armonizar métricas para el cálculo de primas de riesgos, con el objetivo de que las empresas que hayan invertido en seguridad se beneficien de primas de riesgos más bajas.

e). Para establecer una política de ciberespacio coherente a nivel internacional y promover los valores de la UE se continuará trabajando en la línea de la denominada Convención de Budapest, en la que se acordó la aplicación de las leyes internacionales al ciberespacio. En cuanto a la promoción de los valores de la UE se apoyará a terceros países en su deseo de dar acceso a las personas a Internet. Además se hará un seguimiento de aquellos productos que puedan ser utilizados para la vigilancia o censura de forma masiva.

En relación con nuestro país, según el Instituto de Estudios Estratégicos, la aprobación de la nueva Estrategia de Seguridad Nacional, y la Estrategia de Ciberseguridad Nacional han supuesto un avance en este ámbito.

Ahora bien, la aprobación de esta nueva Directiva NIS, implica la necesidad de adaptar el marco normativo y orgánico español en esta materia, siendo una magnífica ocasión para corregir algunas disposiciones que no se adaptar a este nuevo contexto normativo europeo. Así por ejemplo, es necesario designar una autoridad única de referencia y un CERT único de referencia, decisión que se ha pretendido orillar mediante la articulación de un sistema de rotación al frente de esta responsabilidad por parte de los distintos actores estatales con competencias en esta materia.

Esta configuración del liderazgo de la ciberseguridad en España, tiene que ser modificada a la luz de lo que dispone el texto de la  de Directiva aprobada por el Parlamento de la UE. De acuerdo con la estrategia de seguridad nacional  es importante recordar la necesidad de la implantación de una cultura de ciberseguridad sólida, ya que a través de ella se concienciará a los ciudadanos, profesionales y empresas de la importancia de la seguridad de la información y del uso responsable de las nuevas tecnologías y de los servicios de la sociedad del conocimiento, máxime si se tiene en cuenta que España está expuesta a los ciberataques, que no solo generan elevados costes económicos sino también, y lo que es más importante, la pérdida de confianza de los ciudadanos en unos sistemas que, en la actualidad, resultan críticos para el normal funcionamiento de la sociedad.

Ello es especialmente trascendente si se tiene en cuenta que en España, tal como afirma Mar López, cada día millones de ciudadanos utilizan las Tecnologías de la Información y las  comunicaciones en su actividad diaria: búsqueda y envío de información, compra y venta de bienes y servicios, formación, participación en redes sociales, banca electrónica, transacciones económicas…, actualmente más del 70 % de los hogares españoles dispone de acceso a Internet, manteniendo la tendencia ascendente.

De igual forma, las Administraciones Públicas dependen de estas tecnologías, tanto como base de su funcionamiento interno, como de los servicios que prestan a los ciudadanos ya que actualmente el 95% de los servicios públicos se encuentran operativos a través de Internet. Por su parte, las empresas mantienen un uso intensivo de las TIC como soporte de su negocio y como motor de crecimiento y creación de nuevas oportunidades. El 98,9% de las pymes y las grandes empresas y el 71,7% entre las microempresas utilizan las TIC en este sentido.

Los datos al respecto son escalofriantes, y en un futuro inmediato todavía lo serán más.

Hoy existen más de 2.800.000.000 de usuarios de Internet en todo el mundo, 566 millones en Europa, 35 millones en España. En 1 minuto en Internet se mandan más de 200 millones de mails y se hacen más de 4 millones de búsquedas en Google.

Estos datos demuestran que el Ciberespacio está redefiniendo profundamente las relaciones entre las empresas, los ciudadanos y los gobiernos, a la vez que éste crece, se amplifica nuestra total dependencia de él. Acorde con este rápido cambio tecnológico, se hace cada vez más necesario prever las consecuencias que la implantación de una tecnología puede tener ahora y en el futuro. El desarrollo tecnológico se puede orientar en múltiples direcciones, ya sean nuevas oportunidades, pero también nuevos retos y amenazas.

En este mismo sentido, para U-Tad, según una encuesta de PwC, frente el crecimiento de las amenazas, las empresas están invirtiendo más en seguridad, lo que se refleja en que el presupuesto para seguridad de la información haya crecido en media de un 24%. Entre las soluciones más elegidas, están la adopción de tecnologías innovadoras como los servicios de ciberseguridad basados en la nube, el Big Data Analytics y la autenticación avanzada, además de la tendencia a compartir con sus colaboradores externos información sobre detección de riesgos y técnicas de respuestas a amenazas.

También, internamente, las organizaciones están repensando los roles de los ejecutivos clave y el Consejo de Administración, apuntando un Chief Information Security Officer (CISO) o Chief Security Officer (CSO) en la dirección del programa de seguridad. Un 91% de las empresas ha implantado un marco de ciberseguridad, como la norma ISO/IEC 27001 o el Cibersecurity Framework del NIST.

Según datos de  MarketsandMarkets, se espera que el mercado global de la ciberseguridad crezca de 106 mil millones de dólares en 2015 hasta 170 mil millones de dólares en 2020, a una tasa compuesta anual del 9,8%. Según los cálculos de INCIBE, este mercado pudo generar en España 150 millones de euros en 2014. También los inversores tienen un enorme interés en este sector, como demuestra el hecho de que en los últimos 5 años se han invertido a nivel global 7,3 mil millones de dólares en más de 1000 startupsde ciberseguridad.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
    Opinión | CDL: El pleito de M&A más complejo y largo de la historia: La compra de Autonomy por Hewlett-Packard (IV)
  • Opinión | Decisiones importantes antes de dar el «sí, quiero»
    Opinión | Decisiones importantes antes de dar el «sí, quiero»
  • Opinión | ¿Sueñan los letrados con demandas electrónicas?: Inteligencia artificial y deontología
    Opinión | ¿Sueñan los letrados con demandas electrónicas?: Inteligencia artificial y deontología
  • Opinión | Del apretón de manos al laberinto legal: Cómo la confianza se transformó en hoja de encargo
    Opinión | Del apretón de manos al laberinto legal: Cómo la confianza se transformó en hoja de encargo
  • Opinión | «La Gran Exclusiva», la entrevista que sacudió los cimientos de la monarquía británica
    Opinión | «La Gran Exclusiva», la entrevista que sacudió los cimientos de la monarquía británica