Un desafío para los CERTS: Análisis de la Directiva europea sobre la seguridad de las redes y de la información

Un desafío para los CERTS: Análisis de la Directiva europea sobre la seguridad de las redes y de la información

16/01/2015, por María José Santos (INCIBE)

A pesar de las medidas adoptadas como la Comunicación sobre Seguridad de las redes y de la información (SRI): Propuesta para un enfoque político europeo en 2001, o la estrategia para una sociedad de la información segura en 2006, o la Resolución del Consejo de 2007 sobre SRI en 2007, y la Comunicación sobre protección de infraestructuras críticas de información (PICI) en 2010 existen todavía lagunas en la UE sobre todo en lo que se refiere a la coordinación y capacidades de los Estados Miembros para la detección y resolución de incidentes de seguridad. Por este motivo el 7 de febrero de 2013 junto con la Estrategia Europea de Ciberseguridad la Comisión Europea hace una propuesta de de Directiva para regular la seguridad de la redes y de la información (SRI).

El legislador europeo está creando herramientas para luchar contra el cibercrimen. La Agenda Digital de la UE considera que la confianza y la seguridad en internet es esencial y entre sus medidas para mejorar la ciberseguridad se incluye la creación de una red de CERTs nacionales, la creación de planes de coordinación nacionales e internacionales y la realización de simulacros de incidentes de seguridad para prevenir y preparar a los equipos ante las posibles amenazas.

La propuesta de directiva unifica varias políticas de seguridad y regula el papel de los equipos de respuesta a emergencias informáticas (CERTs).

Se establece la obligación de los Estados miembros de velar porque los CERT cuenten con suficientes recursos técnicos, financieros y humanos para llevar a cabo efectivamente las tareas que les correspondan en el ámbito nacional y en cuanto a la cooperación transfronteriza entre los CERT. Debiendo dotar a los mismos de infraestructuras de comunicación e información, seguras y resilientes, que deben ser compatibles e interoperables con el sistema seguro de intercambio de información común que se va a crear a nivel europeo.

La nueva norma establece incluso medidas de control indicando que los Estados miembros informarán a la Comisión de los recursos, el mandato y el procedimiento de gestión de incidentes de los CERT y estos estarán sujetos a la supervisión periódica sobre la adecuación de sus recursos, su mandato y la eficacia de su procedimiento de gestión de incidentes. Se debe marcar un procedimiento de calidad y garantizar un proceso continuo de mejora.

La regulación de comunicación de incidentes de seguridad va más allá de lo previsto en el Reglamento 611/2013 sobre medidas aplicables en la notificación exclusivamente de incidentes de datos personales.

Las tareas básicas del CERT son conforme a la propuesta de directiva:

  • Supervisar incidentes a escala nacional
  • Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes entre las partes interesadas.
  • Responder a incidentes.
  • Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.
  • Lograr una amplia concienciación del público sobre los riesgos vinculados a las actividades en línea.
  • Organizar campañas sobre SRI.

El CERT en su actuación necesita entablar relaciones de cooperación con el sector público y privado. La propuesta de directiva quiere obligar al menos a que las administraciones públicas y los operadores de infraestructuras críticas adopten medidas de seguridad, e informen a las autoridades de posibles violaciones de seguridad en sus redes y sistemas. Sin embargo, algunos países consideran que se debe de incluir a otros agentes como proveedores de servicios en la nube, redes sociales, buscadores y plataformas de comercio electrónico lo que está generando oposiciones por parte de estos agentes.

Otra cuestión a debate es la falta de una especificación mayor de los incidentes que justifican una alerta temprana y a la definición de las circunstancias que exigen la notificación de incidentes, por parte de los operadores del mercado y las administraciones públicas. Esta laguna puede crear una falta de seguridad jurídica.

Algunos organismos se han manifestado al respecto como por ejemplo el Comité Económico y Social Europeo en su informe de 19 de septiembre de 2013, que recoge  (se abre en nueva ventana) su satisfacción por la propuesta pero la considera insuficiente por carecer de definiciones claras y obligaciones categóricas lo que ofrece demasiada flexibilidad, o margen a los Estados miembros sobre cómo deben interpretar e incorporar ciertos elementos críticos. Sobretodo consideran la propuesta insuficiente en lo que respecta a la prestación y uso de los servicios en nube. Además este Comité propone la creación de una autoridad a nivel de la UE para la seguridad de las redes y de la información, y considera que puesto que se excluye de la aplicación de la Directiva a los desarrolladores de programas informáticos y los fabricantes de equipos, debería estipular que aquellas entidades a las que el propio acto impone obligaciones deberían poder recurrir contra los proveedores de programas informáticos y de equipos físicos en caso de que sus productos o servicios presentaran algún defecto que contribuyera directamente a incidentes de SRI.

Por otro lado, no debemos olvidar que en el año 2012 se creó el CERT-UE cuya misión es apoyar a las instituciones europeas para protegerse contra los ataques intencionales y maliciosos que dificultarían la integridad de sus activos de TI y perjudicar los intereses de la UE. El alcance de las actividades del CERT-UE abarca la prevención, detección, respuesta y recuperación. El CERT-UE ha creado un estándar para la notificación de incidentes disponible en http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_11_002_v2_1.pdf  (se abre en nueva ventana).

La coordinación europea en materia de respuesta a incidentes de ciberseguridad obliga a los Estados miembros a establecer mecanismos coordinados de prevención, detección, respuesta y atenuación que hagan posible el intercambio de información y la asistencia mutua entre las autoridades nacionales competentes en materia de SRI. El objetivo final es reforzar las herramientas de las que disponen los CERTs que han demostrado ser imprescindibles en la estrategia de ciberseguridad al prevenir, detectar y corregir brechas y amenazas de seguridad mediante alertas, resolución de incidentes y recomendaciones.

    1. Segurpricat: La Empresa

      www.segurpricat.com.es/

      Segurpricat Consulting Consultoria de Seguridad Internacional le asesoramos en el de su empresa: Consideramos como parte fundamental del servicio de …

      Contáctenos

      Si esta interesado en los Servicios que desarrolla Segurpricat …

      Ventajas de Segupricat …

      Ventajas de Segupricat Consulting – Segurpricat Las ventajas o …

      ¿Quiénes Somos?

      Segurpricat Consulting Quiénes somos. Segurpricat Consulting …

      Misión y Valores

      Misión y Valores – Segurpricat Misión En Segurpricat …

      Consulting Internacional

      Consulting Internacional – Segurpricat Consultoria de …

      Inteligencia Económica

      Inteligencia Económica – Segurpricat Segurpricat …

      Canal de Videos

      HomeLa EmpresaCanal de Videos … ha colaborado con la …

      Ventajas – Segurpricat

      Ventajas – Segurpricat Ventajas de Segupricat consulting Las …

1 comentario

  1. Un desafío para los CERTS: Análisis de la Directiva europea sobre la seguridad de las redes y de… La coordinación europea en materia de respuesta a incidentes de ciberseguridad obliga a los Estados miembros a establecer mecanismos coordinados de prevención, detección, respuesta y atenuación que hagan posible el intercambio de información y la asistencia mutua entre las autoridades nacionales competentes en materia de SRI. El objetivo final es reforzar las herramientas de las que disponen los CERTs que han demostrado ser imprescindibles en la estrategia de ciberseguridad al prevenir, detectar y corregir brechas y amenazas de seguridad mediante alertas, resolución de incidentes y recomendaciones.http://wp.me/p2n0XE-4de vía @juliansafety

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s