España avanza sobre la protección de las infraestructuras críticas.
Con el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, el Gobierno amplió la cobertura de la Directiva NIS (directiva Nacional de Seguridad de las Redes y Sistemas de Información) a todos los sectores esenciales y críticos en nuestro Estado. Fruto de la Directiva NIS, se ha creado un grupo de cooperación permanente del cual emanan varios grupos de trabajo que se centran en los diferentes sectores esenciales, incluyendo las infraestructuras digitales y también los proveedores de servicios digitales, además de la creación de la CSIRT Network, en la que participan INCIBE-CERT y el CCN-CERT.
En 2019 y 2020, se revisó la Estrategia Nacional de Ciberseguridad, y se revisó la Agenda Digital para España. Otras legislaciones, como la relativa a la Protección de Datos o las distintas revisiones del Código Penal en lo relativo al ciberdelito, han ido fortaleciendo el esquema normativo y estratégico. Adicionalmente, en 2019 se trabajó en la ciberseguridad del despliegue del 5G en Europa, colaborando todos los Estados miembros en el desarrollo conjunto de un toolkit de ciberseguridad.
También en 2019, y ya en 2020, se ha trabajado en el diseño y generación del Centro de Competencias en Ciberseguridad Europeo, que se ubicará en Bucarest (Rumanía). Para dicho centro, cada Estado miembro tendrá su espejo, siendo en este caso el INCIBE el elegido en España.
Durante el 2020, ha visto la luz el Foro Nacional de Ciberseguridad, que emana de la revisión de la Estrategia Nacional de Ciberseguridad, como un elemento más de coordinación e integración de las diferentes políticas públicas y privadas en ciberseguridad a nivel nacional.
Desde la puesta en marcha de los servicios de respuesta a incidentes a través del INCIBE-CERT, en coordinación con el CNPIC y la OCC, en España, se han realizado siete ediciones de ciberejercicios CyberEx España, con 30 operadores de infraestructuras críticas en cada edición; se han llevado a cabo cuatro mediciones de la ciberresiliencia en estos operadores, todas con buenos resultados; y se han realizado más de 100.000 notificaciones preventivas de posibles recursos comprometidos en sus diferentes activos, entre otros servicios que se prestan hacia estas entidades.
Todo ello muestra al menos dos aspectos muy relevantes a tener en cuenta: el compromiso de nuestras empresas en el ámbito de la protección cibernética de las infraestructuras y redes que se utilizan para la provisión de servicios esenciales y, por otro lado, que como en el resto del mundo estas infraestructuras y redes son objeto de ciberataques y ciberamenazas. Además, el sector industrial español focalizado en la ciberseguridad ha ido acompañando a estas compañías no solo en la detección y respuesta ante incidentes, sino en el crecimiento de sus capacidades de defensa y resiliencia en ciberseguridad.
España es el primer país en tener una Guía Nacional de Notificación y Gestión de Incidentes (elaborada conjuntamente por el Departamento de Seguridad Nacional, el CNPIC, el CCN, INCIBE y el Mando Conjunto del CiberEspacio), cuyos apartados más importantes se han incluido en la instrumentación técnica del Real Decreto-Ley 12/2018.
Todos estos avances son importantes, aunque no hay olvidar la responsabilidad compartida de la sociedad, la cual tiene que participar activamente en la seguridad de la red. Tanto las instituciones, como los ciudadanos y las empresas tienen que abogar por la seguridad de los servicios; con la seguridad y la concienciación es mucho más difícil que el ciberdelito haga mella en nuestra confianza; seamos más ciberresilientes y sigamos caminando con garantías hacia un nuevo horizonte en este proceso de evolución constante.
Redacción ASECOPS: María Cruz Míguez López
Leer másLlega la ley de Ciberseguridad 5G
El Gobierno presenta a audiencia pública el anteproyecto de ley de Ciberseguridad 5G, donde se establece los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G (abierto el periodo de audiencia pública del Anteproyecto de Ley de Ciberseguridad 5G, la norma legal que establecerá los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G.)
El objetivo de esta Ley es generar una confianza necesaria en su funcionamiento y, sobre todo, la protección frente a manipulaciones de datos o comunicaciones por agentes externos, ya que la complejidad técnica de los sistemas 5G hace que las legislaciones ya existentes no abarquen los riesgos que trae consigo. En este anteproyecto se establecen las obligaciones de los operados móviles, el Gobierno, los operadores y suministradores.
El anteproyecto realiza la traslación al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (tool box) consensuada entre los Estados Miembros de la Unión Europea. La caja de herramientas identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.
Respecto a los operadores móviles, se pueden destacar que tendrán la obligación de efectuar análisis de riesgos 5G cada dos años.; examinar las prácticas de seguridad de sus suministradores teniendo en cuenta los factores de riesgos 5G; adoptar medidas técnicas y de organización para la gestión de riesgos existentes; elaborar una estrategia de diversificación de suministradores para limitar la dependencia de la red en un solo administrador; así como comunicar el resultado de análisis de riesgo al Ministerio de Asuntos Económicos y Transformación Digital.
Por su parte, el Gobierno tendrá como principal obligación la elaboración del llamado esquema de seguridad 5G y un análisis nacional de riesgos de dicha tecnología. Tendrá que elaborar una lista de proveedores de alto, medio y bajo riesgo para que puedan trabajar en determinadas infraestructuras críticas de la red. Dicha lista será la base para decidir que compañías son vetadas, por ello, será un documento vivo que se irá actualizando.
En cuanto a las obligaciones de los operadores y suministradores destacan: el mantenimiento de las credenciales de usuario para el acceso a la red en posesión del operador; las restricciones o prohibiciones para utilizar equipos, programas o servicios de suministradores con cierto riesgo, pudiendo establecer cuotas de utilización, y la obligación de utilizar únicamente productos, servicios o sistemas certificados para operar con 5G. Esta certificación de productos, tendrán que someterse a una auditoría de control y de seguridad; así como una auditoría u obtención de una certificación europea de seguridad (la cual ya está siendo estudiada por ENISA) que permita la actuación en España de suministradores extranjeros.
El 5G es uno de los pilares fundamentales para Unión Europea y para la recuperación económica de España y sus empresas. Prueba de ello, es la presencia de la Estrategia de Impulso del 5G en los Presupuestos Generales del Estado y agenda España Digital 2025.
Por ello, la Comisión Europea ha encomendado a la Agencia de la Unión Europea para la Ciberseguridad, ENISA, que prepare un esquema de certificación de la ciberseguridad de la UE para las redes 5G. Este protocolo ayudará a abordar los riesgos relacionados con las vulnerabilidades técnicas de las redes y mejorar aún más su ciberseguridad. Será además una guía para que los Estados miembros elaboren sus protocolos.
Este marco europeo de certificación de ciberseguridad ofrecerá sistemas de certificación reconocidos en todos los Estados miembros, lo que facilitará a las empresas el comercio transfronterizo y a los usuarios la comprensión de las características de seguridad del producto o servicio.
Imagen: lamoncloa.gob.es
Redacción ASECOPS: María Cruz Míguez López
Leer más
España es el 5º país de la Unión Europea con más sanciones por incumplimiento del RGPD
Fuente: Red Seguridad.-
Las multas en España por la vulneración de Protección de Datos ascendieron a casi 14,5 millones de euros entre el 25 de mayo de 2018 y enero de 2021
La firma de abogados DLA Piper ha elaborado un informe, con datos de los 27 Estados miembros de la Unión Europea más el Reino Unido, Noruega, Islandia y Liechtenstein., donde muestran que España ocupa el quinto lugar de Europa en sanciones por incumplimiento del Reglamento General de Protección de Datos (RGPD).
El total de las multas entre todos esos países asciende a 272,5 millones de euros. A la cabeza se sitúa Italia, cuyas autoridades establecieron multas por un valor superior a 69,3 millones de euros. Le siguen Alemania, con poco más de 69 millones de euros, y Francia, con 54,4 millones, siempre según los datos del bufete de abogados.
El informe también recoge datos sobre notificaciones por brechas de seguridad relacionadas con el RGPD, donde se muestra que el primer país es Alemania (77.747), seguido de Países Bajos (66.527) y Reino Unido (30.536), los cuales ocupan el ranking de los países con más filtraciones de datos. Mientras, Francia e Italia tiene 5.389 y 3.460 notificaciones de violación de datos para el mismo período. La compañía no ofrece datos en abierto de España al respecto.
Estas cifras suponen un incremento respecto a las notificaciones durante el año pasado. La tasa diaria de comunicaciones en este sentido ha aumentado en dos dígitos por segundo año consecutivo, con 331 notificaciones por día desde el 28 de enero de 2020. Esto supone un aumento del 19 por ciento en comparación con las 278 notificaciones de incumplimiento por día del año anterior.
Por todo ello, los reguladores europeos tienen voluntad de hacer cumplir la norma. Y por ello, han adoptado algunas interpretaciones extremadamente estrictas del RGPD que preparan el escenario para acaloradas batallas legales en los próximos años.
Se cree que partir del 2022, se producirán las primeras acciones de cumplimiento relacionadas con las restricciones de RGPD sobre transferencias de datos personales a Estados Unidos y otros terceros países. Ya que se ha detectado que, a causa de la pandemia se ha mostrado un grado de indulgencia debido a las dificultades financieras.
Redacción ASECOPS: María Cruz Míguez López
Leer más