SIS on line - Servicio de Información de SeguridadGrupo Estudios Técnicos OnLine

ii iii iiii iiiii

Portada

Contacto Búsqueda Productos Empresas Anúnciese Libros Formación

SÁB 19 AGO 2017

Bienvenido a SISONLINE.COM, el portal de los Profesionales, Empresas, productos y servicios de seguridad

Directorio
Empresas
Productos
Servicios


Búsqueda
avanzada

Seguridad en:

Hoteles
Hospitales
Industrias
Banca
C.Comerciales
Org.Oficiales
Museos
Cen.de Datos
Portal
Convocatorias
Novedades
Noticias
Formación
Libros
Asociaciones
Concursos
Legislación
Latinoamérica
Empleo
Enlaces

Boletín
gratuito, todas las novedades de la web
Infoseguridad


¿No encuentra
su empresa en
el directorio?
PINCHE AQUI

Encabezado de servicios

BANNER PRINCIPAL

MANUAL PARA EL DIRECTOR DE SEGURIDAD

Actualidad - Temas

Buscar:

Página nueva 1

SISONLINE.COM News Web Server: Más sobre Ciberseguridad

Más en España

23 de Abril de 2013

Ciberseguridad en la Unión Europea; Directiva de seguridad de las redes y de la información (SRI)
Fernando Davara Rodríguez

En un post reciente trataba sobre la estrategia de ciberseguridad de la Unión Europea, publicada en la comunicación titulada “Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace”, comentando que dejaría para más adelante mis consideraciones respecto al proyecto de directiva europea que se presentó como complemento a dicha estrategia. Cumpliendo mi promesa dedico este post a reflexionar sobre el mencionado proyecto, la denominada Directiva SRI (seguridad de las redes y de la información).
Cuando el pasado 7 de febrero de 2013 la Sra. Ashton, Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, presentó la estrategia de ciberseguridad de la UE lo hizo acompañada de un paquete de medidas complementarias que incluía una propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI). En ella sobresalen tres elementos principales; el primero de ellos se refiere a la necesidad de reforzar las capacidades nacionales en materia de ciberseguridad, para lo cual se establece la exigencia a todos los Estados miembros de designar una autoridad nacional de ciberseguridad, adoptar su propia estrategia de SRI y disponer de una estructura operativa y financiera adecuada para la prevención, gestión y respuesta a riesgos e incidentes que afecten a las redes y a los sistemas de información.
Un segundo aspecto concierne al refuerzo de la coordinación europea en materia de respuesta a incidentes de ciberseguridad; para ello se deberá instaurar un mecanismo de cooperación entre los Estados miembros y la Comisión que garantice la aplicación uniforme de las medidas señaladas en la Directiva y, en su caso, difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura, así como cooperar y organizar revisiones periódicas con los mecanismos equivalentes de los Estados.
Finalmente el tercer elemento principal trata de las obligaciones que alcanzan a diversos sectores, como los operadores de infraestructuras críticas y las administraciones públicas, quienes deberán adoptar prácticas de gestión de riesgos y notificar a la autoridad nacional de cibereguridad los incidentes significativos que se produzcan en relación con los servicios básicos que prestan.
Desde el momento de su presentación la propuesta de Directiva ha suscitado todo tipo de reacciones, favorables y adversas. Por un lado se encuentran aquellos que consideran que por fin se decide llenar un vacío en una materia de la mayor importancia , mientras que por otro están quienes, aun apoyando la iniciativa, consideran que invade determinados aspectos, principalmente jurídicos, que la hacen de difícil aplicación.
Uno de los principales temas abiertos al debate se refiere a la obligación de notificar los incidentes de seguridad. En este asunto, que si bien parece lógico, no es práctica habitual actualmente, muchos de los opositores a la medida coinciden en señalar que, aun estando de acuerdo en la necesidad de informar, no lo están en que sea un mandato europeo, por entender que la seguridad es de responsabilidad nacional y tal medida equivale a una intervención comunitaria, la cual, además de ser de difícil aplicación práctica, sería un foco de potenciales problemas en múltiples sectores, como por ejemplo en el caso de algunas tareas propias de los servicios de inteligencia nacionales.
En este mismo contexto también señalan los detractores que el mandato obliga al sector privado y a las administraciones nacionales de forma unidireccional, lo cual les privaría del acceso a los conocimientos que aportaría el intercambio de información si fuera multidireccional, impidiéndoles por ejemplo conocer algunas de las nuevas amenazas para mejorar la propia gestión de riesgos.
En lo que respecta a aspectos legales según los expertos la directiva presenta algunas lagunas importantes entre ellas no considerar la implementación de instrumentos jurídicos comunitarios que amparen estas obligaciones. Asimismo se destaca una cuestión derivada de la propia naturaleza de Internet y también de la famosa Nube: ¿cómo será posible que una autoridad nacional pueda aplicar ciertas reglas a empresas que tengan localizados datos, servidores, etc., fuera de territorio europeo pero ofrezcan sus servicios en este? Tal problema y otros similares tienen solución pero no es fácil de implementar y menos por medio de una directiva europea.
Otro elemento de debate se refiere a la obligación de instaurar una autoridad y estructura nacional en dominio de la ciberseguridad; algunos países como Francia, Alemania o el Reino Unido disponen de organismos apropiados pero otros, por ejemplo España, presentan competencias repartidas entre diferentes Ministerios y será complicado conseguir consensos respecto a una autoridad superior.
Un aspecto mas a destacar es el referente a los plazos de implantación de la directiva. A las reticencias de algunos sectores, que causarán retrasos, habrá que añadir un largo proceso de debate en diferentes organismos nacionales y comunitarios, incluidos los Parlamentos. Posteriormente, cuando se adopte la Directiva los Estado Miembros dispondrán de otros plazos superiores al año para integrar las medidas en sus sistemas jurídicos, particularmente las sanciones a aplicar. Todo ello significa que las estimaciones de aplicación de la Directiva llevarán más allá del horizonte 2016/2017.
Finalmente expondré una opinión personal: una vez más se abarca el problema de forma parcial, incidiendo en la ciberseguridad y olvidando la ciberdefensa. En el proyecto de directiva SRI no existe una sola referencia a la Política de Defensa y Seguridad Común (PDSC) ni a a la ciberdefensa, mientras que en la Estrategia de ciberseguridad si bien se menciona a ambas se hace de forma muy superficial, insistiendo en la necesidad de mejorar sinergias entre los enfoques civiles y militares e invitando a los Estados Miembros y a la Agencia Europea de Defensa (EDA) a colaborar en el desarrollo de un marco de política de ciberdefensa. Es decir una adecuada declaración de intenciones y principios sin ninguna indicación sobre la forma de ponerlos en práctica, en contraste con el amplio despegue de medidas respecto a la ciberseguridad.
Felicitémonos pues por la presentación de la Directiva (o proyecto de ella) que servirá para mejorar la estrategia comunitaria en este dominio implicando a todos los sectores, incluyendo de forma clara a los operadores de infraestructuras críticas, con el objetivo de conseguir y mantener un entorno digital seguro y fiable en la Unión. Pero existen dudas sobre la viabilidad de su implantación como doctrina única para la seguridad europea en el ciberespacio. Habrá que seguir trabajando para lograr alcanzar otros objetivos comunes, mejorar lo conseguido y abarcar a todos los sectores, incluida la ciberdefensa.

Fuente: FERNANDODAVARA.COM

Más información:

SISONLINE.COM le ofrece un servicio gratuito de contacto para ampliar la información a través de Internet sobre sus PRODUCTOS, TECNOLOGIAS y SERVICIOS.

Solicitud:

Indique sus datos de contacto:

Nombre y Apellidos *
Empresa *
Actividad de la empresa *
Cargo *
Provincia *
País *
Teléfono *
Correo Electrónico *
Si no tiene, indique un número de móvil y/o un fax

He leído y estoy de acuerdo con la política sobre Protección de Datos Personales de este servicio web.

-En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, le informamos que los Datos que nos facilite mediante la cumplimentación del presente formulario pasarán a formar parte de un fichero propiedad de GE GRUPO ESTUDIOS TECNICOS SL con el fin de ofrecerle información sobre el sector y mercado de la Seguridad. No existe venta, comunicación ni cesión de sus datos a ninguna entidad u organización. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la dirección get@getseguridad.com..

Borde inferior compartido