Las primeras normas europeas de ciberseguridad para la gran industria
La semana pasada, Bruselas no sólo se pronunció en materia de Internet y comercio electrónico a la hora de proponer nuevas leyes, sino que también fijó la primera norma de rango europeo cuyo objetivo es reforzar la protección de las redes informáticas en que se apoyan sectores esenciales como sanidad, energía, distribución de agua, transporte o banca.
A partir de ahora, las autoridades nacionales de los países miembros de la UE deberán identificar a las grandes compañías de esos sectores como “operadores de servicios esenciales”. Las empresas que reciban esa etiqueta deberán elaborar planes estrictos y rigurosos de seguridad de sus redes virtuales y notificar a las autoridades nacionales cualquier incidente grave en su funcionamiento.
El otro aspecto a destacar de la noticia son las inversiones millonarias que requerirá la nueva ley, provenientes tanto del sector público como del privado. En el sector privado, solo el sector energético se encuentra al día en seguridad y no requerirá inversiones adicionales ni siquiera cuando entre en vigor la directiva. El resto tiene una factura millonaria por delante: 340 millones de euros para el sector de la banca, 200 millones para transportes y 130 millones para sanidad. Eso sin contar con los costes, también millonarios, que harían falta para mejorar la seguridad de las redes incluso antes de la aplicación de la directiva.
“Estos nuevos requisitos son especialmente importantes para las infraestructuras críticas como centrales de producción eléctrica, bancos y aeropuertos, que suelen ser objetivos frecuentes en los ciber ataques”, explican desde la empresa de seguridad informática Blue Coat. “La directiva sobre seguridad de las redes y de la información (SRI) junto con el Reglamento general de protección de datos (General Data Protection Regulation, GDPR), están pensados para fortalecer la seguridad global de las organizaciones europeas imponiendo un mínimo de información”.
Mientras la GDPR se centra en inicialmente en la protección y almacenamiento de los datos, la directiva SRI está pensada en concreto para hacer frente a los riesgos asociados a los incidentes con la seguridad de las redes y la información. Adicionalmente, la obligación de informar sobre las brechas en seguridad, debe contribuir a crear un acercamiento más transparente y colaborativo a las amenazas, lo que va a redundar en un beneficio para todos.
La nueva legislación como la SRI proveerá a las organizaciones con un mejor conocimiento de las competencias y funcionalidades necesarias para proteger sus redes. Esta información va a ayudar a las organizaciones a priorizar y escoger dentro de las numerosas soluciones tecnológicas actualmente disponibles, incluida el análisis forense de redes y el análisis y conocimiento de las amenazas globales, para que de forma proactiva puedan identificar los potenciales riesgos de seguridad y subsanarlos rápidamente.
“Este enfoque vertical de la normativa puede ser un instigador de cambios positivos sobre cómo las organizaciones operan e informan sobre las fallas de seguridad. Sin embargo, las empresas y proveedores de tecnología no deben creer que con el mero cumplimiento de la nueva reglamentación vaya a ser suficiente. La Directiva SRI debe ser entendida como un punto de partida para una actitud mucho más proactiva hacia la seguridad de las redes. Es la única forma de asegurarse que la Directiva logre alcanzar su objetivo de incrementar, en modo colectivo, la seguridad de las redes corporativas europeas”, concluyen desde Blue Coat.