Los países de la Unión Europea muestran diferencias claras en cuanto a su aproximación y preparación en ciberseguridad, según un informe elaborado por la BSA que evalúa las leyes, las normativas y las políticas nacionales en todos los 28 estados miembros de la UE en relación a 25 criterios estimados como esenciales para garantizar la protección efectiva en esta área. Como indica Thomas Boué, director de políticas de BSA EMEA: “Observamos un entorno desigual cuando hablamos de la protección informática en Europa. La mayoría de los estados miembros reconoce que la ciberseguridad es una prioridad, aunque las inconsistencias en sus enfoques dejan a todo el Mercado Único en una zona vulnerable a las amenazas”.
Según Boué, “la Directiva sobre Redes y Seguridad de la Información podría ayudar a establecer un nivel básico y más sólido en ciberseguridad y una mayor resistencia informática si se centra en armonizar la preparación de las infraestructuras más críticas de Europa y si introduce unos procesos comunes para la distribución y la elaboración de informes en todo el Mercado Único”.
Discrepancias considerables
Aunque el estudio afirma que la mayor parte de los estados miembros de la UE reconocen que la ciberseguridad es una prioridad nacional, sobre todo en lo que respecta a infraestructuras críticas, pone de manifiesto que existen “discrepancias considerables” entre las políticas, los marcos legales y las capacidades operativas sobre ciberseguridad en los estados miembros, “lo que crea unas diferencias notables en la protección general de la ciberseguridad en Europa”.
En particular resalta que hay una “preocupante falta de cooperación sistemática” en los sectores público y privado y de colaboración en temas relacionados con la ciberseguridad entre los gobiernos de la UE, organismos no gubernamentales y partners internacionales. Y, aunque casi todos los estados miembros de la UE han establecido equipos especializados para ocuparse de incidentes informáticos, los objetivos y experiencias de dichas entidades varían significativamente.
Situación en España
Respecto a España, la BSA recuerda que este país adoptó una Estrategia Nacional de Ciberseguridad en 2013 que es compatible tanto con el Plan Nacional de Seguridad como con las leyes de seguridad existentes, “de modo que la estrategia y el marco legal trabajan en conjunto”.
Por otro lado España tiene varios equipos de respuesta ante emergencias informáticas operativos para hacer frente a las incidencias de ciberseguridad y seguridad informática. Y para garantizar la coordinación entre los sectores público y privado. El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) funciona con grupos de trabajo sectoriales y está desarrollando planes de ciberseguridad específicos por sectores. Además, las asociaciones del sector privado son bastante activas y cuentan con dos amplios grupos dedicados específicamente a la seguridad informática y la ciberseguridad.
Algunos consejos
La BSA recomienda en su informe que los estados miembros de la UE se centren en cuatro áreas para lograr tener un sólido marco legal en ciberseguridad: el desarrollo y mantenimiento de un marco legal completo, basado en una estrategia de ciberseguridad a nivel nacional y complementada con planes de ciberseguridad específicos para cada sector; el establecimiento de entidades operativas con responsabilidades claras en seguridad informática, emergencias y respuesta a incidentes; impulsar la confianza y colaborar en alianza con el sector privado, ONG, partners y aliados internacionales; y promover la educación y la concienciación sobre riesgos y prioridades en ciberseguridad.
El informe también avisa a los gobiernos europeos que huyan de regímenes proteccionistas poco cooperadores que pueden debilitar las protecciones en ciberseguridad. Por tanto, “deberían evitar requisitos innecesarios o poco razonables que pueden limitar la elección e incrementar costes, incluyendo la necesidad de pruebas o certificaciones exclusivos y específicos para cada país; exigencias de contenidos locales; la obligación para dar a conocer información confidencial como, por ejemplo, código fuente o claves de encriptación y restricciones sobre posesión por parte de extranjeros de propiedad intelectual”.
Además recomienda “evitar la manipulación de estándares, en vez de ofrecer apoyo a estándares técnicos utilizados por la industria y reconocidos internacionalmente; evitar normativas para localización de datos y garantizar el tráfico gratuito de información en los mercados y las preferencias por tecnologías domésticas que pueden obstruir el acceso a competencia extranjera y dañar la innovación mundial”.
from TICbeat http://ift.tt/1BNJrvq
