Europa obligaría a las empresas a informar en caso de ciberataque

c
enero 30, 2013

Los ciberataques son una realidad que preocupa, desde hace tiempo, a empresas y gobiernos de todo el mundo; entidades que han visto cómo los ataques de Anonymous o LulzSec han sido capaces de extraer información o dejar fuera de servicio sistemas como PlayStation Network de Sony o la página web de la mismísima. Normalmente, estos incidentes de seguridad se conocen algún tiempo después de que hayan sucedido y, salvo que impliquen la exposición de datos de muchos usuarios, hay empresas y gobiernos que tienden a mantener tapado el asunto hasta que lo solventan o, si es posible, no lo comunican nunca. Con la idea de conocer mejor qué pasa en el territorio de la Unión Europea, y responder mejor a las amenazas de seguridad, la Comisión Europea podría obligar a empresas y gobiernos a informar de cualquier tipo de ciberataque que detecten en sus instalaciones.

Comision Europea Burselas

Siguiendo esa máxima que la “unión hace la fuerza”, la Unión Europea trabaja de manera conjunta con los Estados miembros en una estrategia de seguridad común que, por ejemplo, les ha llevado a realizar cibermaniobras conjuntas en los que testar los mecanismos de comunicación, detección, respuesta y colaboración entre entidades y, claro está, si las empresas no comunican qué les está pasando es complicado evaluar riesgos o si, por ejemplo, nos encontramos ante un ataque a gran escala contra el sector bancario.

La idea, en el fondo, no es nueva y sigue la senda que ha abierto el gobierno de Alemania que busca, precisamente, establecer un marco legal que obligue a las empresas a comunicar este tipo de incidentes en vez resolverlos por su cuenta o comunicarlos varios meses después (y aquí también los gobiernos suelen caer en la misma práctica). De todas formas, la Comisión Europea parece que avanzará lentamente en esta materia puesto que, por ahora, se han centrado en regular (mediante un borrador de Directiva) que se centra en los operadores y los ISPs. Al igual que ocurre en Alemania (que también trabaja en este sentido), los operadores forman una pieza clave en esta cadena de valor y, por tanto, se estima que deben poner de su parte en el aseguramiento de sus redes garantizando el secreto de las comunicaciones y, lo más importante, la disponibilidad de los servicios.

La Comisión Europea planea tener trazada la estrategia común de ciberseguridad antes de finalizar el año, o al menos eso es lo que ha comentado Neelie Kroes, la Comisaria para la Agenda Digital Europea, a un diario alemán, que también pretende trazar una estrategia europea en la adopción del cloud computing que se apoye en la seguridad (para dar confianza a los usuarios) y permita a las administraciones públicas aprovechar sus ventajas en esta época de recortes presupuestarios.

Son muchas las empresas y administraciones públicas que manejan datos personales de sus usuarios (datos bancarios, direcciones, teléfonos, historiales médicos, etc), por tanto, ante un incidente de seguridad el afectado, es decir, el usuario debería poder enterarse de lo que ha pasado en tiempo y en formas y, además, la comunicación a las autoridades podría dar pie a que éstas actuasen de oficio ante las malas prácticas de las empresas encargadas de custodiar los datos.

alt1040.com

Comparte en las redes sociales: