Hace unos días el Gobierno aprobó la adaptación de la Directiva europea de Ciberseguridad a nuestro país.

¿Esto qué significa?

¿Sabes cómo afecta esta normativa a tu empresa?

¿Conoces las principales medidas de seguridad informática?

Tranquilo, sé que es complicado.

En este post tienes toda la información necesaria para garantizar el cumplimiento de esta normativa de Ciberseguridad en tu empresa.

Normativa de Ciberseguridad

Internet y la aparición de nuevas tecnologías ha originado la aparición de nuevas modalidades de delitos e infracciones a las normas que ni siquiera estaban previstas.

Por tanto, es necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibernéticos en la medida de lo posible. Y que se establezcan nuevas normas y protocolos que regulan las situaciones nuevas, no previstas hasta ahora en el mundo físico.

Lo primero que debemos tener en cuenta es cómo se regula el tema de la ciberseguridad.

Europa

Dentro de la UE, las normas que regulan la ciberseguridad son:

  • Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información de la Unión.
  • Reglamento Europeo de Protección de Datos 2016/679 (RGPD). Establece la implantación de nuevas medidas de seguridad para las empresas europeas, los autónomos y la Administración pública.

España

En nuestro país existe un Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, que cita las principales normas a tener en cuenta con relación a la protección del ciberespacio.

Este código hace referencia a las siguientes leyes

Normativas de seguridad nacional

  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave así como las funciones que deberán desempeñar para la defensa de la Seguridad Nacional.
  • Orden TIN/3016/2011, de 28 de Octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.

Normativas de seguridad

  • Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
  • Ley 5/2014, de 4 de abril, de Seguridad Privada.

Referidas a las telecomunicaciones

  • Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico.
  • Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico no permitido o irregular con fines fraudulentos en comunicaciones electrónicas.
  • Ley 50/2003, de 19 de diciembre, de firma electrónica.
  • La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
  • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Sobre la ciberdelincuencia

  • Código Penal,
  • Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores;
  • Real Decreto de aprobación de la Ley de Enjuiciamiento Criminal.

Normativa de protección de datos

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
  • Reglamento, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Esto mientra no se apruebe la nueva Ley de Protección de Datos.

Ley sobre la seguridad de las redes y sistemas de información

El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información tiene por objeto:

  • regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y
  • establecer un sistema de notificación de incidentes.

Para ello, se adapta al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo conocida como “Directiva europea sobre ciberseguridad”.

Este Real Decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.

EEUU

EE.UU es el país donde se encuentran las grandes empresas de datos en el mundo. Por eso es importante conocer cómo se regula la ciberseguridad.

La Administración Americana ha aprobado una Directiva de Política Nacional para la coordinación de incidentes cibernéticos, así como una metodología de evaluación de la severidad de los mismos.

El objetivo es que las Agencias gubernamentales y el sector privado puedan comunicarse con eficacia y proporcionar un nivel adecuado y coherente de respuesta. Las nuevas medidas ayudarán a calificar los incidentes de ciberseguridad según su severidad.

Además establece la manera de coordinar la respuesta a estos incidentes a diferentes niveles:

  • estratégico,
  • operacional y
  • técnico.

Rusia

Rusia es otro de los países con gran influencia en el ciberespacio. Tienen varias decisiones nacionales sobre la regulación y el control de la ciberseguridad.

Hace poco también se mostró dispuesta a firmar un acuerdo sobre ciberseguridad con EE.UU.

¿Qué es la Ciberseguridad?

Antes de continuar con el post es importante definir el concepto de ciberseguridad.

Primero la definición técnica.

Es la actividad, procedimiento o capacidad por el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso no autorizado, modificación o explotación.

Te has quedado igual ¿no?

Coloquialmente la podemos definir como las medidas destinadas a proteger a los usuarios y empresas que operan en Internet.

Mejor, ¿a que sí?

Dentro de estas medidas están la obligación de establecer un cifrado de la información y los sistemas de doble factor de autenticación incluso sobre datos considerados de nivel básico, cuando el riesgo lo exija.

Ya lo dice el refrán.

Cuando el PC de tu vecino veas infectar, pon tu Antivirus a actualizar.

Riesgos para las empresas

Los ataques informáticos ocasionan importantes pérdidas económicas y reputacionales a las empresas:

  • espionaje industrial,
  • robo de propiedad intelectual y
  • pérdida de información.

Y las exponen a severas sanciones económicas.

Por ello, enfocan su gestión de riesgo a hacia la prevención y hacia la resiliencia, asegurando las plataformas TIC y los procesos de producción, y hacia la detección de vulnerabilidades.

¿Y cómo se hace esto?

  1. incluyendo la seguridad en el diseño de sus procesos,
  2. estableciendo planes de contingencia,
  3. implantando certificaciones o
  4. sensibilizando a sus empleados.
  5. supervisando el uso de la información,
  6. evitando filtraciones de información o
  7. bloqueando con rapidez y efectividad ciberataques.

¿A quién afecta la normativa de ciberseguridad?

Esta Directiva europea se aplicará a los “operadores de servicios esenciales”.

El problema está en determinar quiénes son esos operadores de servicios esenciales.

Para ver qué entidades se encuentran dentro de esta clasificación, se tienen en cuenta varios criterios.

  • Si son servicios fundamentales para la sociedad y la economía
  • Si dependen o no de otro sistema de redes
  • Efectos perjudiciales que tendría una incidencia sobre la prestación de esos servicios o la seguridad pública.

Por tanto, con carácter general, se incluyen las siguientes empresas:

  • Energía
    • Gas: suministradores, red de distribución, transporte o almacenamiento, compañías de gas natural, etc.
    • Electricidad: empresas eléctricas, red de distribución y transporte.
    • Petróleo: operadores de oleoductos y de producción, refinado, almacenamiento y transporte.
  • Transporte
    • Aéreo: compañías aéreas
    • Ferrocarril: empresas ferroviarias
    • Marítimo y fluvial: empresas de transporte de pasajeros o mercancías
  • Banca
  • Sector sanitario
  • Suministro y distribución de agua potable
  • Infraestructura digital
  • Servicios digitales: tiendas online o nubes de almacenamiento de datos

Empresas excluidas

Se excluyen de la aplicación de esta normativa:

  • Empresas de suministro de redes públicas de comunicaciones
  • Empresas de servicios de comunicaciones electrónicas disponibles al público
  • Prestadores de servicios de confianza
  • Sectores regulados por leyes específicas que establezcan similares requisitos de seguridad

Obligaciones

Las principales obligaciones que esta normativa establece para las empresas son:

  1. Mejorar sus sistemas de seguridad contra intrusiones y
  2. Comunicar a las autoridades competentes las violaciones de seguridad que sufran.

Vamos al lío!

Mejora de los sistemas de seguridad

Constantemente conocemos nuevas informaciones sobre ataques informáticos, intrusiones realizadas en sistemas y redes, y robo de información que afectan a compañías nacionales e internacionales de todos los tamaños y sectores.

Estos incidentes de seguridad suponen una amenaza directa no solamente a la continuidad de tu empresa, sino también al valor reputacional de la misma.

Proyectan en tus clientes la sensación de que, si eres negligente en cuanto al cuidado y custodia de tu propia información y procesos, también podrás serlo en cuanto al desarrollo y entrega del servicio o producto que ofreces.

Por eso más vale prevenir que curar.

Las técnicas para mejorar los sistemas de seguridad informática se basan en:

  • Prevención: adoptar las medidas necesarias para prevenir ataques informáticos.
  • Detección: si se produce una intrusión, debes detectar el momento en el que se produce y tomar las medidas necesarias para minimizar los daños.
  • Restauración: debes restaurar el sistema dañado con las copias de seguridad realizadas anteriormente.
  • Análisis forense: con él puedes ver las acciones que el atacante ha realizado en tu sistema.

Notificar los incidentes de seguridad

Las Administraciones públicas o empresas del sector público están obligadas a notificar al Centro Criptológico Nacional (CCN) aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y los servicios que prestan en relación con la categoría del sistema.

En el sector privado, esta obligación se regula en el Reglamento europeo de Protección de Datos. Se deben notificar las violaciones de seguridad tanto a los afectados como a la AEPD en un plazo de 72 horas.

Tienes más información sobre el tema el este post que redacté hace unos meses.

Autoridad competente

En el Real Decreto de adaptación de esa Directiva europea de Ciberseguridad se regulan los organismos competentes en la materia:

  • Para los operadores de servicios esenciales: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
  • En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
  • Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
  • Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley de Régimen Jurídico del Sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.

INCIBE

El Instituto Nacional de Ciberseguridad (INCIBE) es un organismo dependiente del Ministerio de Economía y Empresa de España a través de la Secretaría de Estado para el Avance Digital.

Es obligado hablar de este organismo si hablamos de ciberseguridad.

Actualmente lo forman un equipo de más de 100 profesionales y se financia por el Estado, trabaja para mejorar la ciberseguridad de ciudadanos y empresas.

De él dependen:

Sanciones

Las infracciones en materia de ciberseguridad se clasifican en leves, graves y muy graves.

Las sanciones que se prevéen son:

  • Por la comisión de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.
  • En caso de infracciones graves, multa de 100.001 hasta 500.000 euros.
  • Por la comisión de infracciones leves, amonestación o multa hasta 100.000 euros.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en:

  • Boletín Oficial del Estado y
  • página web de la autoridad competente, en atención a los hechos.

También se establecen unos criterios de graduación de esas sanciones:

  • Grado de culpabilidad o la existencia de intencionalidad.
  • Continuidad o persistencia en la conducta infractora.
  • Naturaleza y cuantía de los perjuicios causados.
  • Reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza.
  • Número de usuarios afectados.
  • Volumen de facturación del responsable.
  • Utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  • Acciones realizadas por el responsable para paliar las consecuencias de la infracción.

Relación con la ley de Protección de Datos

La Ciberseguridad y la protección de datos se encuentran íntimamente relacionadas. Y más en un mundo totalmente digitalizado como el actual.

De hecho, para proteger los datos personales que manejamos debemos implantar unas adecuadas medidas de seguridad informática.

Con la entrada en vigor del Reglamento europeo de Protección de Datos (RGPD) queda patente la relación existente entre ambas.

En relación con los incidentes de seguridad, cada organización deberá comunicar la brecha de seguridad a la autoridad de protección de datos y en casos graves a los afectados tan pronto sean conocidas en un plazo máximo de 72 horas.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

En este sentido, la organización deberá:

  • detectar,
  • registrar,
  • decidir si procede comunicar el incidente a la autoridad de protección de datos, y
  • facilitar la información sobre el mismo ante la solicitud de la autoridad.

Para ello necesita contar con sistemas de detección, investigación, actuación y reporte internos confiables y ágiles.

Además, tendrán la obligación de comunicar las brechas de seguridad a los afectados en los casos graves tan pronto como sean conocidas.

El Reglamento faculta al responsable del tratamiento de datos personales para adoptar aquellas medidas que garanticen la seguridad de la red y de la información al hacer frente a acontecimientos accidentales, acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales y la seguridad de los servicios ofrecidos.

Estas medidas se prestan a través de los sistemas y redes por parte de:

  • autoridades,
  • equipos de respuesta a emergencias informáticas (CERT),
  • equipos de respuesta a incidentes de seguridad informática (CSIRT),
  • proveedores de redes y servicios de comunicaciones electrónicas o
  • proveedores de tecnologías y servicios de seguridad.

Tendencias de la ciberseguridad en el futuro

Los avances tecnológicos han mejorado de muchas formas la vida de las personas. En la actualidad es casi impensable que alguien no tenga un ordenador o teléfono inteligente, lo que ha creado una nueva debilidad para la seguridad de la sociedad: los delincuentes cibernéticos.

Dentro de las nuevas tendencias, que afectan especialmente a la ciberseguridad, cabe destacar:

  • Big Data.
  • Cloud Computing.
  • Internet de las Cosas (IoT).
  • Smart Cities (Ciudades inteligentes).
  • Smart Grids (Redes eléctricas inteligentes).
  • Industria 4.0 (Industria inteligente).
  • Redes sociales.
  • Tecnologías cognitivas (aprendizaje automático, robótica o reconocimiento de voz).
  • Wifi óptico (comunicación a través de impulsos de luz visible).
  • Sistemas ciber-físicos (sensores, drones o realidad aumentada).
  • Tecnología móvil.
  • Redes 5G.
  • Nuevos modelos de pago (servicios de pago online como Paypal, las tarjetas contactless o las aplicaciones móviles).

Diferentes sectores

La clasificación de tendencias se asienta en torno a los siguientes seis sectores o ámbitos de actividad:

  • Industria y Medio ambiente
  • Movilidad
  • Servicios
  • Ciudadanía
  • Administración pública
  • TIC

Sector Industrial y Medio Ambiente

En este ámbito las necesidades de ciberseguridad se dirigen hacia la protección y seguridad de los diferentes dispositivos y redes que forman las Smart Grids, Infraestructuras Críticas, Industria 4.0 y demás servicios que puedan incluirse dentro del sector industrial y, fundamentalmente, energético.

Movilidad

Principalmente enfocado en el transporte y las comunicaciones, y cuyos objetivos de ciberseguridad se basan en la protección de medios de transporte aéreo o terrestre, tales como los vehículos autónomos o conectados, o dispositivos móviles que requieran de comunicación por satélite.

Servicios

Aquí se incluyen las empresas financieras y de seguros, cuya finalidad en ciberseguridad se basa principalmente en la defensa y protección contra incidentes derivados de la digitalización de sus servicios, tales como la banca online o los servicios y aplicaciones Fintech.

Ciudadanía

Incluye los servicios públicos básicos de sanidad y educación.  Aquí surgen importantes necesidades en ciberseguridad,

  • orientadas hacia la protección de dispositivos médicos interconectados, patentes o información sensible de pacientes utilizadas en el ámbito sanitario y farmacéutico y
  • necesidad de formación y capacitación profesional especializada en ciberseguridad.

Administración pública

En este sector están incluidos los organismos y Administraciones Públicas y sus correspondientes vulnerabilidades en ciberseguridad derivadas del control y gestión de información y servicios públicos ciudadanos electrónicos, fundamentalmente.

Sector TIC

Basado en la digitalización, es un sector transversal a los anteriores que recopila las necesidades y prácticas más habituales en materia de ciberseguridad, ofrecidas desde un entorno como la nube, y las cuales pueden ser aplicadas al resto de sectores definidos.

Nuevos peligros a los que nos enfrentamos

¿Cuántas personas habitan el planeta?

La respuesta es más de 7 mil millones y medio.

Pero si la duda es cuántas de ellas tienen acceso a Internet, te sorprenderá saber que 4 mil millones, es decir, más de la mitad de la población lo utiliza.

Con estos datos qué duda cabe que la mayoría de los delitos del futuro será cibernéticos.

Blockchain

En lugar de atacar la tecnología blockchain en sí, los ciberdelincuentes centrarán sus ataques en comprometer los intercambios de monedas y las carteras de monedas de los usuarios, ya que estos son los objetivos más fáciles y ofrecen altos rendimientos. Las víctimas también serán engañadas a través de sus ordenadores y dispositivos móviles.

Inteligencia artificial y aprendizaje automático

Los ciberdelincuentes utilizarán la inteligencia artificial para atacar y explorar las redes de las víctimas, que suele ser la parte de compromiso más laboriosa después de una incursión.

Se crearán herramientas que entiendan, analicen y solucionen automáticamente eventos digitales maliciosos. Un instrumento capaz de evolucionar constantemente y adaptarse a las necesidades de su entorno.

Ataques a la cadena de suministro

Con información públicamente disponible sobre tecnología, proveedores, contratistas, asociaciones y personal clave, los ciberdelincuentes pueden encontrar y atacar los enlaces débiles en la cadena de suministro.

La nube

Las compañías siguen almacenando datos en cloud y utilizando infraestructuras de red híbridas que crean puertas traseras adicionales con los que los hackers tienen acceso a otros sistemas de la empresa. Además, cualquier ataque que interrumpa el servicio o tumbe a uno de los principales proveedores cloud afectará a todos sus clientes.

Ransomware en dispositivos domésticos

Por lo general, los usuarios no somos conscientes de las amenazas a los smart TV, los juguetes inteligentes y otros dispositivos inteligentes, lo que los convierte en un objetivo atractivo para los ciberdelincuentes.

De todo esto, la conclusión que podemos sacar es que nadie estamos a salvo de un ataque informático.

Pero un ladrón entrará antes en la casa que esté abierta.

No dejes tu puerta abierta y adopta las medidas de seguridad informática adecuadas.

¿Necesitas cumplir el RGPD?

8 cosas que debes saber sobre la nueva normativa de ciberseguridad
4.6 (92%) 10 votos