Nueva directiva de Europa sobre ciberseguridad presiona a bancos y compañías para que se preparen mejor para los ciberataques

by  Publicado porACFCS -

Por Brian Monroe
27 de julio de 2016

La Unión Europea publicó la semana pasada las directivas finales sobre seguridad cibernética que llevarían a la creación del primer sistema nacional que obligue a los Estados miembros a identificar mejor, responder y reportar incidentes de ataques cibernéticos, dar a las autoridades el poder para auditar programas, imponer sanciones y dar a los investigadores más alternativas para recopilar y compartir información sobre los patrones de ataque más amplios.

 

El Parlamento Europeo y el Consejo de la Unión Europea publicaron la directiva final, Security of Network and Information Systems (NIS), una iniciativa amplia, ambiciosa que creará normas y estándares mínimos y auditables para frustrar los hackers y grupos hacktivistas, pero podrían aumentar los costos de cumplimiento y llevar a otras compañías tales como bancos, compañías eléctricas, empresas comerciales, y otros, a exponerse a sanciones financieras.

La nueva directiva proporciona a las empresas y al gobierno poderes más grandes de intercambio para identificar patrones de ataque cibernético, impone nuevos requisitos para que las empresas reporten violaciones de seguridad y creen equipos de respuesta a incidentes cibernéticos para responder de manera más rápida y eficaz a los ataques en varios estados miembros.

La directiva, propuesta en 2013 y finalizada este mes, está claramente apuntalada por los ataques de alto perfil realizado por grupos de piratas informáticos en los últimos años que han afectado a algunos de los minoristas más grandes del mundo, los grupos bancarios e incluso agencias gubernamentales, incluyendo Target, Home Depot , JPMorgan Chase y, en Estados Unidos, la Oficina Federal de Administración de Personal.

La directiva de alguna manera refleja los esfuerzos en EE.UU. contra los ataques cibernéticos, aunque no es exacta. El gobierno de Estados Unidos ha creado normas para la defensa cibernética, la recuperación y la capacidad de recuperación, y ha creado foros foros para promover el intercambio de información entre las empresas del sector privado y entre el gobierno y el sector privado, pero muchos de ellos toman la forma de guías, directrices y mejores prácticas, en lugar de obligaciones normativas.

Las iniciativas en la directiva, que se centran en la preparación contra los ataques cibernéticos, la identificación, la respuesta y la capacidad de recuperación, podrían ser muy útiles para proteger a las empresas y hacer las regiones más seguras, dijo Nicole Bocra, gerente de Infinity Investigative Solutions una firma de investigación especializada en investigaciones financieras y corporativas.

“Es vital que los países apunten al problema de la ciberseguridad de una manera holística, más amplia”, dijo Broca, una ex investigadora de la National Association of Securities Dealers, ahora the Financial Industry Regulatory Authority

Las operaciones en todos los niveles, ya sea pública o privada, pequeña o grande, “se están enfrentando a los mismos problemas” cuando se trata de ataques cibernéticos, ya sea a través de vulnerabilidades virtuales, sistemas sin parches o el mayor vector de ataque cibernético, errores humanos, señala. «Cuanta más información se puede compartir en estos incidentes, mejor será».

La directiva tiene varios objetivos principales: capacidades mejoradas de seguridad cibernética a nivel nacional, mayor cooperación a nivel de la UE y gestión del riesgo y obligación de notificación de incidentes para los operadores de servicios esenciales y proveedores de servicios digitales. Los Estados miembros deben transponer la directiva a la legislación nacional en mayo de 2018.

En resumen, la directiva

 

(a) Establece obligaciones para que todos los Estados miembro a adopten una estrategia nacional sobre la seguridad de los sistemas de redes y la información;

 

(b) crea un Grupo de Cooperación con el fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y para desarrollar la confianza entre ellos;

 

(c) crea una red de equipos de respuesta a incidentes de seguridad informática computer security incident response teams network (CSIRTs network) con el fin de contribuir a mayor confianza entre los Estados miembros y promover la cooperación operativa rápida y eficaz;

 

(d) establece los requisitos de seguridad y notificación de los operadores de servicios esenciales y para los proveedores de servicios digitales;

 

(e) determina las obligaciones para que los Estados miembro designen las autoridades competentes a nivel nacional, puntos de contacto únicos y CSIRTs con tareas relacionadas con la seguridad de redes y sistemas de información.

 

Con el crimen organizado y piratas informáticos incursionando en sistemas que alguna vez se consideraban fuertes, robustos, infalibles, la UE tuvo que crear un plan que involucró a todos los países.

 

«Los hackers no son sólo un problema nacional, son un problema global, un problema transfronterizo, y los estados europeos que se comunican y comparten información podría proporcionar información muy valiosa para detener a los piratas informáticos», dijo Dee Millard, un consultor de lucha contra el fraude de Easy Solutions, que ofrece la identificación de fraude electrónico y productos de formación en todas las plataformas.

Es más, los hackers aprovecharán todas las deficiencias geográficas o en la comunicación para promover sus actividades, con la esperanza de que diferentes países no puedan tener una visión completa del panorama.

Grupos de piratería informática «utilizan herramientas y tecnologías que son transfronterizas», dijo Millard. «Lo que es importante, independientemente de la ubicación es que las organizaciones sean capaces de tener una metodología eficaz para proteger y detectar las amenazas de seguridad cibernética. A nivel mundial, todos tenemos que trabajar juntos para encontrar puntos comunes de ataques para hacerlo más difícil y más costoso para ellos, pero la tecnología y la actualización de los sistemas de las organizaciones también tienen que jugar un papel igual de importante «.

¿Qué sectores cubre la directiva?  ¿Qué es un incidente significativo para reportar? ¿Qué se debe reportar?

La Directiva no deja completamente en claro lo que es un suceso importante que requiere la notificación a la autoridad nacional pertinente. Sin embargo detalla tres parámetros que deben tenerse en cuenta y deben reportarse:

–Número de usuarios afectados

–Duración del incidente

–Alcance geográfico

La directiva cubrirá sectores y operaciones en las siguientes industrias:

  • Energía: electricidad, petróleo y gas
  • Transporte: aire, ferrocarril, agua y carreteras
  • Bancos: entidades de crédito
  • Infraestructuras de los mercados financieros: centros de negociación, contrapartes centrales
  • Salud: establecimientos de salud
  • Agua: abastecimiento y distribución de agua
  • Infraestructura digital: puntos de intercambio de Internet, proveedores de servicios de nombres de dominio, principales registros de nombres de dominio

CSIRT se hará sentir

Como parte de la Directiva, los Estados miembros designarán uno o más Computer Security Incident Response Teams (CSIRTs), grupos que jugará un papel vital en la identificación temprana y la intervención de los ataques, una gran ayuda tanto para las agencias gubernamentales y entidades del sector privado que podrían ser objeto de los ataques, o que pueden estar experimentando ataques.

CSIRT serán responsables de varios puntos cruciales de la directiva, incluyendo:

  • monitoreo de incidentes a nivel nacional
  • proporcionar alertas tempranas y difusión de la información a las partes interesadas/relevantes
  • responder a los incidentes
  • proporcionar un dinámico análisis de riesgo y de incidentes y conocimiento de la situación
  • participar en la red de CSIRT nacionales

Las empresas públicas y privadas también deben impulsar un grupo de áreas alrededor de la seguridad cibernética, también tienen que hacer algo que muchas seguramente no han hecho nunca en la arena cibernética: participar en una investigación/evaluación exhaustiva, y honesta, sobre los riesgos cibernéticos, y actualizar los sistema, recursos y experiencia personal en consecuencia.

Sin embargo, con el fin de tener una idea más cabal de la fortaleza de los marcos actuales, la UE necesitaba capturar más datos sobre la realidad actual de las operaciones, y cómo se han producido incidentes cibernéticos, un desafío a través de tantas jurisdicciones con leyes y restricciones particulares.

En términos de ciberseguridad, la Unión Europea ha tenido problemas jurisdiccionales, que juegan “un gran papel en la recopilación de información para detectar y frenar los ataques”, señala Millard.

Hay muchas pautas, guías, regulaciones y leyes sobre seguridad cibernética, y es importante tener en cuenta que frente a las amenazas de seguridad cibernética y los riesgos «no existe una única solución o enfoque, cada sector de la organización / empresa es diferente».

Por ello es tan “importante que todos los sectores trabajen en tándem por el bien común con la intención de prevenir, obstaculizar y frenar a los delincuentes…aquí es donde veo que la Directiva deslinda más responsabilidades sobre los estados miembros y equipos de respuestas”, dice Millard.

Cómo deben responder las compañías

Las medidas de seguridad que deben adoptar las operaciones, tanto en el mundo real como virtual, incluyen:

  • Medidas técnicas y organizativas que sean adecuadas y proporcionales al riesgo.
  • Las medidas deben garantizar un nivel de seguridad de la red y de los sistemas de información proporcionales a los riesgos.
  • Las medidas deben prevenir y minimizar el impacto de los incidentes en los sistemas informáticos utilizados para prestar los servicios.
  • Seguridad de los sistemas e instalaciones
  • Manejo de incidentes
  • Gestión para la continuidad del negocio
  • Supervisión, auditoría y pruebas
  • Cumplimiento de las normas internacionales

Una de las principales diferencias entre lo que está haciendo la UE, en comparación con, por ejemplo, Estados Unidos, que también ha sufrido grandes violaciones de datos, desde los sectores de salud al financiero, es asegurarse de que muchas de las iniciativas estén escritas.

EE.UU. cuenta con la división la National Institution of Standard and Technology (NIST) que ha establecido un marco de ciberseguridad que está en «constante evolución».

La iniciativa del NIST nació de la Ley de Ciberseguridad de 2015 que ha creado este marco para el intercambio voluntario de información sobre la amenaza cibernética entre entidades privadas y del gobierno federal, así como dentro de las agencias del gobierno federal, dijo Millard.

«Lo que parece ser diferente entre EE.UU. y Europa es que nosotros (EE.UU.) parecemos una cooperación más a voluntad frente a su nueva directiva que sea más de un requisito», dijo. «Sin embargo, ambos enfoques promueven conciencia, mejores prácticas, capacitación, y el uso más importante lecciones aprendidas (se utilizan casos) para ser más eficaz en la estrategia global para mitigar y combatir [ciberdelincuencia]».

Las violaciones de datos, con fines de lucro o solo para exhibir, «no son sólo un problema de las grandes corporaciones, todo el mundo está en riesgo», dijo Bocra, añadiendo que la agresividad y la creatividad de los piratas informáticos ha convertido este problema de una molestia menor, a una situación muy importante, a la par del cumplimiento ALD o contra la corrupción.

Es posible que la UE tenga que ser flexible, preceptiva y comprensiva a medida que los países transponer los principios de la Directiva a las legislaciones nacionales, porque «aunque existen unos requisitos mínimos, todos perciben el riesgo de manera diferente, incluso entre empresas que son del mismo tamaño» dijo Bocra.

«Lo que es mi percepción de riesgo y cómo puede ser medido» para crear un programa de seguridad cibernética en sintonía con esas vulnerabilidades particulares es una forma relativamente nueva de ejercicios para algunos países y un ejercicio doblemente difícil de examinar porque la respuesta de lo que es un » programa adecuado «será muy subjetiva.