Ciberseguridad
ransomware
Unión Europea
Kaspersky

Claves para conocer la nueva directiva NIS

Se centra en la seguridad de redes y sistemas de información y es la primera pieza para comenzar a legislar en materia de ciberseguridad dentro de los países miembros de la UE. Es la Directiva NIS, y su propósito es garantizar que el intercambio de información y la cooperación resulten eficientes, incluso a escala transfronteriza.

Ciberseguridad

Hace unas fechas, la firma Lloyd’s cuantificó cuánto costaría un ciberataque extremo a escala global. Algo así como 53.000 millones de dólares —44.382 millones de euros al cambio—. A modo de comparación, similar a las pérdidas ocasionadas por un desastre natural como los que están azotando las costas americanas. ¿Cómo sería el ataque? Bien uno de tipo malicioso contra un proveedor de servicios en la nube, lo que provocaría las pérdidas anteriormente mencionadas, bien varios ataques sucesivos contra los sistemas operativos de los ordenadores de un gran número de empresas repartidas por todo el mundo. En este caso, algo superior a lo provocado por WannaCry o Petya. ¿Daños? Unas pérdidas potenciales de 28.700 millones de dólares, algo más de 24.000 millones de euros. Riesgos que, en la mayoría de los casos —también lo advierte Lloyd’s— no están asegurados.

“Esto en España no pasará”, puede decir cualquiera que esté leyendo este artículo tras conocer estas cifras. Para nuestra desgracia, se trata de un país que se ha convertido en receptor de una enorme cantidad de ataques. Sólo en 2016, el INCIBE —Instituto de Ciberseguridad, dependiente del Ministerio de Energía, Turismo y Agenda Digital— detectó un total de 115.000 ataques informáticos. O lo que es lo mismo: lo que supone multiplicar por 130 los ocurridos durante 2015. El resultado es que España se sitúa como el tercer país que más incidentes informáticos ha sufrido, sólo por detrás de Estados Unidos y el Reino Unido. También es cierto que, como advierte el CNI, muchos estados no hacen públicos esos datos para no crear alarma, pero los que son públicos son los que son.

Un escenario que requiere no sólo de intervenciones rápidas y eficaces, sino también de un marco regulatorio que ampare a empresas y organismos sea cual sea su naturaleza. En lo que a ciberseguridad se refiere, la respuesta es la nueva regulación europea de ciberseguridad, la Directiva NIS, que insta a los Estados miembros a estar equipados y preparados para dar respuesta a incidentes a gran escala. ¿Cómo? A través de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en la materia.

Bien, pero la Directiva NIS trae consigo algo que hará que las empresas se tomen muy en serio su ciberseguridad: la obligación de elaborar un listado de los operadores de servicios esenciales y de los proveedores de servicios digitales, ya sean públicos o privados, y a comunicarlos a la Comisión Europea. En resumidas cuentas, cada empresa deberá informar de los proveedores digitales y operadores con los que trabaje.

Por eso, entre las propuestas que se pueden extraer de esta directiva, destacan estas tres:

· Cada país deberá adoptar una estrategia de ciberseguridad y autoridad competentes.

· La creación de un mecanismo de cooperación para compartir información sobre seguridad en toda la Unión Europea.

· Que los operadores de infraestructuras críticas, como es el caso de energía o transporte, y los proveedores de servicios adopten las medidas necesarias para gestionar sus riesgos de seguridad, e informen sobre los incidentes de seguridad que sufran a las autoridades nacionales competentes.

En este sentido, el Gobierno también trabaja en un instrumento legal que le dotará de capacidad para supervisar la seguridad de los sistemas informáticos de las empresas. Esto supondrá que las empresas serán sometidas a un control especial en forma de auditorías para supervisar su nivel de seguridad. Asimismo, se podrán establecer instrucciones que les ayuden a mejorar la protección de sus sistemas informáticos. Y lo más importante: deberán informar sin dilación de cualquier incidente que ponga en peligro el servicio prestado. Una medida que pretende evitar la repetición de lo ocurrido a Yahoo!, que en 2016 hizo públicos hackeos producidos en 2013 y 2014. Una normativa que, en definitiva, busca trasponer la Directiva NIS.

En resumidas cuentas, un cuerpo legislativo concebido para que la ciberseguridad se convierta en el corazón de todas las empresas, sea cual sea su negocio. Y eso supone la aplicación de directivas como NIS sin que eso suponga un gran impacto en su actividad.

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.