edición: 2739 , Viernes, 14 junio 2019
01/02/2018
LA OREJA DE LARRAZ

Europa impone reglas para que los proveedores de servicios digitales gestionen los riesgos de las redes

Javier Ardalán
Los proveedores de servicios digitales de los Estados de la Unión Europea contarán a partir del próximo 10 de mayo con un Reglamento de Ejecución para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.
La norma, publicada en el Boletín Oficial de la Unión Europea (DOUE) del pasado 30 de enero, los proveedores de servicios digitales deben realizar obligatoriamente procedimientos de evaluación y análisis garantizar la seguridad de los sistemas e instalaciones. Se trata de proteger  la gestión sistemática de las redes y sistemas de información, la seguridad física y del entorno, la seguridad de abastecimiento y los controles de acceso.

Cuando determinen las medidas técnicas y de organización adecuadas y proporcionadas, los proveedores de servicios digitales deben plantear la seguridad de la información de forma sistemática, utilizando un enfoque basado en los riesgos.

Con el fin de que las autoridades competentes estén informadas de nuevos riesgos potenciales, se pretende que los proveedores de servicios digitales notifiquen voluntariamente cualquier incidente cuyas características hubieran sido desconocidas previamente para ellos, como nuevos ‘exploits’, vectores de ataque, actores de amenazas, vulnerabilidades y peligros.

Se persigue, que tras un análisis de riesgos dentro de la gestión sistemática de las redes y sistemas de información, se anime a los proveedores de servicios digitales a que determinen riesgos concretos y cuantifiquen su importancia, por ejemplo identificando amenazas para los activos críticos y la forma en que pueden afectar a las operaciones, y determinando la mejor manera de atenuar dichas amenazas en función de las capacidades disponibles y de las necesidades de recursos.

Se considerará que un incidente tiene un impacto significativo el servicio prestado por el proveedor de servicios digitales ha estado indisponible durante más de cinco millones de horas de usuario, donde la expresión ‘horas de usuario’ se refiere al número de usuarios afectados en la Unión por una duración de sesenta minutos. 

También, cuando el incidente ha dado lugar a una pérdida de autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios correspondientes ofrecidos, o accesibles mediante una red y sistema de información del proveedor de servicios digitales, que ha afectado a más de 100.000 usuarios en la Unión.

Se entenderán, así mismo como incidente con impacto significativo en los casos en que haya creado un riesgo para la seguridad pública o de pérdida de vidas humanas o haya causado daños materiales como mínimo a un usuario en la Unión, y el daño causado a dicho usuario es superior a un millón de euros.

En el caso de las políticas en materia de recursos humanos, el Reglamento establece que podrán referirse a la gestión de capacidades e incluir aspectos relativos al desarrollo de capacidades de seguridad y a la sensibilización. 

Cuando se tomen decisiones sobre un conjunto adecuado de políticas en materia de seguridad de las operaciones, la normativa exigirá a los proveedores de servicios digitales a que tengan en cuenta aspectos de la gestión de cambios, la gestión de la vulnerabilidad, la formalización de prácticas operativas y administrativas y la cartografía del sistema.

Las políticas relativas a la arquitectura de la seguridad pueden incluir, en particular, la segregación de redes y sistemas, así como medidas de seguridad específicas para operaciones críticas como las de administración. La segregación de redes y sistemas puede permitir a un proveedor de servicios digitales hacer distinciones entre elementos como los flujos de datos y los recursos informáticos que pertenecen a un cliente, a un grupo de clientes, al proveedor de servicios digitales o a terceros.

Las medidas adoptadas en relación con la seguridad física y del entorno deben garantizar la seguridad de las redes y sistemas de información de una organización frente a los daños provocados por incidentes como robos, incendios, inundaciones u otros efectos de fenómenos meteorológicos, fallos de telecomunicaciones o de suministro de electricidad.

La seguridad de suministros tales como la energía eléctrica, el combustible o la refrigeración puede englobar la seguridad de la cadena de suministro, que incluye en particular la seguridad de los contratistas y subcontratistas terceros y la gestión de estos. La trazabilidad de los suministros críticos se refiere a la capacidad del proveedor de servicios digitales de determinar y registrar las fuentes de tales suministros.

Los usuarios de servicios digitales deben englobar a las personas físicas y jurídicas que sean clientes o subscriptores de un mercado en línea o un servicio de computación en nube o que sean visitantes del sitio web de un motor de búsqueda en línea con el fin de realizar búsquedas por palabras clave.

De la aplicación del Reglamento y del trabajo del Grupo de cooperación deben extraerse conclusiones en lo referente a la recopilación de información de mejores prácticas sobre los riesgos e incidentes y las discusiones sobre las modalidades para informar sobre notificaciones de incidentes. 

El resultado podría ser unas orientaciones exhaustivas sobre los umbrales cuantitativos de los parámetros de notificación que pueden dar lugar a la obligación de notificación para los proveedores de servicios digitales. En su caso, se determina que la Comisión Europea también podría estudiar la revisión de los umbrales fijados en el  Reglamento.

Noticias Relacionadas

Director
Alfonso Pajuelo ( director@icnr.es )

Esta web no utiliza cookies y no incorpora información personal en sus ficheros

Redacción (redaccion@icnr.es)

  • Juan José González
  • Javier Ardalán
  • Carlos Schwartz
  • Rafael Vidal

Intelligence and Capital News Report ®
es una publicación de Capital News Ediciones S.L.
Editor: Alfonso Pajuelo
C/ Joaquín María López, 30. 28015 Madrid
Teléfono: 92 118 33 20
© 2019 Todos los derechos reservados.
Prohibida la reproducción sin permiso expreso de la empresa editora.

Optimizado para Chrome, Firefox e IE9+

loading
Cargando...