"Los ataques a la ciberseguridad no conocen fronteras y nadie es inmune", señaló el Presidente de la Comisión Europea Jean-Claude Juncker en su Discurso del Estado de la Unión el miércoles. Además dijo que los ataques pueden ser más peligrosos para la estabilidad de la democracia y la economía que las armas y los tanques.

Con esto en mente, la Unión Europea necesita de una fuerte Agencia de ciberseguridad, y la Comisión ha presentado una propuesta encaminada a fortalecer el papel de ENISA, la Agencia de Seguridad en la Red y de la Información de la Unión Europea.

Detalles de la propuesta

Tras una revisión al mandato de ENISA, se llegó a la conclusión de que debe ampliarse para hacer frente a los desafíos de un ecosistema cambiante de ciberseguridad. La propuesta ayudaría a la agencia a:

* Incrementar las capacidades y preparación de los Estados miembros y Organizaciones.

* Mejorar la cooperación y la coordinación de los Estados miembros, instituciones, agencias y cuerpos de la Unión Europea.

* Incrementar el nivel de capacidades de la Unión Europea para complementar la acción de los Estados miembros, en particular en el caso de ciber crisis fronterizas.

* Incrementar la concientización de los ciudadanos y organizaciones en tema de ciberseguridad

* Incrementar la transparencia en general de la garantía de ciberseguridad de los productos y servicios de las TIC para fortalecer la confianza en el mercado digital y en la innovación digital.

Naturalmente, si la propuesta es aceptada, ENISA tendrá más recursos y podrá contratar personal adicional de acuerdo a Erucativ, 40 en total.

Un amplio esquema de certificación en la Unión Europea

Como se mencionó antes, con la nueva propuesta, ENISA podría redactar reglas certificadas para aplicar a los productos de tecnologías de la información y las comunicaciones en toda la Unión Europea.

"El propósito general del esquema de certificación en ciberseguridad Europea es demostrar que los productos y servicios de las TIC están certificados de acuerdo con el esquema que cumple los requerimientos de seguridad. Por ejemplo podría incluir la habilidad de protección de datos (ya sea almacenados, transmitidos o procesados de cualquier otra forma) contra accidentes o almacenamiento no autorizado, procesamiento, acceso, revelación, destrucción, perdida accidental o alteración", señala la propuesta.

"El esquema de certificación de la Unión Europea podría hacer uso de estándares existentes en relación a los requerimientos técnicos y procedimientos de evaluación que los productos necesitan cumplir y podría no desarrollar los estándares técnicos mismos. Por ejemplo, una certificación de la UE para productos como las tarjetas inteligentes, que son sometidas al estándar internacional en el esquema del sistema SOG-IS, significaría hacer que el esquema sea válido en toda la Unión Europea”.

Este sistema de certificación de la Unión Europea dará lugar a que los sistemas similares dejen de aplicarse. El objetivo es unificar el esfuerzo y hacer que las compañías no tengan que ser certificadas individualmente por cada estado miembro (con una diferente metodología de prueba, procedimientos de certificación en ciberseguridad, y unos diferentes requisitos técnicos).

Pero como la certificación puede ser un proceso muy costoso y podría, por lo tanto, resultar en un producto/servicio muy caro, la certificación en ciberseguridad seguirá siendo opcional.

ENISA pide asesoría

El reporte además detalla los propósitos administrativos  y la estructura de gestión de la agencia, que incluirá un grupo permanente de participantes.

La tarea de la PSG es asesorar a la agencia en forma de realizar sus actividades, estará compuesta por un grupo de 33 miembros que serán:

* Reconocidos expertos de la industria de las TIC, proveedores de redes o servicios de comunicaciones electrónicas, grupos de consumidores, académicos expertos en el terreno de la ciberseguridad (ellos no representan un país, o una compañía, pero serán seleccionados de acuerdo a sus propia experiencia y méritos personales), y

* Representantes de autoridades competentes, las fuerzas del orden y autoridades supervisoras de la protección de datos.

De hecho, ENISA solicitó que las partes interesadas soliciten ser miembros del grupo. La fecha límite para la solicitud es el 4 de octubre.

Articulos relacionados:

• Normatividad en las organizaciones: políticas de seguridad de la información - parte I
• Riesgo tecnológico y su impacto para las organizaciones - parte I
• ¿Gobierno de la ciberseguridad?