ciberresilencia
agosto 07, 2024

La nueva Ley de Ciberresiliencia de la UE: Un cambio crucial en la Ciberseguridad

Compartir en redes

La ciberresiliencia es un término que se está volviendo cada vez más común en los medios de comunicación, regulaciones y objetivos empresariales. Sin embargo, la mayoría de las personas no sabe exactamente qué significa o implica este concepto.

En realidad, la ciberresiliencia va más allá de la seguridad informática, ya que implica una mentalidad y cultura de ciberseguridad en todos los aspectos de nuestra vida digital. En un mundo más conectado, esto se ha convertido en una necesidad básica para proteger la información personal y financiera. Además, la Unión Europea avanza en su Ley de Ciberresiliencia con la que pretende que todos los productos digitales cuenten con las medidas adecuadas de ciberseguridad para evitar las posibles amenazas.

 

Qué es la ciberresilencia

 

La ciberresiliencia es la capacidad que tiene una organización para prevenir, detectar, dar respuesta y recuperarse rápidamente de las amenazas cibernéticas.

Básicamente, las empresas tienen que desarrollar la capacidad para hacer frente a las crisis, iniciadas en los sistemas y redes, sin que la actividad se vea afectada. Por lo tanto, podríamos decir que se trata de una cualidad imprescindible, ya que no sólo consiste en protegerse como entidad, sino también de aprender y adaptarse ante los incidentes cibernéticos.

 

Nueva Ley de Ciberresiliencia de la UE

 

La nueva Ley de Ciberresiliencia de la Unión Europea está destinada a transformar la regulación de la ciberseguridad para todos los productos digitales.

Esta innovadora legislación busca establecer normas más estrictas y uniformes para proteger infraestructuras críticas y datos sensibles frente a ciberataques. Con el aumento de las amenazas cibernéticas y nuestra creciente dependencia tecnológica, esta ley es vital para asegurar la integridad y continuidad de los sistemas digitales en la UE.

El marco regulatorio incluye un periodo de adaptación de tres años y contempla multas de hasta 15 millones de euros, o un 2,5% del volumen de negocio anual de las empresas en caso de incumplimiento.

La propuesta de Reglamento sobre los requisitos de ciberseguridad de los productos con elementos digitales, conocida como la Ley de Ciberresiliencia, refuerza las normas de ciberseguridad para garantizar unos productos de hardware y software más seguros.

 

Implementación

 

Está previsto que la Ley de Ciberresiliencia entre en vigor en el segundo semestre de 2024 y los fabricantes tendrán que introducir productos conformes en el mercado de la Unión de aquí a 2027. A continuación, la Comisión examinará periódicamente la Ley e informará sobre su funcionamiento.

Esta normativa no solo reforzará la ciberseguridad en la UE, sino que también impulsará el conocimiento y la formación en ciberseguridad, beneficiando a toda la comunidad. Con un enfoque en la protección del consumidor y la integridad de los sistemas digitales, la Ley de Ciberresiliencia representa un paso crucial hacia un futuro más seguro y resiliente.

Cuando el Reglamento entre en vigor, los programas informáticos y los productos conectados a internet llevarán el marcado CE para indicar que cumplen las nuevas normas. Al exigir a los fabricantes y minoristas que prioricen la ciberseguridad, los clientes y las empresas estarían facultados para tomar decisiones mejor informadas, seguros de las credenciales de ciberseguridad de los productos con el marcado CE.

 

Qué riesgos pretende abordar esta normativa

 

Los ciberataques pueden propagarse a través de las fronteras en el mercado interior en cuestión de minutos. Por ello, el reglamento aborda dos cuestiones:

  • El primero es el bajo nivel de ciberseguridad de muchos de estos productos y, más importante aún, el hecho de que muchos fabricantes no proporcionan actualizaciones para abordar las vulnerabilidades. Si bien los fabricantes de productos con elementos digitales a veces se enfrentan a daños a su reputación cuando sus productos carecen de seguridad, el coste de las vulnerabilidades recae predominantemente sobre los usuarios profesionales y los consumidores, lo que limita los incentivos de los fabricantes para invertir en diseño y desarrollo seguros y para proporcionar actualizaciones de seguridad.
  • La segunda es que las empresas y los consumidores a menudo no disponen de información suficiente y precisa a la hora de elegir productos que sean seguros y, con frecuencia, carecen de conocimientos sobre cómo asegurarse de que los productos que compran están configurados de forma segura.

 

 

10 puntos importantes de esta nueva normativa

 

Las nuevas normas de ciberseguridad de la UE garantizan un hardware y un software más seguros. Desde monitores para bebés hasta relojes inteligentes, los productos y el software que contienen un componente digital están omnipresentes en nuestra vida cotidiana. Menos evidente para muchos usuarios es el riesgo de seguridad que tales productos y software pueden presentar.

La Ley consideraría que las características de seguridad inadecuadas se convertirían en cosa del pasado con la introducción de requisitos obligatorios de ciberseguridad para los fabricantes y minoristas de dichos productos, y esta protección se extendería a lo largo del ciclo de vida del producto.

 

  1. Cobertura de todos los dispositivos conectados: La ley abarca todos los dispositivos conectados a la red o a otros dispositivos, asegurando que todos cumplan con los mismos estándares de ciberseguridad.
  2. Normas de ciberseguridad desde el diseño: Establece normas de ciberseguridad para el diseño, desarrollo y producción de productos digitales, con obligaciones para los operadores económicos y normas de vigilancia del mercado y ejecución.
  3. Gestión de vulnerabilidades: Impone requisitos esenciales para que los fabricantes gestionen las vulnerabilidades, asegurando la ciberseguridad de los productos durante todo su ciclo de vida, con la obligación de informar sobre vulnerabilidades e incidentes.
  4. Supervisión por autoridades notificadoras: Los Estados miembros designarán una autoridad notificadora para supervisar los procedimientos de evaluación y notificación de los organismos de evaluación de la conformidad.
  5. Información para los consumidores: Garantiza que los consumidores tengan información adecuada sobre la ciberseguridad de los productos que adquieren y utilizan.
  6. Soporte de seguridad y actualizaciones: Obliga a los fabricantes a proporcionar soporte de seguridad y actualizaciones de software para resolver vulnerabilidades identificadas.
  7. Requisitos esenciales en todas las etapas: Exige la incorporación de requisitos esenciales de ciberseguridad en todas las etapas del ciclo de vida del producto, incluyendo diseño, desarrollo, producción, entrega y mantenimiento.
  8. Notificación de vulnerabilidades e incidentes: Los fabricantes deben informar activamente sobre vulnerabilidades e incidentes, proporcionar actualizaciones de seguridad durante al menos cinco años y gestionar eficazmente los riesgos.
  9. Documentación de riesgos: Requiere la documentación de todos los riesgos de ciberseguridad asociados con los productos.
  10. Instrucciones y evaluación de conformidad: Establece que los productos con elementos digitales deben contar con instrucciones claras, comprensibles y una evaluación de conformidad.

 

Estrategia de Ciberseguridad y Ciberresiliencia

 

Las empresas verdaderamente ciber resilientes integran múltiples capacidades para cuidar su operación: estrategias de ciberseguridad,  herramientas para garantizar la continuidad de la operación y la propia resiliencia del negocio. La seguridad informática es un componente crítico en el entorno empresarial, y su enfoque puede dividirse en dos vertientes fundamentales: defensiva y ofensiva.

De acuerdo con el estudio Innovate for Cyber Resilience 2020 de Accenture, el 10.9% del presupuesto de TI de las organizaciones es invertido en programas de ciberseguridad y han logrado una disminución del 27% de los vacíos en seguridad, lo que habla de la mejora en la higiene cibernética. 

Pero no todas las empresas distinguen entre la seguridad informática defensiva o pasiva y la seguridad ofensiva o activa. Conocer en detalle cada una y su utilidad respectiva es esencial para tener una buena seguridad.

En Control Group lo tenemos claro, que es posible anticiparse y ser proactivo para prevenir ataques, consecuencias más graves y reducir significativamente los tiempos de reacción frente a ciberataques.

Para fortalecer la ciberseguridad de una empresa y minimizar tanto la posibilidad de sufrir un ataque como su impacto, es esencial seguir un procedimiento integral y mantenerse al día con las últimas amenazas y tecnologías, contando con un buen partner y un buen Plan de Ciberseguridad. En la evaluación de riesgos se identifican activos críticos, amenazas y vulnerabilidades para establecer prioridades de seguridad. Las políticas y procedimientos deben ser claros, exhaustivos y comunicados a todos los empleados, quienes deben recibir capacitación continua. La seguridad de red incluye firewalls, detección de intrusiones y encriptación, además de actualizaciones periódicas. En gestión de identidad y acceso, se implementan autenticación multifactor y monitoreo constante. La seguridad del software requiere actualizaciones constantes, pruebas de penetración y aplicación de parches. Las rutinas de respaldo y recuperación deben ser regulares, con pruebas de recuperación y copias offline para proteger contra ransomware. La concientización y el entrenamiento en ciberseguridad son fundamentales, incluyendo simulaciones de ataques y una cultura de seguridad cibernética. El monitoreo continuo con herramientas avanzadas y un equipo capacitado es esencial para detectar y responder a amenazas en tiempo real. Finalmente, el cumplimiento normativo requiere medidas robustas de protección de datos, auditorías internas y externas, y capacitación continua del personal para adaptarse a las amenazas emergentes.

El responsable de ciberseguridad de Grupo Solitium, José Tello, explica qué debe hacer una empresa, de cualquier tamaño, después de haber sido atacada por un hacker. Nos cuenta cuáles son sus responsabilidades y opciones y nos da las claves para actuar con la mayor rapidez.

 

 

 

¿Aún no tienes un Plan de Ciberseguridad?

 

Conoce las vulnerabilidades, las amenazas y los riesgos técnicos en seguridad de tu organización, en Control Group te creamos tu Plan de Ciberseguridad con análisis de vulnerabilidades y auditorías para detectar puntos débiles.

El Análisis de Vulnerabilidades (Vulnerability Assessment) es una auditoría orientada a evaluar la seguridad de los sistemas IT de una empresa sobre el negocio del cliente y sus necesidades.  Este tipo de auditoría, sirve para identificar los puntos débiles y así poder determinar el daño que podría ser causado dentro de una compañía, con el fin de elaborar un plan de acción adecuado a cada uno de ellos.  En resumen, es una primera fotografía imprescindible para continuar y mejorar los niveles de seguridad dentro de una empresa.

Creamos campañas de Phishing y ataques simulados por correo, para evaluar, reducir y mitigar el riesgo que entrañan los usuarios más vulnerables de las compañías y ayudan a sensibilizar al usuario de los riesgos de la ciberseguridad. Con estas acciones, se puede mejorar los niveles de seguridad dentro de una compañía, basándose en el envío de correos controlados, simulando suplantación de identidades, departamentos, apps de compras, etc., con el fin de enseñarles a protegerse de posibles correos maliciosos. Las campañas de phishing no son formaciones para los usuarios, son simulaciones que servirán para concienciarlos para futuros ataques de phishing.

Finalmente realizamos un Pentesting o ataques éticos con auditoría personalizada, con el objetivo de conocer hasta donde podría llegar un usuario malicioso con credenciales. La mejor forma de estudiar la seguridad de los sistemas frente a un ataque, es someterse a uno, pero de forma controlada y con ética. Los Pentesting son ataques éticos reales que tienen como objetivo aportar pruebas de entrada a los sistemas (se obtienen pruebas de los datos exfiltrados del cliente, capturas de los sistemas accedidos, etc.)
. Este tipo de Auditorías Pentesting o Hacking éticos solo puede realizarlas un técnico experto en seguridad, al ser más complejas, tienen que tener una interacción con el cliente para conocer sus sistemas y saber qué tipo de auditoría necesitaría. Este tipo de auditorías son personalizadas para cada cliente se realizan bajo proyecto una vez realizado un análisis de vulnerabilidades en sus sistemas internos y externos

 

Juntos, podemos crear un entorno empresarial más seguro y resiliente ante las amenazas digitales en constante evolución.

Contáctanos para desarrollar un plan de ciberseguridad personalizado que proteja tu organización y garantice su continuidad operativa.

 

Related Posts