Ciberseguridad en la Unión Europea

Internet representa hoy un elemento esencial en la vida de cualquier ciudadano europeo. Su crecimiento exponencial así como el incremento de usuarios en las redes han puesto sobre la mesa una cuestión que cada vez preocupa más a la sociedad, la seguridad.

Comisión Europea

Las violaciones de personas se han repetido en el tiempo causando tanto placer oral a los usuarios, como un bloqueo al desarrollo del comercio electrónico. Pero no son sólo estos ataques los únicos que preocupan, los sistemas de información y las redes de comunicación también son vulnerables. Un fallo en las mismas pondría en peligro el suministro de numerosos servicios, algunos de ellos vitales, para mantener el bienestar de los ciudadanos de la Unión Europea.

Cómo medio para combatir las actividades ilícitas en internet la Unión Europea ha desarrollado una política de ciberseguridad, un ámbito relativamente reciente, que está basado en la importancia a la protección tanto de los usuarios como de las redes de comunicación y los sistemas de información frente a posibles ataques.

Esta política se ve reflejada en actuaciones como la creación del programa “Safer Internet Plus”[1] realizado durante 2005-2008 que buscaba un internet más seguro protegiendo al usuario frente a contenidos no deseados. Este programa fue completado por otro posterior llamado “Safer Internet”[2] durante los años 2009-2013 que proponía mejorar la seguridad en línea de los niños combatiendo tanto los contenidos ilícitos como los comportamientos nocivos.

Junto con estos programas, se han desplegado una serie de actuaciones como la creación de la Agencia Europea de Seguridad de las redes y de la información (ENISA), la elaboración de una “Estrategia para una sociedad de la información segura” o el “Plan de Ciberseguridad de la Unión Europea”. En 2013 se propuso, dentro del Plan mencionado anteriormente, la elaboración de una Directiva de la Comisión Europea sobre la seguridad de las redes y de la información ––Directiva SRI––.

Dentro de estos actos realizados por la UE se encuentran ejemplos como la Comunicación de la Comisión de 2009 sobre protección de infraestructuras críticas de información –”Proteger Europa de ciberataques e irrupciones a gran escala: aumentar la preparación, la seguridad y resistencia”[3]–, que recoge una serie de pautas a seguir y un plan de actuación propuestos por la Comisión Europea para combatir los ciberataques. También hay que mencionar la Decisión marco del Consejo de 2005, relativa a los ataques de los que son objetos los sistemas de información,[4] en la que se propone una aproximación de los sistemas de Derecho Penal y una mejora de la cooperación entre las autoridades judiciales en temas como el acceso ilícito a un sistema de información o el perjuicio a la integridad de un sistema o de los datos.

Agencia Europea de Seguridad de las redes y de la información(ENISA)

La Agencia Europea de Seguridad de las redes y de la información (ENISA) fue creada mediante el Reglamento 460/2004[5] en 2004 para luchar contra las violaciones de la seguridad de las redes y los sistemas de información.

El objetivo principal de la Agencia es el de reforzar las capacidades de la Unión Europea, sus Estados Miembros y las empresas en relación con la prevención, la reacción y la gestión de los problemas vinculados con la seguridad de las redes y la información. No es este el único objetivo, ya que también presta asistencia y asesoramiento a la Comisión y a los Estados de la UE siempre que se le requiere, y se puede recurrir a ella para ayudar a la Comisión en los trabajos preparatorios de carácter técnico de actualización y desarrollo de la normativa comunitaria.

Dejando a un lado algunas redes administrativas, no existe una cooperación transfronteriza sistemática en esta materia común a todos los Estado Miembros. Por este motivo, la Agencia también facilita y fomenta la cooperación entre los agentes de los sectores público y privado, de este modo, se pretende conseguir un nivel de seguridad lo suficientemente elevado en todos los Estados de la Unión Europea.

La Agencia desarrolla una serie de tareas para poder llevar a cabo los objetivos anteriormente mencionados. Entre las mismas se encuentran la de recoger información necesaria para el análisis de los riesgos actuales y emergentes, y proporcionar los resultados obtenidos a la Comisión y los Estados Miembros. También es la encargada de promover evaluaciones de riesgos y métodos de gestión de los mismos con el fin de mejorar la capacidad de la Unión Europea para hacer frente a las amenazas de seguridad. También puede presentar sus propias conclusiones, orientaciones y sugerencias.

La agencia se compone de cuatro partes:

Consejo administrativo. Conformado por representantes de los Estados Miembros y de la Comisión, así como representantes de las empresas y expertos universitarios, y consumidores sin derecho a voto. Son los encargados de establecer el presupuesto y comprobar su ejecución así como de redactar las normas financieras apropiadas. Nombran y deponen al Director Ejecutivo. Aprueban el programa de trabajo de la Agencia y establecen procedimientos transparentes para la toma de decisiones. Adoptan su propio reglamento interno y las normas de funcionamiento interno.

Director ejecutivo. Es el encargado de la gestión de la agencia y debe llevar a cabo sus tareas de manera independiente.

•Consejo ejecutivo. Conformado por cinco miembros del Consejo administrativo y presidido por el presidente del consejo administrativo. Es el encargado de preparar las decisiones que le adopten por el consejo anterior sobre las cuestiones administrativas y presupuestarias. S

se reúne cada tres meses.

Grupo permanente de partes interesadas. Integrado por expertos representantes de ámbitos como la industria de la información y la comunicación, grupos de consumidores, expertos académicos en seguridad de redes y de la información. Asesora al director ejecutivo en el ejercicio de sus obligaciones, en la elaboración de una propuesta de programa de trabajo de la agencia y en la comunicación con las partes interesadas. Se pueden establecer Grupos Especiales de Trabajo para cuestiones técnicas y científicas específicas.

Estrategia para una Sociedad de la información segura

En forma de Comunicación de la Comisión, se presentó el 31 de mayo de 2006 “Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación”.[6] La finalidad de este documento era la revitalizar la estrategia política europea en materia de seguridad de las redes y de la información. Se redactó en busca de definir los retos actuales y de proponer acciones para afrontarlos. La Comisión buscaba, con esta estrategia, darle un enfoque multilateral que reuniera a todas las partes interesadas, fundándose en el diálogo y la responsabilidad.

A pesar de que, hasta ese punto, la Unión Europea había desplegado numerosos esfuerzos en pos de crear una seguridad capaz de repeler los ataques a redes y sistemas de información, la seguridad seguía siendo un reto que aúna tanto a las administraciones públicas como las empresas y usuarios individuales. Entre los retos principales podemos encontrar los siguientes.

  • Ataques a los sistemas de información. Estos ataques motivados, principalmente, por afán de lucro como la extracción de datos personales de manera ilegal, sin que el usuario sea consciente de ello. Un ejemplo de estos ataques es la utilización de spam para transportar virus o el uso de programas espía.
  • Retos relacionados con la difusión de los dispositivos móviles. Este problema viene potenciado por aumento de los dispositivos móviles ––teléfonos móviles 3G, videojuegos portátiles–– y de los servicios basados en la utilización de redes móviles. El alto nivel de seguridad presente en las unidades PC hace que los dispositivos móviles sean un mejor objetivo para los ataques.
  • Retos relacionados con el advenimiento de los “entornos inteligentes”. Estos “entornos inteligentes” suponen un punto importante dentro de la sociedad de la información. Los expertos esperan que en un futuro inmediato, los dispositivos inteligentes apoyados en las tecnologías de la computación y de las redes se conviertan en una presencia permanente en la vida diaria. A pesar de las obvias ventajas que conllevan estos avances, también pueden suponer un riesgo hacia la seguridad y la vida privada.
  • Retos relacionados con la sensibilización de los usuarios. Uno de los problemas a los que se enfrenta la UE es la extendida infravaloración que otorgan los usuarios a los riesgos que corren. El reto es conseguir presentar la seguridad como un activo y no como un coste de manera que los usuarios no lo consideren un aspecto negativo como viene sucediendo, en cierta medida, hasta el día de hoy.

La Comisión abogaba por el diálogo y la responsabilidad para afrontar de manera positiva estos retos, y para ello propuso una serie de medidas como la evaluación comparativa de las políticas nacionales relacionadas con la seguridad de las redes y de la información y un debate multilateral estructurado sobre la mejor manera de utilizar los instrumentos reguladores existentes hasta ese momento.

Cabe destacar que esta Estrategia entra dentro del marco de la Iniciativa “2010 - Una sociedad de la información europea para el crecimiento y el empleo”.[7] Entre los objetivos propuestos dentro de esta iniciativa se encontraba el de conseguir que internet sea más seguro frente al fraude, los contenidos nocivos y los fallos tecnológicos.

Estrategia Europea de Seguridad

En la Estrategia Europea de Seguridad,[8] documento redactado a instancias del entonces Alto Representante de la UE para la Política Exterior y de Seguridad Común ––Javier Solana––, se definían los retos mundiales y las principales amenazas contra la seguridad de la Unión Europea. Se buscaba, a su vez, seguir una serie de objetivos que se proponían para hacer frente a dichas amenazas. En este documento no aparecía recogida la ciberseguridad, hecho que se vio modificado por la revisión de la Estrategia en 2008. Esta revisión tuvo lugar después que Javier Solana presentara al Consejo Europeo un informe de aplicación de la Estrategia por encargo de los Jefes de Estado o de Gobierno. En este informe, llamado “Ofrecer seguridad en un mundo en evolución”, se procedió a un examen de como se había aplicado la Estrategia y como se podría mejorar esta aplicación.

Este documento se hacía eco de la enorme dependencia que mantienen las economías modernas con diversas infraestructuras como los transportes o las comunicaciones y, por supuesto, con internet. Se ponía de manifiesto la necesidad de completar lo que ya se había dicho en la Estrategia de la Unión Europea para una sociedad de la Información segura en Europa, que estaba solo basada en la delincuencia en internet. Era necesario afrontar el problema en todas sus vertientes ya que, a raíz de ataques a sistemas de TI privadas o gubernamentales de los Estados Miembros, la ciberdelincuencia había pasado a convertirse en un arma tanto económica como política y militar.

Era necesario que la Unión Europea siguiera trabajando en este campo concienciando a las personas e intensificando la cooperación internacional.

Plan de Ciberseguridad de la UE

Catherine Ashton, Anterior Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad

En palabras de Catherine Ashton, anterior Alta Representante de la Unión para Asuntos Exteriores y Política de seguridad, “para que el ciberespacio no deje de ser abierto y gratuito, deben aplicarse las mismas normas, los mismos principios y los mismos valores que rigen fuera de él en la UE. Debemos proteger los derechos fundamentales, la democracia y la primacía del Derecho en Internet. La UE está trabajando con sus socios internacionales, así como con la sociedad civil y el sector privado, para promover esos derechos desde una perspectiva global”. En 2013, la señora Ashton y la Comisión publicaron una nueva estrategia de ciberseguridad que pudiera hacer frente a las amenazas actuales. Esta estrategia supone el primer documento realmente exhaustivo que ha realizado la Unión Europea sobre este ámbito y abarca aspectos de mercado interior, justicia y asuntos de interior y política exterior relacionados con el ciberespacio. Junto a esta estrategia, se ha publicado una propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI).

La estrategia de ciberseguridad recibe el nombre de “Un ciberespacio abierto, protegido y seguro”, y es la encargada de dar una visión de conjunto sobre como la UE debe prevenir y resolver mejor las perturbaciones en la red y los ciberataques. El objetivo principal es, como viene siendo propio de la UE, promover e impulsar los valores europeos de libertad y democracia y velar por un crecimiento seguro de la economía digital. De este modo, se presentan de manera clara las prioridades de la política de la UE en relación con el ciberespacio. En primer lugar, la UE busca libertad y apertura promoviendo sus valores esenciales y los derechos fundamentales en el ciberespacio. Se especifica que las leyes, normas y valores esenciales de la UE se aplican tanto en el ciberespacio como en el mundo físico. La UE también se comprometerá con los socios y las organizaciones internacionales, el sector privado y la sociedad civil a apoyar la creación general de capacidades en terceros países. Por último, la UE impulsará la cooperación internacional en aspectos del ciberespacio para conseguir que este se mantenga abierto, libre y seguro.

Para llevar a cabo las prioridades que marca la UE se prevén una serie de medidas para reforzar la ciberresilencia de loa sistemas informáticos. Se pretende reducir la delincuencia en la red y fortalecer la política de ciberseguridad y ciberdefensa internacional de la UE. y desarrollar los recursos industriales y tecnológicos necesarios.

Neelie Kroes, anterior vicepresidenta de la Comisión Europea responsable de la Agenda Digital ha asegurado que “cuanta más gente dependa de Internet, más gente dependerá de que la red sea segura. Una red segura protege nuestros derechos y libertades y nuestra capacidad de ejercer actividades económicas. Ha llegado el momento de coordinar nuestra acción: el coste de la inacción es mucho más elevado que el de la acción.”

Directiva de seguridad en las redes (SRI)

Neelie Kroes. Anterior Vicepresidenta de la Comisión y Comisaria de Agenda Digital

El elemento central de la Estrategia de ciberseguridad es la Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI). Con esta Directiva se exigirá a todos los Estados Miembros, facilitadores de claves de internet y operadores de infraestructuras críticas ––redes sociales, comercio electrónico–– a proteger el entorno digital para convertirlo en seguro y fiable.[cita requerida] Son varias las medidas que propone la Directiva, entre ellas cabe destacar las siguientes:

  • Los Estados Miembros deberán adoptar una estrategia de SRI, junto con ella, deberán designar a una autoridad competente en la materia y dotarla de recursos financieros y humanos. Con esta autoridad se pretende prevenir, gestionar y resolver riegos e incidente de SRI.
  • La creación de un mecanismo de cooperación entre los Estados Miembros y la Comisión que permitirá difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura.
  • Será necesaria la adopción, por parte de los operadores de infraestructuras críticas de algunos sectores ––servicios financieros, transportes––, los facilitadores de servicios de la sociedad de la información ––tiendas de aplicaciones, plataformas de comercio electrónico, redes sociales–– y las administraciones públicas, de prácticas de gestión de riesgos. También deberán comunicar los incidentes significativos que se produzcan en relación con sus servicios principales. Estarán exentos de las obligaciones de gestión de riesgo y de la presentación de informes los fabricantes de hardware y software.

Los Estados Miembros tendrán que implementar la Directiva durante los 18 meses siguientes a su adopción por el Consejo y el Parlamento Europeo.

Véase también

Referencias

  1. Unión Europea, Decisión del Parlamento Europeo y el Consejo, “Programa para un Internet más seguro 2005-2008”, de 11 de mayo de 2005, Decisión nº 854/2005/CE
  2. Unión Europea, Decisión del Parlamento Europeo y el Consejo, “Programa Safer Internet 2009-2013”, de 16 de diciembre de 2008, Decisión nº 1351/2008/CE
  3. COM(2009) 149 final
  4. Unión Europea, Decisión marco del Consejo relativa a los ataques de los que son objeto los sistemas de información, de 16 de marzo de 2005 Decisión marco 2005/222/JAI DO L 69
  5. Unión Europea, Reglamento del Parlamento Europeo y el Consejo por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información, de 10 de marzo de 2004, Reglamento (CE) nº 460/2004
  6. Unión Europea, Comunicado de la Comisión, “Estrategia para una sociedad de la información segura”, de 31 de mayo de 2006, COM(2006) 251 final
  7. COM (2008) 199 final
  8. Unión Europea, Estrategia Europea de Seguridad “Europa segura en un mundo mejor”, de 12 de diciembre de 2003

Bibliografía

  • M. Ortega Carcelén. “Hacia una Estrategia Global Europea en 2013”. Real Instituto Elcano. ARI 95/2012
  • N. Robinson. “EU cyber-defence: a work in progress”. European Union Institute for Security Studies. Briefs - Nº10 2014
  • P. Pawlak. “Cyber world: site under construction”. European Union Institute for Security Studies. Brief - Nº32 2013
  • Unión Europea, Comisión Europea, comunicado de prensa de 7 de febrero de 2013, IP/13/94, “Plan de ciberseguridad de la UE para proteger una red abierta plena de libertad y de oportunidades en línea”,
  • Unión Europea, Comunicado de la Comisión, “Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, concerning measures to ensure a high common level of network and information security across the Union”, de 7 de febrero de 2013, COM(2013) 48 final.
Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.