El plan de ciberseguridad europeo despierta el recelo de la industria
Las nuevas normas sobre ciberseguridad de la Unión Europea espera que las empresas informen a las autoridades sobre violaciones de datos o incidentes de seguridad.
Esta semana la Comisión Europea ha publicado su esperada Estrategia sobre Ciberseguridad, una directiva que posteriormente cada país tendrá que implementar y adaptar a sus propias circunstancias y cuyo objetivo es establecer un nivel de seguridad mínimo en toda la Unión Europea. Representa, además, la visión de la Unión europea de cómo impedir y responder a los ciberataques.
Las tres propuestas clave de la Directiva NIS (network information security) son que cada país adopte una estrategia de ciberseguridad y una autoridad competentes; debe crearse un mecanismo de cooperación para compartir información sobre seguridad en toda la Unión Europea y que los operadores de infraestructuras críticas, como energía y transporte, y los proveedores de servicios (plataformas de comercio electrónico, redes sociales, motores de búsqueda, cloud, webmail, etc), además de las administraciones públicas, adopten las medidas necesarias para gestionar sus riesgos de seguridad e informen sobre los incidentes de seguridad que sufran a las autoridades nacionales competentes.
Esta última medida es la que despierta más recelos. Afectaría a empresas de la talla de Facebook, Google, Microsoft, Dropbox, etc. Muchas de ellas opinan que informar sobre una brecha de seguridad o confesar que han sido objetivo de un ciberataque minaría su reputación. Y lo que resulta tan curioso es que pongan pegas a la directiva europea cuando, americanas como son la mayoría, están obligadas en sus países a informar sobre los problemas de seguridad que sufran.
Claro que además de afectar a su reputación, la directiva planea imponer multas a las empresas que pierdan datos de sus usuarios, lo que hará que tengan que tener un cuidado extremo con las medidas que toman para asegurar sus datos sensibles. Esta medida coloca en una difícil situación a las 23 millones de pymes que se calcula que hay en Europa, y que normalmente tienen menos recursos para blindarse contra posibles problemas de seguridad. Por no hablar de que muchas de ellas ni siquiera estarían en condiciones de saber si han sufrido una brecha de seguridad.
¿Quiénes son, por tanto, los grandes beneficiados de la nueva directiva? Primero los usuarios, cuyos datos se guardarán con mucho más cuidad y que serán informados en caso de problemas. Las empresas de seguridad también salen beneficiadas, ya que llevando sus propuestas a cada segmento del mercado, incrementarán sus ventas.
Algunas compañías están encantadas, como Symantec, que a través de un comunicado de prensa da la bienvenida a la estrategia de la Unión Europea. “Symantec siempre ha puesto de relieve la necesidad de que los gobiernos y los responsables políticos hagan de la seguridad de la información una prioridad política pública de primer orden, tanto a nivel nacional como a nivel europeo”, ha dicho la empresa de seguridad, para quien la propuesta “es el comienzo, no el final, del proceso democrático en la UE, y es un paso en la dirección correcta”.
Huawei también ha hecho público su apoyo a la directiva. “Las amenazas cibernéticas no se detienen en las fronteras nacionales y tampoco los esfuerzos para proteger nuestras redes y sistemas. En Huawei, creemos que un enfoque internacional en el que todos los interesados tengan una parte de responsabilidad es un requisito previo para hacer frente a este reto global”, afirmó Leo Sun, Presidente del Departamento de Relaciones Públicas y Comunicación de Huawei en Europa.