La Unión Europea continúa sus esfuerzos para fortalecer la resiliencia cibernética en todo el bloque mediante la adopción Nuevas modificaciones a la Ley de Ciberseguridad (CSA) que exigen esquemas de certificación para servicios de seguridad gestionados.
Estos cambios crearán nuevas obligaciones de cumplimiento para los proveedores y los usuarios finales de servicios de ciberseguridad, como plataformas de respuesta a incidentes y pruebas de penetración. Pero por más tediosos que puedan resultar estos cambios regulatorios, los expertos sostienen que podrían reforzar las defensas cibernéticas y la competitividad de muchas empresas afectadas.
Un régimen de ciberseguridad más estricto
Según Phil McGowan, ingeniero de sistemas en la plataforma de ciberseguridad administrada CazadoraLas próximas modificaciones de la CSA alterarán significativamente la forma en que las empresas implementan estrategias de ciberseguridad y cumplen con sus obligaciones de cumplimiento en el futuro previsible.
En concreto, afirma que estos cambios pondrán “mayor énfasis en la gestión proactiva de riesgos, la transparencia y la responsabilidad” en medio de un panorama de amenazas cibernéticas en constante evolución.
Agrega que, como resultado, las empresas probablemente enfrentarán más presión para proteger información confidencial, informar las violaciones de ciberseguridad de manera oportuna y demostrar el cumplimiento realizando auditorías de seguridad y adquiriendo certificaciones de la industria.
McGowan le dice a ISMS.online: “En esencia, las modificaciones están diseñadas para garantizar que las organizaciones prioricen la ciberseguridad como un problema de TI y un componente crítico de su resiliencia empresarial general y su estrategia operativa”.
¿Disfrutas de este artículo?
También te podría gustar este episodio de podcast
Según Ralph Arrate, socio de inteligencia artificial y ciberseguridad de un bufete de abogados Spencer West LLPEstas enmiendas, junto con nuevas leyes como la Ley de Resiliencia Operativa Digital, la Ley de Resiliencia Cibernética y la Directiva NIS2, son una clara indicación de que la UE está reforzando su supervisión de las cuestiones de ciberseguridad en la región.
Arrate cree que establecerán un régimen de ciberseguridad sólido y consistente que tiene como objetivo mejorar la confianza en los productos y servicios tecnológicos entre las empresas europeas.
Explica que la UE espera lograrlo haciendo de las certificaciones un requisito importante para los productos, servicios y procesos digitales. En la práctica, esto significa que las empresas tendrán que realizar una “revisión exhaustiva de las medidas de seguridad existentes”.
A pesar del Brexit, estas normas también afectarán a muchas empresas con sede en el Reino Unido. Arrate afirma que las empresas británicas con operaciones y socios comerciales en Europa se verán obligadas a adoptar un "enfoque meticuloso" en materia de seguridad informática y gestión del ciclo de vida de los productos.
Manténgase al tanto de los titulares con el boletín de IO
Recibe un resumen mensual de toda la información, privacidad y novedades sobre ciberseguridad directamente en tu bandeja de entrada.
Aunque algunos empresarios del Reino Unido pueden considerar estas normas como un dolor de cabeza regulatorio, podrían ser beneficiosas a largo plazo. Según Arrate, obtener una Certificación de Ciberseguridad de la UE (EUCC) podría ayudarles a “obtener una ventaja competitiva”, ya que es un signo de “calidad y fiabilidad”.
Pero algunos proveedores de TI pueden ser menos optimistas sobre las modificaciones, y Arrate sostiene que “traerán más burocracia”. Y añade: “Muchos actores de este sector ya cumplen con las normas NIST o ISO de EE. UU., que no se corresponden exactamente con los nuevos requisitos de EUCC”.
Sean Wright, jefe de seguridad de aplicaciones en la plataforma de gestión de fraudes y delitos financieros Espacio de características, considera las modificaciones de la CSA como un avance positivo para las empresas y el panorama más amplio de la ciberseguridad.
Dice que muchas organizaciones actualmente gastan sumas “extraordinarias” en productos de ciberseguridad que no ofrecen los beneficios publicitados, lo que da a las empresas una “falsa sensación de seguridad”.
Sin embargo, Wright confía en que las normas consolidadas, como las nuevas normas de la CSA, combatirán este problema al garantizar que los productos certificados cumplan su función prevista. Continúa:
Además, contar con un proveedor de servicios confiable y en el que se puede confiar permite a las organizaciones delegar algunos de los aspectos complejos de la seguridad de la información a quienes están mejor preparados para gestionarlos.
Cumplimiento de estas modificaciones
Arrate afirma que, en lo que respecta al cumplimiento de estas normas, las empresas deben evaluar primero si están dentro de su ámbito de aplicación. Explica que las modificaciones en cuestión están dirigidas a las empresas que ofrecen servicios de seguridad gestionados, 5G, aplicaciones informáticas y otros productos y servicios digitales.
Las empresas afectadas deberían entonces auditar los procesos de ciberseguridad existentes y compararlos con los requisitos establecidos por esta legislación. De esta manera, según Arrate, las organizaciones podrán detectar cualquier debilidad en sus defensas cibernéticas y abordarlas en consecuencia para evitar acciones regulatorias. Arrate también alienta a las empresas a ponerse en contacto con los organismos de certificación lo antes posible porque es la clave para comprender los requisitos de los diferentes esquemas.
Otras recomendaciones clave de Arrate incluyen la adopción de principios de seguridad desde el diseño en todas las etapas de desarrollo de productos, la colaboración estrecha con los proveedores en materia de estándares de seguridad de la cadena de suministro y la implementación de un plan integral de respuesta a incidentes. Lo más importante es que insta a las empresas a supervisar estos requisitos a medida que evolucionan para garantizar el cumplimiento de las normas más recientes.
A medida que las empresas implementan actualizaciones de software, realizan procedimientos de ciberseguridad y responden a incidentes, Spencer Starkey, vicepresidente ejecutivo de EMEA en la empresa estadounidense de ciberseguridad SonicWall—dice que es vital que documenten todos estos pasos para cumplir con la CSA. Él dice: “Esta documentación es crucial durante las auditorías regulatorias, ya que demuestra el compromiso de la empresa con las mejores prácticas de ciberseguridad”.
Dado que el error humano es una de las principales causas de los incidentes de ciberseguridad, Starkey afirma que las empresas de todos los tamaños deberían educar a sus empleados sobre las últimas amenazas en línea y cómo abordarlas. Considera que esto es un requisito previo para el "cumplimiento efectivo de las modificaciones de la CSA".
La importancia de los marcos estructurados
Cumplir con las nuevas regulaciones, como las modificaciones de la CSA, puede ser una tarea abrumadora para muchas empresas. Sin embargo, existen diferentes formas de agilizar este proceso, como marcos y software profesionales.
Adoptar un estándar industrial como ISO 27001 es una excelente opción para las empresas Los cambios de la CSA impactan a las empresas porque les ofrece una forma uniforme de manejar los problemas relacionados con la seguridad de la información, argumenta Nick Palmer, ingeniero de soluciones en gestión de superficies de ataque y expertos en soluciones de búsqueda de amenazas. en Censys.
Continúa: “La certificación demuestra la adhesión a las mejores prácticas globales, agiliza las auditorías y reduce la duplicación de esfuerzos a la hora de cumplir con estándares superpuestos, lo que hace que el cumplimiento normativo sea más eficiente y eficaz”.
El software de ciberseguridad más reciente también puede reducir la complejidad del cumplimiento normativo al ofrecer configuraciones preconfiguradas, automatización y alta escalabilidad, todo lo cual es coherente con los requisitos normativos, afirma Palmer. “Pueden ayudar a centralizar la detección, el monitoreo y la respuesta ante amenazas, eliminando la necesidad de que las empresas desarrollen y mantengan estas capacidades internamente”.
Palmer afirma que las plataformas de ciberseguridad también pueden garantizar la preparación para las últimas normas al proporcionar actualizaciones de software en tiempo real, integraciones con estándares y soporte al cliente para ayudar a las empresas a navegar por los cambiantes panoramas regulatorios y de amenazas. Continúa: “Además, como en los puntos anteriores, aquellos proveedores que ofrecen soluciones con el cumplimiento de la CSA ya incorporado tendrán una ventaja significativa”.
Implicaciones más amplias
Las modificaciones de la CSA sin duda tendrán grandes implicaciones para el panorama de la ciberseguridad y el mundo corporativo en los próximos años. En una nota positiva, Arrate predice que su naturaleza estricta y uniforme “elevará el nivel básico de seguridad en todas las industrias”. Explica: “Las empresas ahora se ven obligadas a integrar la ciberseguridad como una consideración central, lo que a su vez fortalece el ecosistema digital en su conjunto”.
Ilona Cohen, directora jurídica y de políticas de la plataforma de divulgación de vulnerabilidades y recompensas por errores HackerOne, coincide en que las certificaciones tienen el potencial de mejorar el resultado de los procesos de ciberseguridad a nivel de todo el bloque.
Sin embargo, esto depende de lo bien que estén diseñadas, algo que Cohen admite que no es sencillo, ya que las mejores prácticas de la industria cambian constantemente. Ella afirma: “ENISA [la Agencia de la Unión Europea para la Ciberseguridad] también debe garantizar la alineación con las muchas, muchas políticas de ciberseguridad que la UE ha aprobado en los últimos años, como CRA, DORA y NIS2”.
¿Cómo pueden los reguladores europeos superar estos desafíos y garantizar que sus sistemas de certificación sean adecuados para sus fines? Cohen les pide que obliguen a los proveedores de servicios gestionados a adoptar las mismas prácticas recomendadas que se espera que sigan otros sectores clave. “Esto incluye establecer programas de divulgación de vulnerabilidades (VDP) sólidos, implementar las mejores prácticas de autenticación y garantizar la protección de datos”, afirma.
En general, los próximos cambios en la CSA parecen una decisión inteligente para la Unión Europea, en un contexto de crecientes ambiciones de crear un mercado único digital. Para los proveedores de tecnología, ofrecer productos de seguridad certificados les ayudará a diferenciarse de sus competidores.
Mientras tanto, los usuarios finales obtienen una mayor tranquilidad de que recibirán un retorno de sus inversiones en TI. Por supuesto, algunos verán estos cambios como otra capa de burocracia, pero es ahí donde los estándares establecidos de la industria y los productos SaaS pueden ayudar al agilizar los procesos de cumplimiento.
