¿Cuáles son las nuevas normas de seguridad de la información EAR para la aviación de la UE? SGSI.en línea

¿Cuáles son las nuevas normas de seguridad de la información EAR para la aviación de la UE?

Por John Leyden • 7 de febrero de 2024

Las recientes revisiones de las regulaciones de ciberseguridad en toda la UE para la industria de la aviación podrían impulsar la adopción de estándares de la industria de TI como ISO 27001.

El Primer Reglas de fácil acceso (EAR) para la seguridad de la información (Parte IS) de la Agencia de Seguridad Aérea de la Unión Europea (EASA) establecen “requisitos para la gestión de riesgos de seguridad de la información con un impacto potencial en la seguridad de la aviación”. Las normas de ciberseguridad anteriores se limitaban a los OEM, a diferencia de la EAR (Parte IS), que se aplica en todo el sector de la aviación. Los plazos de cumplimiento de octubre de 2025 y febrero de 2026 se aplicarán a diferentes tipos de organizaciones, tal como se define en las leyes de apoyo de la UE.

Entre ellos se incluyen: organizaciones de mantenimiento, proveedores de gestión de la aeronavegabilidad, operadores aéreos, centros médicos aeronáuticos, organizaciones de formación de controladores de tráfico aéreo y operadores de dispositivos de simulación de vuelo. También están en la lista aeropuertos, proveedores de infraestructuras de comunicaciones, organizaciones de infraestructuras de navegación, torres aéreas y equipos de vigilancia.

Las reglas están diseñadas para garantizar que los riesgos de seguridad de la información se gestionen eficazmente dentro de la industria de la aviación, un factor importante en la seguridad en general. Ya se ha acordado la alineación con los estándares de aviación de EE. UU. y se planean actualizaciones periódicas de las Reglas de fácil acceso (Parte IS), lo que las convertirá en un conjunto de regulaciones que evolucionarán con el tiempo.

Detectar, Proteger, Responder y Recuperar

Ejecutar un sistema de gestión de seguridad de la información (SGSI) es clave para las organizaciones de aviación que necesitan cumplir con las reglas. Otros componentes importantes cubren el monitoreo de seguridad, las auditorías y las medidas que dirigen a las organizaciones hacia una mayor madurez en ciberseguridad. Ellos son:

⦁ Establecer y operar un SGSI
⦁ Implementar y mantener una política de seguridad de la información.
⦁ Identificar, revisar y remediar riesgos de seguridad de la información.
⦁ Detección de amenazas para eventos relacionados con la seguridad de la aviación
⦁ Tomar medidas correctivas para abordar los hallazgos notificados por una autoridad competente
⦁ Informes de seguridad
⦁ Monitoreo de cumplimiento
⦁ Introducir un proceso de mejora continua

Ken Munro es director ejecutivo de Pen Test Partners, una empresa de pruebas de penetración con sede en el Reino Unido que tiene clientes en el sector de la aviación. Le dice a ISMS.online que la adopción de ISO 27001 ayudará a la organización del sector de la aviación a cumplir con las nuevas regulaciones de toda la UE.

"La EAR (Parte IS) de hecho sigue bastante de cerca los estándares existentes, como ISO 27001, por lo que las organizaciones con marcos de cumplimiento existentes deberían encontrar el mapeo bastante sencillo", explica.

Sin embargo, los diferentes niveles de adopción de mejores prácticas de ciberseguridad en todo el sector podrían resultar un desafío para algunos.

“Nuestra experiencia en el sector de la aviación en su conjunto indicó niveles muy variables de madurez en materia de seguridad. Algo de esto es comprensible: ¿esperaríamos que un pequeño aeropuerto regional tuviera el mismo nivel de madurez que un gran aeropuerto central? El desafío aquí es que el viajero y su equipaje sean inspeccionados en el punto de facturación, no en el punto de transferencia, lo que puede exponer los vuelos de conexión”, explica Munro.

“Del mismo modo, ¿esperaríamos que una gran aerolínea tuviera el mismo nivel de madurez que un pequeño operador regional? Tendrán regímenes de seguridad de vuelo similares, pero es menos probable que tengan el mismo grado de régimen de ciberseguridad”.

Por lo tanto, encontrar una manera de fortalecer estos eslabones débiles de la cadena en todo el sector de la aviación es un desafío.

¿Turbulencias por delante?

Las nuevas reglas dan algunos ejemplos de aplicabilidad en términos de su alcance, aunque son "un poco escasas de detalles" en comparación con otros esquemas como CAA ASSURE, según Munro.
El esquema CAA ASSURE (Cyber Audit) es un modelo de auditoría de terceros desarrollado por la Autoridad de Aviación Civil (CAA) del Reino Unido en asociación con CREST.

"Esta [falta de detalles en EAR] parece un poco contradictoria con el esquema CAA ASSURE, que hace un esfuerzo significativo para identificar sistemas críticos en aerolíneas y aeropuertos", explica Munro. “Esto ha ayudado a los operadores a centrar sus esfuerzos en los sistemas que podrían afectar la seguridad de los vuelos o impedir el despacho de vuelos. Cualquiera de los dos podría tener importantes impactos en la seguridad”.

Munro concluye: “Se intenta dar algunos ejemplos de ataques potenciales en el Apéndice 1, pero parece una selección bastante aleatoria y omite numerosas áreas importantes. El riesgo aquí es que las organizaciones se centren en los ejemplos dados a expensas de otras áreas”.

Hugo Teso, piloto comercial y experto en ciberseguridad aeronáutica, actuó como experto externo en el proceso que condujo al desarrollo del reglamento. En una respuesta En LinkedIn, dice que las regulaciones van más allá de "simplemente exigir un SGSI" para las organizaciones dentro del alcance.

El documento de respaldo de 278 páginas que describe la Parte IS de EAR y su alcance posiciona al SGSI como un componente clave, pero de ninguna manera es el único paso para cumplir.

Preparándose para el despegue

Sin embargo, según otros expertos, la ISO 27001 es un buen punto de partida.

"Mientras las empresas aeroespaciales se preparan para las próximas regulaciones de ciberseguridad de la aviación de la UE EASA EAR Part-IS, uno de los primeros pasos que pueden tomar es establecer un SGSI que cumpla con la norma ISO 27001", argumenta Sam Peters, director de productos de ISMS.online.

"Al trabajar proactivamente para lograr el cumplimiento de la norma ISO 27001 ahora, las organizaciones aeroespaciales pueden obtener una ventaja en el cumplimiento de los requisitos de EASA y demostrar a los reguladores que se están tomando en serio la ciberseguridad".

Peters continúa trazando un plan de acción para los gerentes de cumplimiento y los responsables de la ciberseguridad en el sector de la aviación.

"La primera fase sería definir el alcance del SGSI en función de los servicios y activos de aviación de la empresa que estarán bajo la supervisión de EASA", afirma.

“Una evaluación de riesgos integral puede identificar vulnerabilidades cibernéticas y mapear los controles apropiados de ISO 27001 para fortalecer las defensas en áreas críticas. Se deben priorizar aspectos como políticas de control de acceso, gestión de proveedores, planes de respuesta a incidentes y capacitación en seguridad del personal”.

Independientemente de los requisitos de EAR Part-IS, convertirse en ISO 27001 otorgará beneficios comerciales a los proveedores del sector de la aviación.

“Un beneficio adicional de adoptar ISO 27001 es que requiere un enfoque holístico y basado en procesos para la seguridad de la información. Esto convierte al SGSI en un sólido impulsor de negocios, que permite a las empresas aeroespaciales identificar ineficiencias, reducir el riesgo y tomar decisiones de inversión basadas en datos en toda la organización”, concluye.

“A medida que se acerca la fecha límite para el cumplimiento de EASA EAR Part-IS, seguir los marcos establecidos de ISO 27001 ayudará a las organizaciones aeroespaciales a demostrar a los auditores de EASA que han implementado un SGSI maduro adaptado a los riesgos cibernéticos únicos de la industria de la aviación. Tomar estas medidas proactivas hoy hará que el proceso de cumplimiento sea más sencillo mañana”.

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

Privacidad de datos 22 de septiembre de 2024

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. Ha transformado las aplicaciones, incluyendo la gestión de datos...

Juan Leyden

La seguridad cibernética 20 de junio de 2024

Por qué los proveedores pueden tener dificultades para mantener el cartel de impulso "seguro por diseño"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Numerosos proveedores de tecnología se han adherido al compromiso de Seguridad por Diseño, respaldado por el gobierno estadounidense. Pero, ¿marcará este compromiso una ruptura con el pasado?

Juan Leyden

La seguridad cibernética 28 May 2024

decodificando la nueva guía del ncsc para el banner scada alojado en la nube

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que operan desde plantas de energía hasta hospitales inteligentes...

Juan Leyden