La apertura del Parlamento es un evento repleto de pompa y ceremonia, algo que Gran Bretaña aún domina mejor que ningún otro país. Sin embargo, no destaca tanto a la hora de ofrecer detalles concretos sobre la legislación que se avecina. El discurso del rey El gobierno actual mantiene la información deliberadamente ambigua para garantizar cierta flexibilidad en sus planes. Dicho esto, existen algunas señales claras sobre lo que podemos esperar en los próximos meses. Y, de forma inusual en esta sesión parlamentaria, la ciberseguridad ocupa un lugar central en varios proyectos de ley.
Desde tarjetas de identificación digital y nuevos mandatos de ciberseguridad hasta una mayor integración con la normativa europea, este año hay mucho que mantener ocupados a los equipos de seguridad y cumplimiento normativo. Aquí les presentamos un resumen de las propuestas más destacadas:
Proyecto de ley sobre ciberseguridad y resiliencia
La tan esperada actualización del Reglamento NIS 2018 sigue su curso en el parlamento, con la expectativa de que se convierta en ley antes de fin de año. Proyecto de ley sobre ciberseguridad y resiliencia La CSRB aumentará el número de organizaciones sujetas a su normativa, incluyendo a los proveedores de servicios gestionados (MSP) y a los operadores de centros de datos. Exigirá nuevas medidas de seguridad «apropiadas y proporcionales», como una mejor notificación de incidentes y una gestión de riesgos en la cadena de suministro. Además, incrementará las sanciones máximas por incumplimiento.
Sin embargo, el número de sectores que se rigen por el nuevo régimen regulatorio sigue siendo pequeño, en comparación con la NIS2 europea. Spencer Starkey, vicepresidente ejecutivo de SonicWall para EMEA, declaró a IO (anteriormente ISMS.online) que la mayor parte de la economía del Reino Unido permanece intacta.
«La Directiva NIS2 de la UE ya abarca un ámbito más amplio, incluyendo la fabricación, la producción de alimentos y los productos químicos, sectores que la CSRB no contempla. Esto significa que las multinacionales podrían estar realizando ya las tareas más complejas para las que la CSRB no está diseñada», sugiere. «La verdadera apuesta del gobierno reside en la presión sobre la cadena de suministro: que las organizaciones reguladas auditen y gestionen los estándares cibernéticos de sus proveedores, reduciendo los requisitos mínimos sin legislar directamente sobre todos».
El gobierno también ha anunciado un Iniciativa de compromiso de ciberresilienciaEn este documento se pide a las grandes empresas que se comprometan a exigir Cyber Essentials a todos sus proveedores, entre otras cosas. Esto también podría ayudar a mejorar la seguridad básica de las empresas del Reino Unido, aunque, según Starkey, «los compromisos voluntarios solo funcionan cuando se aplican comercialmente».
Proyecto de Ley de Acceso Digital a los Servicios
Esto introducirá por primera vez en el Reino Unido un controvertido sistema voluntario de identificación digital. El gobierno intenta convencer a una ciudadanía escéptica presentándolo como una tecnología que ahorra tiempo, reduce la burocracia y mejora los servicios públicos. Para las empresas, también podría resultar beneficioso si reduce el volumen de registros que necesitan almacenar y procesar para verificar la identidad de sus clientes. En teoría, podría reducir el fraude de identidad e incluso agilizar el proceso de evaluación de proveedores de identidad externos.
Sin embargo, según Phil Cotter, CEO de SmartSearch, la clave estará en los detalles. «Si integra una sólida biometría y detección de vitalidad en los puntos de pago críticos, podría reducir significativamente el fraude basado en la identidad», afirma. «Si está mal diseñado, corre el riesgo de convertirse en una credencial más que puede ser robada o manipulada mediante ingeniería social, creando una ilusión de seguridad sin brindarla realmente».
También es necesario responder preguntas sobre cómo se implementará el plan en la práctica.
«Si un único sistema se convierte en el estándar para las identidades nacionales tanto en los servicios públicos como en los financieros, se convertirá en un objetivo de alto valor», advierte Cotter. «Un fallo o una concesión no serían casos aislados, sino que podrían tener un efecto dominó en toda la economía».
Proyecto de Ley de Seguridad Nacional
Además de regular el contenido violento en línea, la parte más importante del proyecto de ley desde una perspectiva cibernética son las reformas propuestas a la Ley de Uso Indebido de Computadoras de 1990. Creada antes incluso de que la web existiera en su forma actual, la ley ha sido ampliamente criticada por no proteger a los investigadores de ciberseguridad de ser acusados de ilegalidad. Las nuevas propuestas abordarán estas deficiencias, brindando cobertura legal para la investigación de vulnerabilidades, las pruebas de penetración y otras actividades.
«La esperanza es que adoptemos un modelo de investigación abierto donde todo sea válido siempre y cuando se informe correctamente», declaró William Wright, director ejecutivo de Closed Door Security, a IO. «Esto brindará a todos la oportunidad de medir los riesgos por sí mismos y a los investigadores y cazadores de amenazas un entorno más abierto para operar, lo que redundará en un mejor ambiente para todos».
Michael Jepson, gerente de pruebas de penetración en CybaVerse, añade que esto podría incentivar a los SOC a actuar en función de la información recibida en lugar de ignorarla, y facilitar y agilizar la verificación de proveedores. «La seguridad de la cadena de suministro podría reforzarse con los cuestionarios estándar y los informes SOC2, lo que permitiría a las organizaciones verificar las afirmaciones que los proveedores hacen por escrito», explica a IO.
Proyecto de Ley de Modernización del NHS
Las reformas integrales diseñadas para mejorar la atención al paciente incluyen propuestas para un registro único del paciente (RPP). Esto representa un riesgo de seguridad potencialmente enorme, dada la información personal y médica que podría contener, argumenta Muhammad Yahya Patel, CISO de Huntress.
«En el momento en que los datos se unifican y se puede acceder a ellos a través de una única vía de acceso, se convierten en uno de los objetivos más atractivos de toda la infraestructura digital del Reino Unido», explica a IO. «Los ciberdelincuentes han seguido atacando al NHS y a proveedores clave a lo largo de los años. El SPR cambia radicalmente el alcance de cualquier intrusión exitosa».
Según Patel, será necesario realizar evaluaciones de riesgos para subsanar las deficiencias en materia de seguridad, procedimientos y procesos, y adoptar enfoques de confianza cero para la identidad y el acceso con el fin de reforzar la confianza pública. Añade que esto podría contribuir a reforzar la seguridad de la cadena de suministro del NHS, que ya exige la certificación Cyber Essentials Plus.
«Cada organización que interactúa con el SPR, ya sea proporcionando infraestructura, software o servicios de integración de datos, pasa a formar parte del perímetro de seguridad por definición», afirma Patel. «Esto genera una necesidad práctica para el NHS de comprender y gestionar la postura de seguridad de toda esa cadena».
Las reformas también incluyen la abolición del NHS England y la transferencia de funciones al Departamento de Salud y Asistencia Social (DHSC). Esto podría contribuir a mejorar la rendición de cuentas desde una perspectiva regulatoria y de gobernanza, aunque también podría generar fricciones burocráticas, advierte Patel. «En combinación con los plazos obligatorios para la notificación de incidentes y el marco de sanciones de la CSRB, existe al menos una estructura de aplicación más clara que la que existía anteriormente», afirma.
Proyecto de Ley de Asociación Europea
Diez años después del Brexit, el gobierno parece haber comprendido que el Reino Unido no puede forjar su propio camino en materia de regulación sin, al menos, alinearse con sus vecinos continentales. El proyecto de ley de la Asociación Europea tiene como objetivo fortalecer los lazos con la UE para impulsar el comercio y reducir la burocracia.
«El gobierno tendrá la potestad de incorporar rápidamente a la legislación británica las normativas en constante evolución del Mercado Único sin necesidad de una votación parlamentaria completa y tradicional para cada actualización», explica James Clark, socio de Spencer West LLP. Si bien las áreas prioritarias para la armonización son la alimentación y las bebidas, el comercio de energía y emisiones, y la movilidad juvenil, el sector digital y la ciberseguridad podrían seguirles, según declara a IO.
Podría argumentarse que la introducción de trámites burocráticos adicionales por parte de la UE ha creado una ventaja competitiva para el Reino Unido, un mercado con regulaciones menos estrictas. Sin embargo, en realidad, muchas empresas operan en ambos mercados, lo que significa que la influencia de la normativa europea sigue teniendo un impacto significativo en la economía británica —continúa Clark—. Es un hecho innegable que la mayoría de las empresas que operan internacionalmente prefieren la mayor uniformidad posible en cuanto a estándares.
Sin embargo, no está claro cómo funcionaría una alineación más estrecha en materia cibernética, dado que divergencia entre NIS2 y CSRB“Mientras tanto, actualmente no existe un equivalente directo a la Ley de Resiliencia Cibernética de la UE, que exige que los productos de hardware y software cuenten con estándares de seguridad desde el diseño, actualizaciones obligatorias y gestión de vulnerabilidades a lo largo de todo su ciclo de vida”, señala Clark.
Mucho más por venir
Como suele ocurrir con el gobierno, algunas de estas propuestas sin duda quedarán archivadas discretamente, mientras que otras no mencionadas en el Discurso del Rey saldrán a la luz. Todavía es pronto para saber si los profesionales de la ciberseguridad se verán afectados por otras leyes propuestas en el discurso, como el Proyecto de Ley para Combatir las Amenazas Estatales y el Proyecto de Ley de Independencia Energética. IO seguirá de cerca el desarrollo de esta sesión parlamentaria.
