Tema 7 grado derecho viu, Diapositivas de Derecho Internacional Público

¡Descarga Tema 7 grado derecho viu y más Diapositivas en PDF de Derecho Internacional Público solo en Docsity!

TEMA 8.

CIBERSEGURIDAD

INTRODUCCIÓN

Aunque se tiene idea general de lo que representa la ciberseguridad, se

utiliza como sinónimo de seguridad de la información, pero no es del todo

correcto.

Ciberseguridad es un componente de la seguridad de la información

aplicada a los ordenadores, tabletas, móviles o smartphones, Internet y todos

sus servicios asociados como web, email, aplicaciones en la nube, etc.

El propósito de la ciberseguridad es garantizar que se alcancen las

condiciones de seguridad de los activos de las organizaciones y de los

usuarios, así como que se actualicen dinámicamente frente a los riesgos de

seguridad en el entorno del ciberespacio.

Así, según la Unión Internacional de Telecomunicaciones (UIT), podemos

definir la ciberseguridad como:

“la recopilación de herramientas, políticas, conceptos de seguridad,

salvaguardias, directrices, enfoques de gestión de riesgos, acciones,

formación, mejores prácticas, garantías y tecnologías que puedan utilizarse

para proteger el entorno cibernético y los activos de las personas físicas y

jurídicas.”

 La información puede encontrarse de diferentes maneras, por lo tanto, sin

importar su forma o estado, la información requiere de medidas de

protección adecuadas de acuerdo con su importancia y criticidad, y éste es

precisamente el ámbito de la seguridad de la información.

 Cuando se busca proteger el hardware , redes, software , infraestructura

tecnológica o servicios, nos encontramos en el ámbito de la seguridad

informática o ciberseguridad. Cuando se incluyen actividades de

seguridad relacionadas con la información que manejan las personas,

seguridad física, cumplimiento o concientización nos referimos a

seguridad de la información.

 La seguridad de la información tiene un alcance mayor que la

ciberseguridad , puesto que la primera busca proteger la información de

riesgos que puedan afectarla, en sus diferentes formas y estados.

 Por el contrario, la ciberseguridad se enfoca principalmente en la

información en formato digital y los sistemas interconectados que la

procesan, almacenan o transmiten, por lo que tiene un mayor

acercamiento con la seguridad informática.

OBJETIVOS

 Los objetivos generales de la ciberseguridad son: confidencialidad, integridad

y disponibilidad.

 Confidencialidad: la información no puede ser divulgada indebidamente a personas,

procesos o dispositivos no autorizados

 Integridad: es la información protegida contra modificaciones no autorizadas

 Disponibilidad: con ello nos referimos al acceso seguro y confiable a los datos e

información sólo por parte de los usuarios autorizados.

Por lo tanto, sin importar los límites de cada concepto, el objetivo principal

es proteger la información , independientemente de que ésta pertenezca a

una organización o si se trata de información personal, ya que nadie está

exento de padecer algún riesgo de seguridad.

Con los avances tecnológicos que se incorporan cada vez más a nuestra vida

cotidiana, la dependencia a la tecnología aumenta, y en consecuencia lo hace

la necesidad de aplicar la ciberseguridad.

LA CIBERSEGURIDAD EN EUROPA  (^) La ciberseguridad es un asunto prioritario para la Comisión Europea. No solo aparece como uno de los pilares de los programas marco de I+D de la UE , sino que ha pasado a la agenda de los políticos comunitarios y de los Estados miembros.  (^) En los últimos años, la Estrategia de Ciberseguridad de la Unión Europea (2013) y la Agenda Europea de Seguridad (2015) proporcionan el marco estratégico general para las iniciativas de la UE sobre ciberseguridad y ciberdelincuencia. La confianza y la seguridad son también un pilar fundamental de la Estrategia para el desarrollo del Mercado Único Digital.  (^) Estas iniciativas se complementan con una propuesta legislativa técnica (conocida como Directiva NIS - Network and Information Systems-) para reforzar la seguridad de los sistemas de información de la UE (Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union).  (^) El objetivo global de la Directiva NIS es lograr un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, a fin de mejorar el funcionamiento del mercado interior.

 La norma principal en esta materia en la UE es pues la Directiva (UE)

2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 ,

relativa a las medidas destinadas a garantizar un elevado nivel común de

seguridad en las redes y sistemas de información en la Unión (habitualmente

referida como Directiva NIS/SRI o directiva sobre Ciberseguridad ).

https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016L

 De esta manera, se crean unos mínimos comunes de protección con la intención

de romper con las diferencias actuales entre los Estados en cuanto a la

ciberseguridad se refiere.

 Está norma entró en vigor el 9 de agosto de 2017, los Estados miembros de la

Unión Europea, tuvieron hasta el 25 de mayo de 2018 para adaptar sus propias

legislaciones a la nueva directiva. España lo hizo tarde. La Comisión Europea, al

comprobar que España debía haber realizado la transposición de la

Directiva NIS antes del 9 de mayo de 2018, requirió a España para que así lo

hiciera mediante el procedimiento de infracción nº2018/168. El 7 de septiembre

de 2018 se aprobó el Real Decreto-ley para la transposición de la Directiva NIS

europea sobre ciberseguridad.

 https://fundacionesys.com/en/system/files/documentos/ESTUDIO%20NIS%2BANE

XOS.pdf

 El objetivo principal de la Directiva NIS es “lograr un elevado nivel común de las

redes y sistemas de información dentro de la Unión”. La Directiva NIS establece,

principalmente, cinco medidas concretas:

 (^) Todos los estados miembros estarán obligados a adoptar una estrategia nacional de seguridad de las redes y sistemas de información. Y es que existe una gran heterogeneidad entre países que ha llevado, hasta ahora, a planteamientos fragmentados, generando desigualdades en la protección de consumidores y empresas y comprometiendo la seguridad de la Unión Europea a nivel general.  (^) Se creará un grupo de cooperación con el objetivo de formular una estrategia común y de permitir el intercambio de información entre los estados miembros.  (^) Se creará una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) que ayude a constituir una cooperación más rápida y eficaz y a que se forme un clima de confianza entre los distintos países.  (^) Se establecerán condiciones de seguridad para operadores de servicios esenciales y proveedores de servicios digitales. Aquí, se entiende por operador de servicios esenciales a cualquier entidad pública o privada que preste un servicio dependiente de redes y sistemas de información para el mantenimiento de actividades sociales o económicas. Estas entidades pueden pertenecer a distintos sectores como el energético, bancario o sanitario. En cuanto a los proveedores de servicios digitales, se refiere a toda persona jurídica que preste un servicio digital.  (^) Las autoridades nacionales de cada estado miembro tendrán obligaciones en todas las tareas relacionadas con la seguridad de redes y sistemas de información.

 La Directiva NIS afecta a dos categorías de empresas , bajo un enfoque claramente

diferenciado en términos de obligaciones impuestas a cada una de ellas:

 (^) Operadores de servicios esenciales  (^) Proveedores de servicios digitales. No todos los operadores de servicios esenciales entran en el ámbito de aplicación de la Directiva NIS. Los Estados miembros tienen la tarea de identificarles como tales.

 El segundo tipo de entidades a las que se aplica la Directiva NIS son los proveedores

de servicios digitales. Estos incluyen cualquier persona jurídica que ofrezca un

servicio digital y más específicamente un mercado en línea, un motor de búsqueda en

línea o un servicio de computación en la nube. Su regulación se justifica debido al

hecho de que muchas empresas dependen de estos proveedores para la prestación de

sus propios servicios. Señalar que la Directiva NIS no exige que los Estados miembros

identifiquen a los proveedores de servicios digitales.

Tres tipos de proveedores de servicios digitales entran dentro del alcance de la Directiva

NIS:

 (^) proveedores de mercados en línea,  (^) proveedores de motores de búsqueda en línea y  (^) distribuidores de servicios de computación en la nube.

 (^) Finalmente, la Directiva NIS se completa con el recientemente aprobado Reglamento de ejecución (UE) 2018/151 de la comisión, de 30 de enero de 2018 , por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.  (^) https://www.boe.es/doue/2018/026/L00048-00051.pdf  (^) Para que un proveedor de servicios digitales proteja la seguridad de su red y sistema de información, se debe seguir un procedimiento de notificación de incidentes. Los Estados miembros se asegurarán de que los proveedores de servicios digitales notifiquen a la autoridad competente o al CSIRT cualquier incidente con un impacto sustancial o significativo en la prestación de su servicio. Los parámetros que deben tenerse en cuenta para determinar si el impacto de un incidente es sustancial son:  (^) número de usuarios afectados por el incidente, en particular usuarios que confían en el servicio para la prestación de sus propios servicios;  (^) duración del incidente;  (^) distribución geográfica con respecto al área afectada por el incidente;  (^) alcance de la interrupción del funcionamiento del servicio;  (^) alcance del impacto en las actividades económicas y sociales.

EL REGLAMENTE EUROPEO DE CIBERSEGURIDAD