Page 119 - Revista Auditoria Pública nº 83
P. 119
Recomendaciones de la Agencia Europea de Ciberseguridad ante incidentes de seguridad en el sector sanitario
Los servicios proactivos están diseñados para detec- E. Educación en ciberseguridad.
tar y prevenir ataques antes de que haya un impacto
real en los sistemas de producción. En esta categoría Las actividades en el área de educación y conciencia ge-
de servicios, la información generada por los equipos neral buscan promover las habilidades NIS y apoyar a la
CSIRT se difunde a su sector correspondiente para Comisión para mejorar las habilidades y la competencia
evitar ser blanco de un ataque. de los profesionales en esta área. Dentro de esta función
se encuentra el European Cyber Security Challenge . Los
4
Servicios de gestión de la seguridad para revisar y concursantes resuelven desafíos relacionados con la se-
mejorar la posición de seguridad de las organizacio- guridad de dominios como: seguridad web y de red se-
nes de un sector. (análisis de riesgo, planificación de guridad móvil, cripto rompecabezas, ingeniería inversa y
BC y DR, conciencia de seguridad y formación). forense digital.
F. Protección de datos.
C. Gestión de crisis cibernéticas.
En el mundo actual de servicios digitales, redes sociales
ENISA trabaja con la UE, los Estados miembros, la Co- e Internet de las cosas, estamos experimentando una
misión Europea y otras agencias para ayudar a prevenir o recopilación a gran escala sin precedentes y un mayor
responder de manera efectiva a los incidentes y crisis de procesamiento de datos personales. Esta nueva sociedad
seguridad cibernética. Ha estado apoyando el campo de basada en datos pres extendidas de vigilancia electrónica,
la gestión de crisis e incidentes cibernéticos europeos creación de perfiles y divulgación de información privada.
durante varios años, con actividades como: simulaciones
de crisis, entrenamientos, apoyo a los Estados miembros G. Informe de incidentes.
para desarrollar sus planes y estructuras de crisis, confe-
rencias internacionales y estudios en ciberseguridad. Un instrumento importante de la legislación de ciberse-
Por tanto, la Agencia de la Unión Europea para la Ciber- guridad de la UE son los informes de incumplimiento de
seguridad se ha convertido en el referente de la gestión ciberseguridad. La notificación de violaciones de seguri-
de crisis cibernéticas a nivel de la UE. Trabaja en estrecha dad cibernética es importante no solo para los ciudada-
colaboración con los Estados miembros para desarrollar nos sino también para ayudar a las autoridades naciona-
procedimientos de gestión de crisis cibernéticas, a nivel les con sus tareas de supervisión. En la UE existen varias
de la UE, para mejorar el conocimiento de una situación leyes diferentes sobre denuncias de incumplimiento. En
concreta de crisis en caso de incidentes cibernéticos 2018 entró en vigor la Directiva de la UE sobre seguridad
transfronterizos, para ayudar tanto a nivel nacional como de redes y sistemas de información (llamada Directiva
a nivel de la UE a adoptar las medidas correctoras más NIS), que introdujo reglas de notificación de incidentes de
oportunas. También ejecuta simulaciones y ejercicios de ciberseguridad para operadores de servicios esenciales en
crisis y ofrece entrenamientos sobre este tema. una amplia gama de sectores críticos, como la energía, el
transporte, finanzas y salud. Recientemente, el 27 de di-
ciembre de 2022 se publicó la Directiva (UE) 2022/2555,
D. Ejercicios cibernéticos. del Parlamento Europeo y del Consejo, de 14 de, diciem-
bre de 2022, conocida como NIS 2, relativa a las medidas
Una gran parte de los esfuerzos de la Agencia para el destinadas a garantizar un elevado nivel común de ciber-
desarrollo capacidades de prevención se centran en los seguridad en toda la Unión. Esta Directiva establece obli-
ejercicios cibernéticos. Las siguientes son algunas de las gaciones de ciberseguridad para los Estados miembros,
actividades de ejercicio cibernético: programa de ciber medidas para la gestión de riesgos de ciberseguridad y
Europa, plataforma de ejercicio cibernético (CEP), entre- obligaciones de notificación para las entidades en su ám-
namientos y estudios. bito de aplicación, obligaciones relativas al intercambio de
4 Se trata del mayor campeonato técnico a nivel europeo en materia de ciberseguridad, en el que compiten los mejores jóvenes talentos de los diferentes países participan-
tes, seleccionados a través de sus diferentes competiciones nacionales. Los concursantes resuelven desafíos relacionados con la seguridad de dominios como: seguridad
web y de red seguridad móvil, cripto rompecabezas, ingeniería inversa y forense digital. Así, INCIBE organiza anualmente una competición específica para la confeccionar
el equipo nacional. En 2016 y 2017, la selección española fue la vencedora de esta competición, convirtiéndose en referencia en materia de ciberseguridad. Asimismo, la
edición de 2017 que tuvo lugar en Málaga (España), fue organizada por INCIBE y contó con una gran participación de selecciones nacionales.
119
