ECSM - Recommendations for ALL - ES

Published under European Cybersecurity Month

El Mes Europeo de la Ciberseguridad (ECMS por su sigla en inglés) es una campaña de defensa de intereses de la UE que se desarrolla en el mes de octubre. Promueve la sensibilización sobre la ciberseguridad entre los ciudadanos. Tiene por objetivo MODIFICAR las percepciones de las ciberamenazas en la vida diaria, tanto en el trabajo como en la actividad particular.

Seguridad de las redes y de la información para educadores

Objetivo

Se destina a los educadores, entendiendo por tales los formadores, profesores y participantes en la educación formal y no formal, incluido el aprendizaje permanente. La importante función de los educadores no debe omitirse en ninguna relación de partes interesadas en las TIC.

Consejos sobre seguridad de las redes y de la información para educadores

Los resultados de una encuesta de ENISA indican que, para conseguir una «sesión óptima», un educador debe prever una breve introducción y ejercicios prácticos, así como incluir casos y ejemplos tomados de la vida real; una sesión de «inmersión» completa puede incluir: actividades de dramatización, ejercicios de simulación, actividades de trabajo en equipo, un juego de simulación como parte de los exámenes y una combinación de buenos vídeos.
Retos que deben superarse:
Comprender que el uso de la tecnología conlleva riesgos y que estos no solo son personales, sino que pueden repercutir también en los demás. Es importante comprender la tecnología y no solo utilizarla.
Reconfigurar las relaciones y comportamientos humanos reales en Internet: netiqueta.
Tener presente la multidisciplinariedad (conocimientos jurídicos, técnicos, organizativos, etc.)
Modelo de intermediación en la seguridad de las redes y de la información para educadores.

Recomendación

Recomendamos el despliegue de una actitud «posibilista» por parte de los educadores y los alumnos.
Buscar la cooperación público-privada para financiar y elaborar materiales y sesiones actualizados.

Más información: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Formación en seguridad de las redes y de la información para empleados

Objetivo
La formación es un elemento esencial para mantener informados de las últimas novedades en este campo tanto a los expertos en seguridad de la información como a los empleados y mejorar su aptitud para combatir las amenazas de manera rentable.

Consejos

La seguridad de la información es en la actualidad un tema candente, debido a su rápido desarrollo y a que afecta de un modo u otro a la vida de todos. La gente necesita tener acceso a recursos, tutoriales, documentos cortos y concretos sobre determinadas tareas y actividades de formación específicas referidas al modo de mantener un nivel aceptable de seguridad y de protección de la intimidad en el desempeño de sus actividades diarias, cada vez más dependientes de las tecnologías de la información.
En lo que respecta a la protección de los servicios vitales y las infraestructuras de comunicación que nos garantizan agua potable, electricidad y capacidad de comunicación, tenemos necesidad de expertos que puedan arreglar averías, resolver problemas y prestar asesoramiento. Hay una elevada demanda de servicios relacionados con la seguridad de la información, como los de gestión de incidentes, alerta, advertencias y análisis de artefactos, cuando surge la necesidad. Tenemos necesidad de un Equipo de respuesta ante emergencias informáticas en numerosas ocasiones (http:/www.enisa.europa.eu/activities/cert/ ). Puesto que cada equipo es tan fuerte como lo son sus miembros, existe una necesidad constante de mantener actualizada la base de conocimientos de los empleados, los responsables de las respuestas y los formadores de manera que puedan reaccionar ante las amenazas más recientes y mitigarlas de la forma más rápida y eficiente.
Desde el punto de vista del formador, la actuación como instructor le brinda una excelente oportunidad de salir «a la calle» y vivir la realidad desde perspectivas diferentes, ya que la comunicación en el aula debe ser bidireccional. La experiencia y unos conocimientos actualizados son imprescindibles para lograr la confianza de la audiencia, ya que esta, como nos dice la información facilitada en las propias sesiones formativas, valora muy positivamente los ejemplos y casos de uso tomados de la vida real.
Para transmitir información a la audiencia pueden emplearse diferentes metodologías, como la organización de seminarios y de eventos específicos o la simple facilitación del acceso a material de autoestudio. Uno y otro enfoque tienen sus ventajas. El autoestudio puede favorecer la flexibilidad y reducir el coste global, mientras que el formato tipo seminario alienta la comunicación y ofrece a las personas una oportunidad excelente para compartir sus experiencias y conocimientos.

Recomendación

ENISA viene ofreciendo actividades de formación in situ para apoyar a los Equipos de Respuesta ante Emergencias Informáticas, y publica en su sitio web otro material formativo relativo a las capacidades de otras comunidades operativas.

Más información: http://www.enisa.europa.eu/activities/cert/support/exercise

Actualizaciones del software

Objetivo

ENISA advierte sobre los riesgos del uso de software descatalogado, debido no solo a la falta de apoyo del fabricante, sino también de terceros como los productores de antimalware u otros tipos de software o los fabricantes de periféricos. En estas condiciones persiste la exposición a las vulnerabilidades y se hace imposible actualizar los periféricos o las aplicaciones de terceros.

Consejos

El uso de software descatalogado implica la exposición a los siguientes riesgos:
Los usuarios finales no pueden verificar la integridad del software por la posible expiración de la firma de los certificados; la falta de verificación de la integridad del paquete de software puede exponerles al malware; los sistemas potencialmente infectados pueden transmitir la infección a toda la red; una consecuencia adicional puede ser el incumplimiento de las políticas de seguridad.
La pérdida de la asistencia técnica del fabricante del software descatalogado puede tener los siguientes efectos: los usuarios de los sistemas descatalogados no se beneficiarán ya de las actualizaciones o anuncios de seguridad; no se recogerán, informarán y analizarán nuevas vulnerabilidades, con lo que no se emitirán nuevos parches de seguridad; en consecuencia, el software descatalogado puede permanecer expuesto a una vulnerabilidad en cualquier momento, como si se tratase de un vector que atacase el día 0; la falta de asistencia técnica de los fabricantes de software de terceros y de los fabricantes de hardware puede inducir una vulnerabilidad en el uso de la plataforma, al aparecer nuevos virus que interrumpan el funcionamiento del software descatalogado; la incompatibilidad de los sistemas operativos antiguos con los equipos nuevos, y la no disponibilidad de controladores para las nuevas versiones de periféricos pueden impedir a los usuarios la mejora o sustitución de equipos utilizados o averiados; la falta de asistencia técnica para los equipos existentes en la plataforma descatalogada puede impedir su uso en caso de avería; la falta de asistencia técnica por parte de los fabricantes de software de terceros puede impedir a los clientes mejorar o parchear ese software con versiones nuevas. Lo mismo vale para las aplicaciones nuevas. La situación puede ser especialmente crítica en caso de indisponibilidad de versiones actualizadas de soluciones antivirus y antimalware.

Recomendación

Los responsables de informática deben mantener siempre actualizados los sistemas con los últimos parches de seguridad. El software descatalogado debe considerarse un elevado riesgo de seguridad para los componentes informáticos fundamentales y ha de mitigarse migrando a soluciones nuevas o a otras plataformas. Tratándose de sistemas de información de infraestructuras críticas, el riesgo de exposición puede llegar al ciudadano, de donde la mayor responsabilidad de sus gestores.
Los fabricantes deben ofrecer tiempo suficiente para la migración. Durante esta fase, ENISA recomienda vivamente la emisión de anuncios por adelantado, así como un análisis en profundidad del impacto previsto sobre la seguridad de los usuarios tras la descatalogación del producto.
Los usuarios deben conocer y comprender el riesgo de seguridad a que se exponen al seguir utilizando un software obsoleto.

Más información: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Ciberejercicios para expertos técnicos

Objetivo

ENISA ha asumido el compromiso de convertirse en el facilitador de ciberejercicios paneuropeos y, en términos más generales, de apoyar el intercambio de buenas prácticas en materia de cooperación y ejercicios sobre cibercrisis. ENISA impulsa la serie de ciberejercicios paneuropeos Cyber Europe, así como el ejercicio cibernético conjunto UE-EE.UU. (Cyber Atlantic) y las conferencias internacionales anuales sobre cuestiones de cooperación y ejercicios sobre cibercrisis. Hasta la fecha se han organizado dos ejercicios paneuropeos de cibercrisis en 2010 y 2012, así como un ejercicio UE-EE.UU en 2011; se encuentra actualmente en curso el tercer ciberejercicio paneuropeo, Cyber Europe 2014 (CE2014). Pueden participar en ellos todas las partes interesadas de la UE y de la AELC, tanto públicas como privadas, incluidas las instituciones y organismos de la UE. Entre los posibles temas se incluyen la actuación en caso de cibercrisis tanto de las autoridades (organismos de ciberseguridad, CERT nacionales o autoridades reguladoras nacionales) como de entidades del sector privado y expertos en SRI.

Recomendación

Cyber Europe 2012 demostró su utilidad para la mejora de la gestión de los ciberincidentes paneuropeos. Es importante, por tanto, proseguir los esfuerzos y procurar el desarrollo ulterior del ámbito europeo de los ciberejercicios. Los ciberejercicios futuros deben explorar las dependencias intersectoriales y centrarse más en comunidades específicas.
Cyber Europe 2012 brindó una oportunidad para la cooperación y el refuerzo a escala internacional de la comunidad europea de gestión de ciberincidentes. Para promover la cooperación internacional es esencial facilitar el intercambio de las buenas prácticas en los ciberejercicios, de las enseñanzas extraídas, de los conocimientos técnicos, así como la organización de conferencias. De este modo se conseguirá una comunidad más fuerte capacitada para abordar cibercrisis transnacionales. Todas las partes interesadas en el ámbito de la cooperación en las cibercrisis internacionales deben recibir la formación necesaria sobre el uso de procedimientos para saber cómo colaborar adecuadamente. La participación de organizaciones del sector privado como agentes confirió un valor añadido a este ejercicio. Los Estados miembros de la UE y los países de la AELC deben estudiar, pues, la participación del sector privado en ejercicios futuros.
La comunidad europea de gestión de ciberincidentes puede reforzarse con aportaciones de otros sectores críticos europeos (por ejemplo, salud, transporte) que sean pertinentes para la gestión de crisis a gran escala.

Más información: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Seguridad en la nube para todos los usuarios digitales

Objetivo

Responsables de la seguridad de la información de los sectores público y privado que utilicen y hayan integrado servicios en la nube en su vida diaria o que estudien la posibilidad de ofrecerlos a su entidad. Se dirige asimismo a todos los usuarios digitales que utilicen a diario servicios populares en la nube (redes sociales, etc.) como Facebook, Dropbox, Instagram, Twitter y tantos más, para que sepan cómo funciona el modelo en la nube, con sus ventajas y desventajas, y puedan valorar el tipo de información que deben o no poner en la «nube». ENISA se centra en apoyar las PYME y a los órganos de la administración pública para que valoren la situación antes de migrar a la nube.

Consejos

ENISA propone a todos los posibles usuarios de la nube que lleven a cabo las siguientes actividades al abordar el tema de los servicios en la nube:

Qué pueden hacer los servicios en la nube y qué ventajas ofrecen en cuanto a facilitación de la vida diaria (es decir, escalabilidad, potencial de almacenamiento enorme, copias de seguridad periódicas, interoperabilidad).
Qué tipo de información debe migrar a la nube y qué importancia tiene esa información para sus titulares (es decir, datos personales, datos sensibles, datos relativos a la entidad de que se trate).
Qué desventajas presenta la informática en la nube que puedan tener un fuerte impacto en su vida diaria y cómo establecer el modo de mitigarlas.
Cómo tomar una decisión informativa sobre el tipo de servicio en la nube que se necesita (infraestructura como servicio, plataforma como servicio, software como servicio) y conocer los límites de las tareas propias en cada tipo de servicio.ties in each type of service;
Dedicar tiempo a examinar el asunto con el proveedor de servicios en la nube y concertar una interpretación común, recogiéndola en el contrato de nivel de servicio.

Recomendación

Las publicaciones de ENISA sobre seguridad de la nube constituyen para todos los clientes un buen manual sobre el modo de proteger sus activos y conocer sus responsabilidades y derechos al utilizar los servicios en la nube.
La seguridad en la nube debe considerarse una de las mayores ventajas de la informática en la nube, debido a la escalabilidad.

Más información: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Protección de la intimidad para todos los usuarios digitales

Objetivo

Va dirigido a los usuarios digitales. Los usuarios tienen en línea los mismos derechos que fuera de línea, y deben conocerlos. En este punto cuentan con el apoyo de los organismos nacionales de protección de datos.
«Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan»: artículo 16 del Tratado de Lisboa

Consejos

Según el marco jurídico de la UE, los ciudadanos de la Unión Europea disfrutan de una serie de derechos en el ámbito digital, como el de protección de sus datos personales, el de protección de la intimidad y el de libertad de expresión y de información.
Los principios de la protección de los datos y de la protección de la intimidad no siempre se respetan en línea. Según la encuesta del Eurobarómetro de 2011 sobre las actitudes acerca de la protección de los datos y la identidad electrónica en la UE, 43 % de los usuarios de Internet señalan que se les ha pedido más información personal de la necesaria al acceder o usar un servicio en línea y el 70 % de los europeos están preocupados por el posible uso de sus datos personales para un fin distinto de aquel para el que se han recogido. El 75 % de los europeos desearían tener la posibilidad de suprimir información personal de un sitio web cuando así lo decidan.
Retos que deben superarse: Los actos de los personas no siempre reflejan sus preocupaciones sobre la protección de la intimidad; aunque los usuarios muestren preocupación por esta protección, pueden decidir compartir datos de carácter personal en relación con productos o servicios que soliciten; solamente un tercio (33 %) de los europeos son conscientes de la existencia de un organismo público nacional competente para la protección de sus derechos en relación con sus datos de carácter personal.
Por último, debe facultarse a los ciudadanos europeos para que identifiquen las prácticas que conculquen estos importantes principios y adopten las medidas adecuadas, tales como el ejercicio de sus derechos como interesados ante los responsables del tratamiento que incumplan la legislación y la presentación de reclamaciones ante los organismos competentes, cuando proceda. Esto implica además una mayor sensibilización sobre su condición de interesados, ya que el primer paso en este proceso es conseguir que los interesados conozcan y comprendan la importancia de proteger sus datos de su divulgación innecesaria.

Recomendación

Recomendamos a los usuarios que identifiquen las prácticas que conculquen sus derechos como interesados y que tomen las medidas adecuadas, incluida la presentación de reclamaciones ante los organismos competentes, en su caso. Los organismos de protección de datos deben tratar de mejorar la sensibilización de los usuarios sobre los derechos que les confiere la legislación de protección de datos y sobre las posibilidades que les brinda el ordenamiento jurídico de ejercer tales derechos, incluida la presentación de reclamaciones en caso de recogida y almacenamiento excesivos de datos de carácter personal.

Más información

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBARÓMETRO 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Organismos nacionales de protección de datos: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Redes de energía inteligentes seguras

Objetivo

Todas las recomendaciones se dirigen a la Comisión Europea, a los Estados miembros, al sector privado y a los expertos en infraestructuras críticas.
Son infraestructuras críticas los activos, sistemas o partes de los mismos situados en los Estados miembros que resultan esenciales para el mantenimiento de las funciones sociales vitales de salud, seguridad, protección y bienestar económico o social de las personas, y cuya perturbación o destrucción tendría un impacto significativo en un Estado miembro como consecuencia de la interrupción de esas funciones. Se incluyen seguidamente algunas recomendaciones relativas a la seguridad de las redes de energía inteligentes.

Recomendación

La Comisión Europea (CE) y las autoridades competentes de los Estados miembros (EM) deben emprender iniciativas para mejorar el marco regulador y las medidas de la ciberseguridad de las redes de energía inteligentes a escala nacional y de la UE.
La CE, en cooperación con ENISA y los EM, debe promover la creación de una asociación público-privada (APP) para coordinar las iniciativas de ciberseguridad de las redes de energía inteligentes.
ENISA y la CE deben fomentar las iniciativas de sensibilización y de formación.
La CE y los Estados miembros, en cooperación con ENISA, deben fomentar las iniciativas de difusión y de puesta en común de conocimientos.
La CE, en colaboración con ENISA y con los Estados miembros y el sector privado, debe desarrollar una serie mínima de medidas de seguridad basadas en las normas y directrices existentes.
Tanto la CE como las autoridades competentes de los EM deben promover el desarrollo de regímenes de certificación de seguridad para los componentes, los productos y la seguridad de las organizaciones.
La CE y las autoridades competentes de los EM deben fomentar la creación de bancos de pruebas y evaluaciones de la seguridad.
La CE y los EM, en cooperación con ENISA, deben seguir estudiando y perfeccionando estrategias para coordinar los ciberincidentes paneuropeos a gran escala que afecten a las redes de energía.
Las autoridades competentes de los EM, en cooperación con los CERT, deben iniciar actividades para conseguir la participación de los CERT en el desempeño de una función consultiva en lo que respecta a las cuestiones de ciberseguridad que afectan a las redes de energía.
La CE y las autoridades competentes de los EM, en cooperación con el sector académico y de la I+D, deben fomentar la investigación sobre la ciberseguridad de las redes de energía inteligentes, sobre la base de los programas de investigación existentes.

Más información: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations