Quince consejos a la Unión Europea para aumentar la seguridad de la información

El pasado año la Agencia Europea para la Seguridad de Información y Redes (ENISA) patrocinó un estudio dirigido a identificar los obstáculos para una mayor seguridad y proponer soluciones.

El estudio (realizado por académicos de la talla de Ross Anderson) acaba de ser presentado a ENISA, que lo ha publicado y abre además un debate público en torno al mismo hasta el próximo 30 de abril.

Dado que el estudio es largo (114 páginas) me permito extractar y traducir a continuación un resumen de sus quince conclusiones principales...

1. La Unión Europea debería presentar una Ley que obligue a notificar las brechas de seguridad.
2. Debería garantizarse la publicación de estadísticas fiables sobre el delito electrónico.
3. Es necesario recoger y publicar datos sobre la cantidad de spam y otro tráfico indeseable que emiten los ISP europeos.
4. Instauración de una escala de sanciones para los ISP que no respondan con prontitud a peticiones de retirada de máquinas comprometidas, y que se recoja el derecho de los usuarios a que sus máquinas sean reconectadas siempre y cuando ellos asuman la total responsabilidad.
5. Desarrollo e implantación de estándares para que el equipo que se conecte a las redes sea seguro por defecto.
6. Debería adoptarse una revelación temprana y responsable de vulnerabilidades junto a la responsabilidad del fabricante sobre el software no parcheado, de forma que se acelere el ciclo de desarrollo de parches.
7. Los parches de seguridad deben ser gratis y mantenerse separados de los que representan actualizaciones de funcionalidades.
8. Debería armonizarse el proceso de resolución de disputas entre clientes y proveedores de servicios de pago con respecto a las transacciones electrónicas.
9. Establecer un régimen de sanciones efectivas y proporcionadas contra las prácticas abusivas del comercio on-line.
10. Estudiar los cambios a realizar en las leyes de protección de los consumidores para adaptarlas al progreso del comercio on-line.
11. Las autoridades encargadas de velar por la competencia deberían ser asesoradas siempre que la diversidad tenga consecuencias sobre la seguridad.
12. Investigar los efectos de los fallos en los nodos de intercambio de Internet (IXP).
13. Impulsar la ratificación por parte de los estados miembros de la Convención sobre Ciberdelito.
14. Establecimiento de un cuerpo de ámbito europeo encargado de facilitar la cooperación internacional sobre ciberdelitos, usando la OTAN como modelo.
15. Garantizar ante la Comisión Europea que las regulaciones presentadas con otros propósitos no dañen inadvertidamente a los investigadores y las empresas de seguridad.

Como podéis hay algunas propuestas interesantes (la responsabilidad de los ISP ante botnets, de los fabricantes de software ante vulnerabilidades no parcheadas, fomento de la diversidad, etc) que hemos tratado aquí en diversas ocasiones y que pueden merecer nuestro apoyo, junto a otras propuestas tal vez de eficacia o interés más dudosos, pero en todo caso merecedoras de discusión y debate.

Referencias:

• Analysing Barriers and Incentives for Network and Information Security in the Internal Market for e-Communication [ENISA, vía The Register].