Los profesionales de la seguridad han dado una calurosa bienvenida a las medidas propuestas por el gobierno del Reino Unido para mejorar los estándares de seguridad en el Reino Unido a través de la legislación para proteger a los usuarios de los servicios de TI administrados, al imponer nuevas reglas a los proveedores de estos servicios.
El Departamento de Digital, Cultura, Medios y Deporte (DCMS) lanzó una consulta sobre las propuestas el miércoles 19 de enero, en medio de las preguntas del primer ministro. Llega después de un año tórrido para los equipos de seguridad de TI, con aumentos repentinos de ataques cibernéticos en todos los niveles, y tras la Estrategia Cibernética Nacional de 2600 millones de libras esterlinas publicada en diciembre de 2021.
El gobierno ahora busca realizar una serie de actualizaciones a las regulaciones de Redes y Sistemas de Información (NIS) de 2018, que inicialmente fueron diseñadas para proteger la seguridad de los proveedores de infraestructura nacional crítica (CNI), en este caso, servicios públicos, transporte, salud y comunicaciones, respaldado por multas multimillonarias por incumplimiento.
Estas regulaciones se ampliarán en su alcance para incluir proveedores de servicios administrados (MSP) y proveedores de servicios digitales y en línea especializados, incluidos servicios de seguridad administrados, servicios en el lugar de trabajo y subcontratación general de TI.
Julia Lopez, ministra de estado para medios, datos e infraestructura digital, dijo: “Los ataques cibernéticos a menudo son posibles porque los delincuentes y los estados hostiles explotan cínicamente las vulnerabilidades en las cadenas de suministro digital de las empresas y los servicios de TI subcontratados que podrían repararse o parchearse.
“Los planes que anunciamos hoy ayudarán a proteger los servicios esenciales y nuestra economía en general de las ciberamenazas. Todas las organizaciones del Reino Unido deben tomar en serio su resiliencia cibernética mientras nos esforzamos por crecer, innovar y proteger a las personas en línea. No es un extra opcional”, dijo López.
En el futuro, dichas empresas deberán realizar evaluaciones de riesgos más exhaustivas e implementar “medidas de seguridad razonables y proporcionadas” para proteger sus redes. También tendrán el mandato de reportar incidentes significativos; contar con planes de recuperación dinámicos y ejecutables; y poder demostrar su cumplimiento ante la Oficina del Comisionado de Información (ICO). Las nuevas leyes también le darán al gobierno poderes para preparar las regulaciones NIS para el futuro al actualizar su alcance si es necesario.
Todos los costos relevantes incurridos por los reguladores para hacer cumplir las nuevas regulaciones serán transferidos del contribuyente a esas organizaciones, es decir, los MSP, cubiertos por la legislación, que según el gobierno crearía un sistema financiero más flexible y reduciría la carga fiscal general.
DCMS dijo que su propia investigación encontró que solo el 12% de las organizaciones del Reino Unido actualmente revisan los riesgos cibernéticos a los que sus proveedores inmediatos podrían exponerlos, y solo el 5% toma medidas para abordar las vulnerabilidades en su cadena de suministro más amplia.
El director técnico del Centro Nacional de Seguridad Cibernética (NCSC), Ian Levy, dijo: “Doy la bienvenida a estas actualizaciones propuestas a las regulaciones NIS, que ayudarán a mejorar la resiliencia general de la seguridad cibernética del Reino Unido. Estas medidas garantizarán que las organizaciones y aquellos en quienes confían gestionen adecuadamente los riesgos de seguridad cibernética”.
Tim Mackey, estratega principal de seguridad en el Centro de Investigación de Seguridad Cibernética de Synopsys, agregó: “La mayoría de las organizaciones modernas son, en realidad, operaciones distribuidas en las que los escaparates en línea, los procesadores de pago, la gestión de inventario e incluso la gestión de personal utilizan servicios de terceros incluso para los más pequeños. negocios
“Dado que la gestión de estos servicios a menudo está fuera de las áreas de especialización de una empresa, no es raro encontrar empresas que utilicen MSP como proveedores subcontratados de servicios digitales. Extender las regulaciones NIS para incluir a los MSP ayudará a las empresas más pequeñas a alcanzar un mayor nivel de resiliencia cibernética, donde la reciente vulnerabilidad de Log4Shell ilustró que la resiliencia cibernética es una función de qué tan bien se entienden las cadenas de suministro de software.
“Desafortunadamente, pocas organizaciones revisan los riesgos de seguridad cibernética dentro de su cadena de suministro de software inmediata. Al exigir que las empresas más grandes informen todos los ataques cibernéticos que experimentan, las regulaciones NIS propuestas fomentan efectivamente las evaluaciones de riesgo dentro de las cadenas de suministro de software, ya que el riesgo del software es un riesgo comercial”, dijo.
Oliver Smith, abogado litigante cibernético de Keystone Law, también expresó su apoyo a la expansión de NIS: “La ley ha reconocido la amenaza a los servicios esenciales, como el agua, la energía y el transporte, pero los ataques cibernéticos recientes, como el ataque del Oleoducto Colonial en en los que se cerró el oleoducto que suministraba el 45 % del petróleo de la costa este, han ilustrado la vulnerabilidad de las empresas de servicios esenciales a los ataques a sus sistemas informáticos.
“Si bien estas empresas están cubiertas por las regulaciones y la supervisión proactiva del ICO para garantizar que mantengan altos estándares de seguridad física y cibernética, las empresas subcontratadas que muchas de ellas utilizan para administrar sus redes informáticas no han sido reguladas. Estos cambios en la ley someterán a las empresas subcontratadas a la regulación del ICO.
“Dado que estas empresas de subcontratación podrían ser responsables de los servicios de TI de cientos de empresas, cualquier compromiso de su seguridad podría tener un impacto masivo en los servicios que brindan esas empresas clientes y provocar la interrupción de muchos servicios diferentes al mismo tiempo. Esto podría deberse a ataques criminales de ransomware o ciberterrorismo patrocinado por el estado.
“La nueva ley también requerirá una mayor notificación de los intentos de ataque para incluir intentos fallidos e incursiones de bajo nivel, así como interrupciones en los servicios. Esto debería permitir que la ICO detecte los riesgos antes de que provoquen una interrupción grave de los servicios críticos”, dijo Smith.
Estándares profesionales
El gobierno dijo que se necesitan leyes adicionales para mejorar la seguridad en todos los ámbitos y, con este fin, lanzó una consulta por separado que cubre los poderes propuestos para el Consejo de Seguridad Cibernética del Reino Unido, el nuevo regulador profesional para el “comercio” cibernético, en torno a las calificaciones de seguridad y certificaciones
Dijo que a medida que el sector tecnológico del Reino Unido continúa expandiéndose, más personas se están involucrando en carreras de seguridad cibernética, y puede ser difícil para las organizaciones, ya sea que contraten o contraten, saber qué habilidades y calificaciones son deseables.
El Consejo de Seguridad Cibernética del Reino Unido se creó el año pasado para abordar este problema al encabezar la creación de nuevas normas y acreditaciones profesionales, alineando lo cibernético con otras profesiones establecidas, como la contabilidad o la ingeniería.
Las nuevas propuestas le darán la capacidad de definir y reconocer títulos de trabajos cibernéticos y vincularlos a las calificaciones y certificaciones existentes. En el futuro, los ciberprofesionales tendrán que cumplir con estándares de competencia específicos establecidos por el consejo en una variedad de especialidades de seguridad antes de que puedan usar un título de trabajo específico. También sobre la mesa hay un Registro oficial de profesionales, tal como existe en las profesiones médicas y legales, que establece aquellos profesionales de seguridad reconocidos como éticos, adecuadamente calificados o senior.
DCMS dijo que esto hará que sea más fácil para los empleadores identificar qué habilidades necesitan para contratar adecuadamente, y brindará a los ciberprofesionales potenciales y existentes más claridad sobre las trayectorias profesionales.
Simon Hepburn, director ejecutivo del Consejo de Seguridad Cibernética del Reino Unido, dijo: “El Consejo de Seguridad Cibernética del Reino Unido está encantado de que estas propuestas reconozcan el papel de liderazgo de nuestra fuerza laboral cibernética que ayudará a definir y reconocer los roles de trabajo cibernético y asignarlos a las certificaciones y calificaciones existentes.
“Esperamos participar y contribuir en esta importante consulta gubernamental y alentaríamos a todas las partes interesadas clave a participar también”.