La capacidad nacional de Chipre con respecto a la cultura de seguridad cibernética se encuentra en una etapa formativa de madurez. El gobierno ha reconocido la necesidad de priorizar la ciberseguridad en todas sus instituciones.
El análisis de riesgos y amenazas ha influido en procesos y estructuras en todas las instituciones gubernamentales, pero en particular en el liderazgo de las agencias.
Existe una preocupación general de que los empleados del sector público no siempre siguen medidas específicas de seguridad en línea como actualizar contraseñas, no compartir contraseñas, etc.
La mayoría de la población usa Internet, pero no entienden los riesgos en línea.
En general, las partes interesadas aceptan que una proporción limitada de usuarios de Internet evaluan críticamente lo que ven o reciben en línea y consideran que tienen la capacidad de usar
Internet y protegerse en línea.
Aunque los chipriotas son usuarios activos de redes sociales, videollamadas y contenido en línea, participan en actividades de compras y banca en línea mucho menos que otros europeos
El Gobierno continúa aumentando la prestación de servicios electrónicos y ya se están presentando declaraciones de impuestos electrónicamente Los servicios de comercio electrónico están completamente establecidos por múltiples partes interesadas.
Vamos a analizar aquí cómo se regula la ciberseguridad en Chipre y cuáles son las medidas establecidas para garantizarla.
Indice
Legislación
La República de Chipre ha implementado disposiciones integrales sobre ciberseguridad en sus marcos legislativos y regulatorios de TIC. Legislación específica y regulación relacionada con la ciberseguridad se ha promulgado a través de las siguientes leyes:
- Ley de Comercio (156 (I) / 2004);
- Norma de Protección de la Confidencialidad de las Comunicaciones privadas (92 (Ι) / 1996);
- Ley que regula las comunicaciones electrónicas y postales 112 (I) / 2004, modificado por última vez por la Ley 76 (I) / 2017;
- Marco legal para las firmas electrónicas y para Asuntos Relevantes Ley 188 (I) / 2004 y
- Tratamiento de Datos Personales, Ley L.138 (I) / 2001.
La incorporación del Convenio del Consejo de Europa sobre Cibercrimen («Convención de Budapest») en la legislación nacional de la República también se establece en la Ley 22 (III) / 2004.
Ley de Procesamiento de datos personales
La Ley de Procesamiento de Datos Personales (Protección de Individuos) (N. 138 (I) / 2001) entró en vigor en noviembre de 2001. Aborda cuestiones de privacidad relacionadas con la recopilación, el almacenamiento, el procesamiento, difusión y uso de datos personales, y fue modificada por la Ley N. 37 (I) / 2003.
La oficina del Comisionado para la Protección de Datos Personales (OCPDP) se estableció en 2002 y se ocupa de la protección de la información personal relacionada con un individuo, prohibiendo la recopilación, grabación y uso posterior no autorizado e ilegal de dicha información privada.
Ley sobre prevención, lucha contra la trata y explotación de seres humanos
Se ha adoptado y aplicado una legislación integral sobre la protección de los niños a través de la Ley N. 60 (I) de 2014 sobre Prevención, lucha contra la trata y explotación de seres humanos y protección de víctimas.
El marco para la protección de los derechos del niño está en gran medida en línea con los derechos humanos internacionales. En particular, la lucha contra la comercialización de personas y la sexualidad. La Ley de Explotación de Menores 2000 2 (I) / 2000 y la Convención de Budapest de los Derechos del niño de 1990 (núm. 243 199) son leyes destinadas a la protección de los niños,
particularmente en línea.
Ley de Comercio
La legislación integral que protege a los consumidores de la negligencia empresarial en línea ha sido adoptada y se hace cumplir. El comercio electrónico en Chipre está regulado por la Ley de comercio 156/2004.
La Ley 156 (I) / 2004 tiene como objetivo garantizar la libre circulación de los servicios de la sociedad de la información entre la República de Chipre y los Estados miembros de la UE en relación con:
- el establecimiento de proveedores de servicios,
- comunicaciones comerciales,
- la celebración de contratos electrónicos,
- la responsabilidad de los intermediarios,
- resolución extrajudicial de disputas,
- códigos de conducta,
- medios legales de protección y cooperación entre los Estados miembros.
Además, la ley regula las siguientes actividades en línea: servicios de información en línea; publicidad y marketing en línea; venta en línea de productos y servicios; y servicios de entretenimiento en línea.
Una agencia líder responsable de la protección de los consumidores en línea es el Servicio de Competencia y Protección al Consumidor, una de las divisiones del Ministerio de Energía, Comercio, Industria y Turismo.
La legislación que aborda la propiedad intelectual (PI) de productos y servicios en línea también ha sido adoptada. La legislación estatutaria de Chipre, con respecto a la propiedad intelectual, es
basado en la tradición del common law inglés. Chipre también es signatario de internacional convenciones relevantes para la propiedad intelectual.
Código penal
Las disposiciones legales sustantivas sobre delitos informáticos están contenidas en el derecho penal general.
El Código Penal (cap. 154) comprende una versión codificada de todos los delitos principales y responsabilidades penales. Está estructurado para brindar apoyo a todas las disposiciones importantes de la Constitución de la República de Chipre, el Convenio europeo de Derechos Humanos y otros tratados internacionales.
Chipre ha establecido acuerdos con Interpol y Europol sobre intercambio de información transfronteriza. Sin embargo, la legislación vigente no incluye disposiciones específicas para la notificación de incidentes.
El gobierno esta trabajando para la implementación de la Directiva NIS y el RGPD y con ello se espera que las brechas existentes en los marcos legales y regulatorios se cierren.
Se establece la cadena digital de custodia y la integridad de la evidencia, incluyendo procesos formales, roles y responsabilidades.
La Oficina de Lucha contra el Delito Cibernético (OCC) fue establecida en 2007 con base en la Orden Policial 3/45 y está compuesta por investigadores y analistas forenses. Además, el Laboratorio forense de pruebas digitales (DEFL) está bajo la misma administración y cuenta con personal especializado en la recolección de evidencia y Análisis forense digital de dispositivos electrónicos.
En el marco de la Prevención y Lucha contra el Crimen de la Unión Europea, Chipre recibió fondos para el establecimiento del Centro de Excelencia de Cibercrimen de Chipre.
Marco legal para las firmas electrónicas
El marco legal para las firmas electrónicas y para asuntos relevantes Ley (N. 188 (I) / 2004) implementa la Directiva Europea 1999/93 / EC sobre el Marco de la UE para firmas electrónicas.
La Ley establece efectivamente el marco legal que rige la firma electrónica y ciertos servicios de certificación con el fin de facilitar el uso de estas y su reconocimiento legal. Sin embargo, no cubre aspectos relacionados con la celebración y validez de contratos u otras obligaciones legales que se rigen por requisitos, en cuanto a su forma.
Además, no afecta las reglas y limitaciones en relación con el uso de documentos proporcionados por otra legislación aplicable vigente. En esta ley se establecen los requisitos, entre otros, para el uso de firmas electrónicas en el sector público.
Ley 112 (I) de 2004 sobre la regulación de las comunicaciones electrónicas y los servicios postales
Esta ley brinda protección contra asuntos tales como mensajes enviados por medio de una red de comunicaciones pública que son extremadamente ofensivos. Esta ley prohíbe a cualquier otra persona escuchar, almacenar, interceptar y / o emprender cualquier otra forma de vigilancia de comunicaciones sin el consentimiento de los usuarios interesados, excepto cuando así lo estipule la Ley y cuando exista una autorización del Tribunal.
Estrategia nacional de Ciberseguridad
La República de Chipre publicó una estrategia nacional integral de ciberseguridad en marzo de 2013.
La visión central de la estrategia era «la operación de la información y el beneficio de las tecnologías de comunicación en Chipre con los niveles de seguridad necesarios de cada usuario «. Para lograr esta visión, la estrategia identificó objetivos claros, entre otros,
- desarrollo y preservación de entornos comerciales electrónicos seguros y protegidos,
- desarrollo de servicios de gobierno electrónico y
- mitigación de los efectos de las amenazas del ciberespacio.
Principios rectores, como el reconocimiento de que una estrategia válida debe ofrecer múltiples niveles de seguridad, apuntalaron el desarrollo y la implementación de una estrategia que destacó seis áreas prioritarias. Éstas eran:
- Creación de un marco legal
- Coordinación de los actores gubernamentales.
- Formulación de medidas y procedimientos técnicos y organizativos.
- Desarrollo de las habilidades necesarias en capacitación y sensibilización.
- Colaboración productiva entre el sector público y privado.
- Creación o adaptación de las estructuras necesarias para la respuesta a la incidencia.
Protección de infraestructuras críticas
En relación con la divulgación de amenazas y vulnerabilidades de ciberseguridad, se establece una coordinación formal entre los propietarios de las infraestructuras críticas y el gobierno en los sectories de la electrónica y las comunicaciones. Se han establecido mecanismos formales para la divulgación de incidentes con notificación obligatoria de tales incidentes.
Para otros sectores, como las finanzas, hay canales informales de comunicación con escaso informe de vulnerabilidades e incidentes.
Estos procesos podrían institucionalizarse como resultado de la adopción de la directiva NIS. Sin embargo, el intercambio de información sobre ciberseguridad entre los sectores CII aún no ha comenzado y un proceso formal de interacción sobre los problemas de ciberseguridad entre todos los propietarios de CII aún no se han establecido.
Todos los sectores críticos deben tener capacidad para detectar, responder y recuperarse de ciberataques.
La necesidad de proteger las infraestructuras de información crítica es necesario para minimizar los impactos negativos y las posibles consecuencias catastróficas de actos maliciosos o desastres naturales en la infraestructura, a nivel nacional dentro de la República de Chipre. Pero también debido a los posibles efectos negativos para otros países, como consecuencia de los altos niveles de
interconexión e interdependencia entre redes de comunicaciones internacionales.
La pregunta que se plantea es qué infraestructuras particulares deben considerarse como «críticas». Dentro de esas infraestricturas críticas podemos destacar:
- empresas de comunicaciones electrónicas,
- departamentos y servicios gubernamentales,
- fuerzas de seguridad,
- hospitales,
- instituciones financieras,
- proveedores de energía y agua
Estas infraestructuras críticas se identificarán y evaluarán en función de una serie de criterios. Para la determinación de estos criterios, así como las condiciones nacionales, se considerarán las actividades relacionadas de la la Comisión Europea y ENISA (Agencia Europea de Seguridad de Redes e Información).
Autoridades en materia de ciberseguridad
Hay varias autoridades dentro de la República de Chipre con competencias en la seguridad de redes, servicios y sistemas de tecnología e información
Cada autoridad tiene responsabilidades directas o indirectas en el área de la red y seguridad de la información, así como interdependencias entre ellos que deben tenerse en cuenta para la implementación de esta estrategia.
Las autoridades competentes / relacionadas que están involucradas en esta etapa son las siguientes:
- Oficina del Comisionado de Comunicaciones Electrónicas y Regulación Postal (OCECPR)
- Departamento de Servicios de Tecnología de la Información (DITS)
- Policía de Chipre
- Estado Mayor de la Guardia Nacional
- Autoridad de seguridad nacional
- Servicio de inteligencia central
- Oficina del Comisionado de Protección de Datos Personales.
- Ministerio de Comunicaciones y Obras (MCW)
- Departamento de Comunicaciones Electrónicas (DEC)
- Fuerza de Defensa Civil
- Servicio de bomberos de Chipre
- Unidad para combatir el lavado de dinero.
Las siguientes autoridades de la República de Chipre deben ser informadas de las actividades referentes a ciberseguridad:
- Bufete de abogados de la República de Chipre
- Auditor general
- Servicio de Auditoría Interna
- Banco Central de Chipre.
Cabe señalar que la autoridad competente de la República de Chipre que tiene responsabilidades relacionadas con la información clasificada (CI) es la Autoridad de seguridad nacional.
Obligaciones para empresas
El uso efectivo y generalizado de la tecnología de ciberseguridad es fundamental para proteger a individuos, organizaciones e infraestructura nacional. Para ello, es necesario implementar estándares de seguridad cibernética y buenas prácticas, desplegar procesos y controles, y desarrollar tecnologías y productos para reducir los riesgos de ciberseguridad.
Dentro de las principales obligaciones de las empresas en materia de ciberseguridad destacamos las siguientes.
Adhesión a estándares
La República de Chipre ha establecido la Organización de Normalización de Chipre, bajo el Ministerio de Finanzas. Existe una rama específica para el sector de la información y la tecnología, donde las organizaciones, tanto privadas como públicas, pueden acreditarse en el cumplimiento de las normas TIC.
Centrándonos en el sector público, las sugerencias de seguridad se basan en una revisión general de controles que se realizó hace unos años en todos los departamentos gubernamentales. Estos controles mínimos siguen hasta cierto punto ISO 27001 pero se adaptan a las brechas identificadas en los sistemas gubernamentales. Lamentablemente, la falta de una autoridad para garantizar que se cumplan las normas resultó en una baja tasa de adopción de los requisitos de seguridad.
El sector privado está mucho más avanzado con respecto al diseño, adopción y auditoría de normas para la seguridad de las TIC. La tasa de adopción difiere entre sectores varía, siendo las empresas de finanzas y de comunicación electrónica pioneras en esta área.
ISO 27001 es el marco adoptado con mayor frecuencia. Otras normas con respecto a la continuidad del negocio también se siguen. Los procesos de auditoría externa son realizados solo para sistemas críticos.
Resiliencia de la infraestructura de Internet
Existen disposiciones específicas descritas en la orden 253/2011 para la seguridad de la red y sistemas de información, que aseguran la resiliencia de la infraestructura de Internet. Estas
las disposiciones son obligatorias dentro de la infraestructura de los ISP y otros dispositivos electrónicos de comunicación.
Las recomendaciones son:
- Mejorar la coordinación y la colaboración con respecto a la capacidad de recuperación de la infraestructura de Internet en los sectores público y privado.
- Realizar evaluaciones periódicas de los procesos de acuerdo con las normas internacionales y directrices junto con la evaluación de la infraestructura nacional de seguridad de la información
y servicios críticos que impulsan la inversión en nuevas tecnologías. - Identificar y mapear puntos potenciales de fallo críticos dentro de la infraestructura de Internet.
- Establecer un sistema para gestionar formalmente la infraestructura nacional, con procesos documentados, roles y responsabilidades, y redundancia adecuada.
Calidad de software
Los procesos de desarrollo de un inventario de software en el sector público y privado y un catálogo de software seguro se encuentra en una etapa primitiva. El sector público mantiene manualmente un inventario del software utilizado en su red interna, mientras permanece ajeno al que los usuarios instalan en otros sistemas.
De manera similar, las organizaciones privadas mantienen inventarios actualizados principalmente de activos críticos y en ciertas partes de la red que restringen la capacidad de los usuarios para instalar software. Las organizaciones dependen en gran medida del software adquirido de empresas multinacionales.
Las recomendaciones son:
- Desarrollar un catálogo de plataformas y aplicaciones de software seguras dentro de sectores público y privado.
- Desarrollar un inventario de software y aplicaciones utilizadas en el sector público y en la Infraestructura crítica.
- Elaborar políticas y procesos sobre actualizaciones y mantenimiento de software.
- Recopilar y evaluar evidencia de deficiencias de calidad del software con respecto a su impacto en la usabilidad y el rendimiento.
- Establecer o asignar una institución para obtener de una manera estratégica común requisitos de calidad y funcionalidad del software en todos los sectores públicos y privados.
- Monitorear y evaluar la calidad del software utilizado en los sectores público y privado.
Controles técnicos de seguridad
La adopción de controles técnicos de seguridad en la República de Chipre varía según los sectores y organizaciones.
En este caso se recomienda:
- Alentar a los ISP y a los bancos a ofrecer servicios antimalware y antivirus.
- Establecer métricas para medir la efectividad de los controles técnicos en el dominio público.
- Desarrollar procesos para razonar sobre la adopción de más controles técnicos basados en metodologías de evaluación de riesgos en todo el dominio público.
- Proporcionar a los ciudadanos certificados de autenticación y firma digital y crear programas piloto dentro del sector público para impulsar la aceptación de nuevas iniciativas.
- Promover las mejores prácticas en ciberseguridad para los usuarios.
- Designar una autoridad para ser responsable de las decisiones estratégicas en materia técnica, que supervisará todas las redes de extremo a extremo y promoverá la adopción de un marco unificado para controles de seguridad.
- Mantener actualizados los controles técnicos de seguridad dentro del sector público y privado, monitorizar su efectividad y revisarlos de manera regular.
- Realizar pruebas de penetración para la protección de los sectores público y privado.
- Desarrollar políticas de cifrado y control criptográfico y revisar periódicamente su efectividad.
Controles criptográficos
Se recomienda a las empresas y entidades públicas:
- Fomentar el desarrollo y la difusión de controles criptográficos en todos los sectores y usuarios para la protección de datos en reposo y en tránsito, según normas y pautas internacionales.
- Sensibilizar a la opinión pública sobre los servicios de comunicación seguros, como los correos electrónicos cifrados / firmados
- Usar conexiones SSL / TLS para asegurar las comunicaciones entre las escuelas y la oficina de registro para la recopilación de datos de los estudiantes.
- Asegurarse de que los datos se almacenen en formato cifrado en el equipo de las escuelas.
- Establecer o asignar una institución responsable del diseño de una política, con el objetivo de evaluar el despliegue de controles criptográficos de acuerdo con sus objetivos y prioridades dentro del sector público y privado.
Divulgación responsable
Las entidades públicas y privadas deben:
- Desarrollar un marco o política responsable de divulgación de vulnerabilidad dentro del sector público y facilitar su adopción en el sector privado, incluyendo una fecha límite de divulgación, resolución programada y un informe de reconocimiento.
- Establecer o asignar una institución responsable de supervisar el proceso de divulgación responsable y garantizar que las organizaciones no oculten información de vulnerabilidad.
- Desarrollar un sistema para facilitar el intercambio de información sobre amenazas.
- Promover la línea directa y la aplicación móvil para la notificación de incidentes en el sector público.
- Definir umbrales y requisitos de notificación para todos los sectores.
- Acordar instrucciones claras sobre cómo compartir información de manera uniforme dentro de la UE de manera formal y estructurada.