Agencia Europea de Seguridad de las Redes y de la Información (ENISA)

La preocupación por la ciberseguridad existe en todos los países del mundo. Y, aunque cada vez es mayor debido a la digitalización de la sociedad, hace años que se están adoptando normas y medidas para garantizar esa seguridad cibernética.

Dentro del ámbito de la UE también ha surgido esa necesidad de proteger la información en las redes y comunicaciones. Y por ello se creó la Agencia Europea de Seguridad de la Redes y la Información (ENISA).

En este post explicaremos qué es ENISA, cuáles son sus funciones y objetivos y la estructura de la entidad.

¿Qué es ENISA?

La Agencia Europea de Seguridad de la Red y la Información (ENISA) es una agencia de la Unión Europea (UE) dedicada a prevenir y abordar los problemas de seguridad de la red y la seguridad de la información.

ENISA también ayuda a la Comisión Europea a actualizar y desarrollar la legislación de la Agencia de la Comunidad Europea en el campo de la Seguridad de Redes e Información.

Actúa como una «Agencia de la Comunidad Europea» y trabaja con las instituciones de la UE y los Estados miembros para desarrollar una cultura de redes y seguridad de la información para ayudar a los ciudadanos, consumidores, empresas y organizaciones del sector público de la Unión Europea a abordar y prevenir la red de seguridad y problemas de seguridad de la información.

El sitio web de ENISA admite el intercambio de información, las mejores prácticas y el asesoramiento relacionado con la industria de seguridad de la información, específicamente la seguridad de la red y la información.

ENISA es supervisada por un consejo de administración compuesto por representantes de los Estados miembros de la UE, la Comisión de la UE y otras partes interesadas.

Historia

En 2007, la comisaria europea Viviane Reding propuso que ENISA se incorporara a una nueva Autoridad Europea del Mercado de las Comunicaciones Electrónicas (EECMA). Para 2010, la Comisionada Neelie Kroes señaló que la Comisión Europea quería una agencia reforzada.

El mandato de la agencia se extendió hasta 2012 con un presupuesto anual de 8 millones de euros, bajo el liderazgo del Dr. Udo Helmbrecht. La última extensión del mandato de ENISA antes de que se convirtiera en permanente fue realizada por el Reglamento de la UE 526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, que deroga el Reglamento (CE) 460/2004. A partir del 27 de junio de 2019, ENISA se estableció por tiempo indefinido.

La sede de ENISA, incluidas sus funciones de administración y apoyo, se estableció originalmente en Heraklion. La elección de un sitio bastante remoto fue discutible desde el principio, particularmente desde que Grecia ocupó la presidencia de la UE cuando se negoció el mandato de la agencia.

Además, la agencia ha tenido una oficina de enlace en Atenas desde octubre de 2009. En 2013, trasladó a un tercio de su personal de entonces sesenta de Creta a Atenas. En 2016, la Comisión de Presupuestos respaldó la oferta de ENISA de cerrar la oficina de Heraklion. Ahora, ENISA tiene dos oficinas en Atenas y Heraklion, Grecia.

En junio de 2019 entró en vigor la nueva Ley de Ciberseguridad Europea que introduce importantes cambios. Establece un marco común de certificaciones y mayor papel para ENISA, que pasa a llamarse European Union Agency for Cybersecurity.

Desde 2019, ENISA está dirigida por Juhan Lepassaar.

Objetivos

Los objetivos estratégicos de ENISA se derivan de su reglamento y de aportes de los Estados miembros y las comunidades relevantes, incluido el sector privado.

En cooperación y en apoyo de los Estados miembros y las instituciones de la Unión, ENISA busca lograr:

  • Experiencia: apoya a Europa para enfrentar los desafíos emergentes de seguridad de la red y de la información, mediante la recopilación, el análisis y la puesta a disposición de información y experiencia sobre cuestiones clave de NIS que puedan afectar a la UE, teniendo en cuenta la evolución del entorno digital.
  • Política: promueve la seguridad de las redes y la información como una prioridad política de la UE, ayudando a las instituciones de la Unión Europea y a los Estados miembros a desarrollar e implementar políticas y leyes de la UE relacionadas con los NEI.
  • Capacidad de soporte: mantiene el estado de la red y las capacidades de seguridad de la información, ayudando a los Estados miembros y los organismos de la Unión Europea a reforzar sus capacidades NIS.
  • Fomentar la emergente comunidad europea de seguridad de redes e información, reforzando la cooperación a nivel de la UE entre los Estados miembros, los organismos de la Unión Europea y las partes interesadas, incluido el sector privado.

Funciones

Un aspecto importante después de establecer un CSIRT es definir sus servicios principales de acuerdo con los recursos internos disponibles.

Los servicios centrales de CSIRT se pueden agrupar en tres categorías principales:

  1. Los servicios reactivos generalmente consisten en informes posteriores a incidentes de la circunscripción u otros eventos relacionados con amenazas o ataques, como hosts comprometidos, malware, vulnerabilidades u otro tipo de incidentes similares.
    • Alertas y advertencias
    • Respuesta a incidentes
    • Manejo de vulnerabilidad
    • Manejo de artefactos
  2. Los servicios proactivos están diseñados para detectar y prevenir ataques antes de que haya un impacto real en los sistemas de producción. En esta categoría de servicios, la información generada por los CSIRT se difunde a su circunscripción y socios para proteger sus activos y evitar ser blanco de un ataque.
    • Anuncios
    • Tech Watch
    • Auditorías de seguridad / Pentests
    • Desarrollo de herramientas
    • Detección de intrusiones
    • Compartir inteligencia de amenazas
  3. La circunscripción puede exigir servicios de gestión de la calidad de la seguridad para revisar y mejorar la postura de seguridad de sus organizaciones. Esta categoría de servicios no depende del tiempo y, por lo general, los solicita el electorado que realiza la solicitud a su CSIRT.
    • Análisis de riesgo
    • Planificación de BC y DR
    • Conciencia de seguridad
    • Formación

El trabajo diario de CSIRT depende cada vez más de herramientas y plataformas que son el resultado de proyectos impulsados ​​por la comunidad.

Gestión de crisis cibernéticas

ENISA trabaja con la UE, los Estados miembros, la Comisión Europea y otras agencias para ayudar a prevenir o responder de manera efectiva a los incidentes y crisis de seguridad cibernética.

Dentro de su mandato de políticas, ENISA ha estado apoyando el campo de la gestión de crisis y incidentes cibernéticos europeos durante varios años, con actividades que van desde:

  • simulaciones de crisis,
  • entrenamientos,
  • apoyo a los Estados miembros para desarrollar sus planes y estructuras de crisis,
  • conferencias internacionales y
  • varios estudios.

Además de las actividades mencionadas anteriormente, una gran parte de los esfuerzos de ENISA para el desarrollo de capacidades de prevención en esta área están cubiertos dentro del tema de los ejercicios cibernéticos.

ENISA es un actor de la respuesta coordinada de la UE a las crisis de incidentes de seguridad cibernética , ayudando a la Comisión Europea siempre que sea necesario, especialmente en el marco de los arreglos de Respuesta Integrada a la Crisis Política (IPCR).

A la vanguardia de la gestión de crisis cibernéticas a nivel de la UE, ENISA trabaja en estrecha colaboración con los Estados miembros para desarrollar procedimientos de gestión de crisis cibernéticas a nivel de la UE para mejorar la conciencia situacional en caso de incidentes cibernéticos transfronterizos, para ayudar tanto a nivel nacional como a nivel de la UE tomadores de decisiones al tomar las decisiones correctas.

ENISA también ejecuta varias simulaciones y ejercicios de crisis y ofrece numerosos entrenamientos sobre este tema.

Ejercicios cibernéticos

ENISA lidera una amplia gama de actividades en el campo de los ejercicios cibernéticos. Esto está relacionado con las actividades de ENISA sobre gestión de crisis cibernéticas.

Las siguientes son algunas de las actividades de ejercicio cibernético en las que ENISA está activa:

  • Programa de ciber Europa
  • Plataforma de ejercicio cibernético (CEP)
  • Entrenamientos y estudios
  • Otros ejercicios cibernéticos apoyados por ENISA

Educación en ciberseguridad

Las actividades de ENISA en el área de educación y conciencia general buscan promover las habilidades NIS y apoyar a la Comisión para mejorar las habilidades y la competencia de los profesionales en esta área.

Dentro de esta función se encuentra el European Cyber ​​Security Challenge, que tiene como objetivo poner la ciberseguridad al servicio de la humanidad. La Comisión Europea promueve la CECA y, en un sentido más amplio, falla en el contexto general de la Estrategia de Seguridad Cibernética de la UE y la Directiva NIS.

La CECA promueve las relaciones amistosas entre los países asistentes y agrega una capa paneuropea, ya que los principales ciber talentos de cada Estado miembro colaboran y compiten contra cada uno para ganar el premio CECA.

Los concursantes resuelven desafíos relacionados con la seguridad de dominios como:

  • Seguridad web y de red
  • Seguridad móvil
  • Cripto rompecabezas
  • Ingeniería inversa y
  • Forense digital

Protección de datos

En el mundo actual de servicios digitales, redes sociales e Internet de las cosas, estamos experimentando una recopilación a gran escala sin precedentes y un mayor procesamiento de datos personales. Esta nueva sociedad basada en datos presenta algunas preocupaciones serias de privacidad, incluidas las posibilidades extendidas de vigilancia electrónica, creación de perfiles y divulgación de información privada.

El RGPD tiene como objetivo abordar estos riesgos reforzando los derechos de las personas en la era digital y permitiéndoles controlar mejor sus datos personales en línea. Al mismo tiempo, las normas modernizadas y unificadas permitirán a las empresas aprovechar al máximo las oportunidades del Mercado Único Digital (DSM), que también se beneficiarán de una mayor confianza del consumidor.

Aún así, la regulación por sí sola no puede garantizar la protección en el cambiante panorama del procesamiento de big data, si no se implementa, monitoriza y aplica de manera adecuada. Aquí es donde la tecnología puede desempeñar un papel crucial al ofrecer herramientas prácticas de protección de la privacidad y respaldar la aplicación de disposiciones legales.

ENISA está trabajando exactamente en esta línea de tecnología para la privacidad en el mundo en línea y móvil.

Con este fin, se centra en el concepto de Privacidad por diseño como principio fundamental de la incorporación de las garantías de protección de datos en el centro de nuevos productos y servicios electrónicos.

Por otra parte, analiza y propone medidas de seguridad para la protección de los datos personales, a raíz de un enfoque basado en el riesgo.

Las infracciones de datos personales es otra área de enfoque, que aborda especialmente los métodos y herramientas de informes y gestión de infracciones.

Por último, estudia los posibles mecanismos para la protección de datos en línea y móviles, incluidos

  • herramientas de transparencia y control,
  • mecanismos de responsabilidad,
  • borrado de datos,
  • técnicas de portabilidad,
  • sellos en línea y
  • sistemas de reputación.

Informe de incidentes

Una piedra angular de la legislación de ciberseguridad de la Unión Europea son los informes de incumplimiento de ciberseguridad. La notificación de violaciones de seguridad cibernética es importante no solo para el público sino también para ayudar a las autoridades nacionales con sus tareas de supervisión.

En la UE existen varias leyes diferentes sobre denuncias de incumplimiento. En 2018 entró en vigor la Directiva de la UE sobre seguridad de redes y sistemas de información (llamada Directiva NIS), que introdujo reglas de notificación de incidentes de ciberseguridad para operadores de servicios esenciales en una amplia gama de sectores críticos, como la energía, el transporte, finanzas y salud.

Antes de la Directiva NIS, ya existían reglas de notificación de incumplimiento establecidas para los proveedores de telecomunicaciones y los proveedores de servicios de confianza. También hay reglas de informes de incumplimiento para proveedores de servicios de pago, fabricantes de dispositivos médicos  y para los controladores de datos según el RGPD.

Los principales informes emitidos en materia de incumplimientos son:

  • Seguridad de telecomunicaciones: desde 2010 ENISA ha estado apoyando a las autoridades de seguridad de telecomunicaciones de la UE con la implementación de informes de incumplimiento de telecomunicaciones en toda la UE. Desarrolla procedimientos, plantillas, herramientas y análisis y publica anualmente un informe anual.
  • Seguridad de los servicios de confianza: Desde 2016, ENISA ha estado apoyando a los organismos de supervisión de los servicios de confianza de la UE con informes de incumplimiento de seguridad cibernética.
  • Directiva NIS: ENISA orienta y apoya a la Comisión y a los Estados miembros de la UE sobre la implementación del informe de incumplimiento de ciberseguridad en virtud de la Directiva NIS.

IoT e infraestructuras inteligentes

Internet of Things (IoT) es un concepto emergente que describe un amplio ecosistema donde los dispositivos y servicios interconectados recopilan, intercambian y procesan datos para adaptarse dinámicamente a un contexto.

La infraestructura inteligente, habilitada por tecnologías como IoT, ofrece numerosas ventajas que brindan importantes ahorros de costes y eficiencias. Este tipo de entornos basados ​​en datos, alimentados por dispositivos conectados y conectividad de red, se convierten en una nueva superficie de ataque para las amenazas cibernéticas.

ENISA desarrolla una guía para proteger las IoT e Infraestructuras Inteligentes de las amenazas cibernéticas, destacando las buenas prácticas de seguridad y proponiendo recomendaciones a los operadores, fabricantes y tomadores de decisiones.

Estructura

ENISA está formada por:

  • Consejo de Administración: El Consejo de Administración se asegura de que la Agencia lleve a cabo sus tareas en condiciones que le permitan actuar de conformidad con el Reglamento de fundación.
  • Junta Ejecutiva: La Junta Ejecutiva está preparando decisiones para ser adoptadas por la Junta Directiva.
  • Director Ejecutivo: El Director Ejecutivo es responsable de administrar la Agencia y desempeña sus funciones de forma independiente.
  • Red nacional de oficiales de enlace: las NLO facilitan el intercambio de información entre ENISA y los Estados miembros de la UE.
  • Grupo Asesor: El grupo asesor se centra en cuestiones de interés para las partes interesadas y los lleva a la atención de ENISA.
  • El Reglamento 2019/881 también prevé que ENISA ayudará a la Comisión a proporcionar la secretaría del Grupo europeo de certificación de ciberseguridad (ECCG) y proporcionará la secretaría del Grupo de certificación de ciberseguridad de partes interesadas (SCCG).
  • Grupos de trabajo ad hoc: el Director Ejecutivo establece, en consulta con el Grupo permanente de partes interesadas, grupos de trabajo ad hoc compuestos por expertos. Los grupos de trabajo ad hoc abordarán cuestiones técnicas y científicas específicas.

Datos de contacto

Oficina de ENISA en Atenas:

Vasilissis Sofias Str 1
Maroussi 151 24
Attiki, Grecia
Tel: +30 28 14 40 9711

Oficina de ENISA Heraklion en Creta:

Nikolaou Plastira 95
Vassilika Vouton, 700 13 Heraklion, Grecia