La Agencia Europea para la Seguridad de Información y Redes (ENISA) ha presentado un estudio dirigido a identificar los obstáculos para una mayor seguridad de la Información y propone diversas soluciones a la Unión Europea.
Las conclusiones principales de este estudio son las siguientes:
1. La Unión Europea debería presentar una Ley que obligue a notificar las brechas de seguridad.
2. Debería garantizarse la publicación de estadísticas fiables sobre el delito electrónico.
3. Es necesario recoger y publicar datos sobre la cantidad de spam y otro tráfico indeseable que emiten los ISP europeos.
4. Instauración de una escala de sanciones para los ISP que no respondan con prontitud a peticiones de retirada de máquinas comprometidas, y que se recoja el derecho de los usuarios a que sus máquinas sean reconectadas siempre y cuando ellos asuman la total responsabilidad.
5. Desarrollo e implantación de estándares para que el equipo que se conecte a las redes sea seguro por defecto.
6. Debería adoptarse una revelación temprana y responsable de vulnerabilidades junto a la responsabilidad del fabricante sobre el software no parcheado, de forma que se acelere el ciclo de desarrollo de parches.
7. Los parches de seguridad deben ser gratis y mantenerse separados de los que representan actualizaciones de funcionalidades.
8. Debería armonizarse el proceso de resolución de disputas entre clientes y proveedores de servicios de pago con respecto a las transacciones electrónicas.
9. Establecer un régimen de sanciones efectivas y proporcionadas contra las prácticas abusivas del comercio on-line.
10. Estudiar los cambios a realizar en las leyes de protección de los consumidores para adaptarlas al progreso del comercio on-line.
11. Las autoridades encargadas de velar por la competencia deberían ser asesoradas siempre que la diversidad tenga consecuencias sobre la seguridad.
12. Investigar los efectos de los fallos en los nodos de intercambio de Internet (IXP).
13. Impulsar la ratificación por parte de los estados miembros de la Convención sobre Ciberdelito.
14. Establecimiento de un cuerpo de ámbito europeo encargado de facilitar la cooperación internacional sobre ciberdelitos, usando la OTAN como modelo.
15. Garantizar ante la Comisión Europea que las regulaciones presentadas con otros propósitos no dañen inadvertidamente a los investigadores y las empresas de seguridad.
2. Debería garantizarse la publicación de estadísticas fiables sobre el delito electrónico.
3. Es necesario recoger y publicar datos sobre la cantidad de spam y otro tráfico indeseable que emiten los ISP europeos.
4. Instauración de una escala de sanciones para los ISP que no respondan con prontitud a peticiones de retirada de máquinas comprometidas, y que se recoja el derecho de los usuarios a que sus máquinas sean reconectadas siempre y cuando ellos asuman la total responsabilidad.
5. Desarrollo e implantación de estándares para que el equipo que se conecte a las redes sea seguro por defecto.
6. Debería adoptarse una revelación temprana y responsable de vulnerabilidades junto a la responsabilidad del fabricante sobre el software no parcheado, de forma que se acelere el ciclo de desarrollo de parches.
7. Los parches de seguridad deben ser gratis y mantenerse separados de los que representan actualizaciones de funcionalidades.
8. Debería armonizarse el proceso de resolución de disputas entre clientes y proveedores de servicios de pago con respecto a las transacciones electrónicas.
9. Establecer un régimen de sanciones efectivas y proporcionadas contra las prácticas abusivas del comercio on-line.
10. Estudiar los cambios a realizar en las leyes de protección de los consumidores para adaptarlas al progreso del comercio on-line.
11. Las autoridades encargadas de velar por la competencia deberían ser asesoradas siempre que la diversidad tenga consecuencias sobre la seguridad.
12. Investigar los efectos de los fallos en los nodos de intercambio de Internet (IXP).
13. Impulsar la ratificación por parte de los estados miembros de la Convención sobre Ciberdelito.
14. Establecimiento de un cuerpo de ámbito europeo encargado de facilitar la cooperación internacional sobre ciberdelitos, usando la OTAN como modelo.
15. Garantizar ante la Comisión Europea que las regulaciones presentadas con otros propósitos no dañen inadvertidamente a los investigadores y las empresas de seguridad.
Kriptópolis (10-03-2008)
http://www.kriptopolis.org/quince-consejos-ue-seguridad
ENISA
http://www.enisa.europa.eu/pages/analys_barr_incent_for_nis_20080306.htm
