La agencia de "ciberseguridad" de la UE ENISA ha publicado un estudio de los aspectos legales y normativos de la información compartida y colaboración entre fronteras de los CERTs (Computer Emergency Response Teams) nacionales y gubernamentales en Europa. El informe analiza los efectos que estos aspectos tienen en la información compartida entre fronteras entre los CERTs. La conclusión es que existe un balance delicado de investigación, administración y mitigación de los incidentes informáticos, al tiempo que se respetan los derechos y obligaciones proporcionados por algunos marcos legales y normativos, incluyendo la protección de datos y provisiones de privacidad.
Los CERTs son vitales en la coordinación de incidentes informáticos entre fronteras, y con el objetivo de realizar su papel importante necesitan intercambiar información. El intercambio de información entre fronteras necesita que se consideren los factores legales complejos. Los CERTs de diferentes países disponen de bases legales diferentes para solicitar y transmitir información a otos equipos. Además, el intercambio de información podría ser de datos personales, estando así sujeto a provisiones de privacidad específicas. Además, los CERTs, incluyendo los CERTs nacionales y gubernamentales, disponen de una variedad de mandatos. El estudio identifica estos factores legales y normativos, además de realizar una evaluación de cuales son los efectos que posee en la información compartida entre fronteras entre los CERTs. Entre otros, uno de los descubrimientos del estudio es que, en la práctica, la protección de datos, retención de datos y obligaciones para trabajar con el refuerzo de la ley son los principales retos de la cooperación de los CERT entre fronteras.
El director ejecutivo de ENISA, el profesor Udo Helmbrecht, comentó: "Los CERTS deben poner en marcha un equilibrio delicado entre la investigación, administración y mitigación de los incidentes, al mismo tiempo que protegen la privacidad, datos e integridad. De forma clara, el intercambio de información entre fronteras no deberá considerarse como un riesgo de los derechos fundamentales, ya que los intercambios son una precondición para una respuesta eficaz a los caber incidentes ICT, además de proteger estos mismos derechos. La pobre ciberseguridad puede, en efecto, minar el ejercicio de nuestros derechos humanos".
Entre los ejemplos de las recomendaciones de la intervención política a medio y largo plazo se incluyen los siguientes:
- Clarificación de las diferencias entre los marcos legales nacionales
- Adopción de la legislación de la UE que tiene en cuenta el espectro de los CERTs nacionales y gubernamentales
- Especificación de un umbral de incidentes que necesitan los CERT nacionales y gubernamentales para la respuesta e información compartida
- Explicación de porqué los CERTs necesitan procesar los datos personales de las autoridades relevantes para establecer una claridad bajo las circunstancias en las que estos datos podrían compartirse a través de las fronteras
- Inclusión de la información de la base legal para las solicitudes de información
Fuente: Europa Press (16-12-2011)
