Seguridad

La agencia de ciberseguridad europea publica su guía de buenas prácticas

Chess & Business
Escrito por Marcos Merino

El estudio identifica tendencias emergentes en materia de ciberseguridad, y determina una serie de recomendaciones para proteger la infraestructura de Internet.

ENISA, la Agencia por la Seguridad de la Información y las Redes de la Unión Europea (que recientemente cumplió 10 años supervisando la ciberseguridad del continente) presentó el pasado 15 de enero su ‘Threat Landscape and Good Practice Guide for Internet Infrastructure’, un estudio que establece un mapa de los elementos que componen a día de hoy la infraestructura de la Red en Europa, identifica una serie de tendencias emergentes en materia de ciberseguridad, y determina una lista de buenas prácticas con el objetivo de garantizar la protección de la infraestructura de Internet.

Amenazas específicas

En el mismo se determina se identifican una serie de “amenazas específicas relevantes” capaces de interrumpir la conectividad (amenazas que han crecido en número frente a informes anteriores). Así, tras realizar un análisis de deficiencias, que determinados aspectos no quedan cubiertos por las buenas prácticas vigentes, como pueden ser los recursos humanos (administradores y operadores) que gestionan los procesos de enrutamiento, DNS y de denegación de servicio, así como la configuración del sistema y los protocolos de direccionamiento esenciales en casos de ataques distribuidos de denegación de servicio (DDoS).

¿A quién va dirigido?

El informe está dirigido principalmente a los propietarios de infraestructura de red, así como organizaciones de Internet, expertos en seguridad, desarrolladores de guías de seguridad, y los responsables políticos. El documento hace un balance de las medidas de seguridad a disposición del público para proteger los activos de infraestructura de Internet y permitirá a los propietarios de los mismos analizar cuidadosamente su infraestructura de Internet a través de la evaluación de riesgos y la evaluación de la exposición a amenazas específicas.

Recomendaciones

Se proponen cinco recomendaciones técnicas y cuatro recomendaciones de organización, respectivamente, para un mayor nivel de seguridad a través del desarrollo y la aplicación de buenas prácticas, y la importancia de la colaboración en la comunidad. Las cinco recomendaciones técnicas son las siguientes:

  1. Los dueños de elementos de la infraestructura de red, así como las agencias reguladoras de la misma, deberán evaluar su nivel actual de la seguridad identificando los activos cubiertos (y no cubiertos) por medidas de seguridad existentes.
  2. Los propietarios de infraestructura dered deberán evaluar la aplicación de buenas prácticas de manera focalizada.
  3. Así mismo, deberán cooperar con la comunidad para intercambiar información sobre amenazas.
  4. Los usuarios que implementan las guías de buenas prácticas, deberán informar sobre dicha implementación, los activos cubiertos y los vacíos encontrados.
  5. Las palabras importan: hay que asegurar el uso correcto de términos y definiciones.

Udo Helmbrecht, director ejecutivo de ENISA, declaró sobre el proyecto que “todo indica que las amenazas analizadas en el presente estudio están en aumento a nivel global. Es importante aplicar buenas prácticas y promover el intercambio de información, con el fin de mitigar las amenazas. La Guía de ENISA proporciona una visión actualizada de las amenazas emergentes y sienta las bases hacia una infraestructura de Internet más segura gracias a una adecuada formación y evaluación del riesgo”.

Los autores

Los autores del estudio son Cédric Lévy-Bencheton, Louis Marinos e Rossella Mattioli por parte de ENISA, y Thomas King, Christoph Dietzel, Jan Stumpf por parte de DE-CIX Management GmbH, la entidad que gestiona DE-CIX, uno de los principales puntos neutros de acceso a Internet de Alemania.

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.