Resumen de los Comentarios sobre la Actualización del Blueprint de Seguridad Cibernética de la UE
El Blueprint original de seguridad cibernética de la UE, publicado en 2017, ha llegado al límite de su relevancia, y una actualización se ha hecho evidente. La reciente publicación de un borrador para una versión actualizada permite proporcionar una reflexión crítica sobre su contenido. En términos generales, el documento es claro y conciso; sin embargo, podría mejorarse la accesibilidad mediante el uso de enlaces de hipertexto activos dentro del texto principal.
Uno de los puntos discutidos es la dependencia crítica en las capacidades de resolución DNS, revelando una falta de reconocimiento hacia otras infraestructuras esenciales como la de enrutamiento de Internet y los proveedores de servicios en la nube (IaaS/PaaS/SaaS). Aunque DNS4EU es un esfuerzo significativo, no debería ser el único enfoque a considerar al desarrollar un plan de seguridad cibernética marginalizando otras interdependencias críticas en la arquitectura técnica.
El borrador parece asumir que los incidentes de ciberseguridad a gran escala serán causados exclusivamente por ataques maliciosos. Sin embargo, este enfoque es engañoso ya que existen múltiples causas de interrupciones en la disponibilidad del servicio, como errores humanos, fallos técnicos y problemas en la cadena de suministro. En la era actual, donde servicios en la nube son vitales, cualquier interrupción en el lado del proveedor podría causar consecuencias inmediatas y graves. Los problemas derivados de tensiones geopolíticas también pueden influir en la continuidad de los servicios, lo que plantea la necesidad de considerar la resiliencia de la cadena de suministro mucho antes de que surjan las crisis.
Los proveedores de alto riesgo se mencionan en el documento como aquellos cuyas vulnerabilidades deben ser reveladas, pero esta narrativa es unidimensional. Se debe considerar el impacto que un monopolio puede tener en el mercado, aumentando precios y afectando la estabilidad general, además de su potencial papel en rivalidades geopolíticas.
La comunicación segura en crisis es presentada como crucial, pero debe ampliarse para incluir al sector privado, ya que es el responsable de gran parte de la infraestructura digital. La necesidad de una estrategia que no operé en silos y aborde la comunicación y la respuesta en conjunto es fundamental.
El análisis situacional presentado en el documento es excesivamente técnico, desestimando la relevancia de comprender las motivaciones y capacidades de los adversarios. Es esencial ir más allá de la inteligencia técnica y considerar la naturaleza de las amenazas desde un marco más amplio.
Por otro lado, la creación de una taxonomía común de incidentes se presenta como problemática, con muchas propuestas ya existentes. La verdadera necesidad radica en tener un marco unificado de gravedad que permita la clasificación de incidentes de manera efectiva.
En términos de gestión de crisis, el papel de la red CSIRT debe concentrarse en aspectos técnicos, mientras que la evaluación del impacto en la capa política debe ser gestionada exclusivamente por la UE-Ciclón. La claridad en las responsabilidades y las cadenas de mando es crucial, y hay que evitar que el enfoque sea confuso, asumiendo que todos los actores trabajarán en cooperación sin directrices claras.
Finalmente, el Blueprint carece de detalles sobre el uso efectivo de la reserva de ciberseguridad de la UE. La eliminación de detalles sobre el SLA debe ser considerada, aunque una declaración clara sobre el flujo de información acerca de la activación de la reserva sin duda enriquecería el documento.
Estos comentarios sugieren que, si bien el borrador de actualización es un paso en la dirección correcta, se requiere un enfoque más holístico y detallado que contemple las múltiples facetas de la ciberseguridad y su contexto más amplio.