Estrategia para una sociedad de la información segura (Comunicación de 2006)

La finalidad de esta Comunicación es revitalizar la estrategia política europea en materia de seguridad de las redes y de la información. Se trata de definir los retos actuales y de proponer acciones para afrontarlos. La estrategia propuesta por la Comisión se basa en un enfoque multipartito que reúna a todas las partes interesadas. Este planteamiento se funda en el diálogo, la asociación y la responsabilización.

ACTO

Comunicación de la Comisión, de 31 de mayo de 2006, «Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación» [COM (2006) 251 final - no publicada en el Diario Oficial].

SÍNTESIS

Actuación de la Comunidad: inventario

Hasta ahora, la Comunidad Europea ha respondido al reto de la seguridad en la sociedad de la información mediante un planteamiento basado en tres tipos de iniciativas que incluye:

• las medidas específicas para la seguridad de las redes y los sistemas de información;
• el marco regulador de las comunicaciones electrónicas y, en particular, la Directiva sobre la protección de la vida privada y los datos personales;
• la lucha contra la ciberdelincuencia.

La actuación de la Comunidad en este ámbito se lleva también a cabo mediante:

• los programas de la Comunidad Europea dedicados a la investigación y el desarrollo. El Séptimo Programa Marco debería contribuir a reforzar la investigación sobre seguridad con la creación de un programa europeo de investigación sobre este tema;
• el programa Safer Internet, destinado a promover un uso más seguro de Internet y proteger al usuario final de los contenidos no deseados;
• la implicación en los foros internacionales en los que se abordan estos temas, como la Organización para la Cooperación y el Desarrollo Económico, el Consejo de Europa o las Naciones Unidas. La Unión Europea (UE) ha dado un gran apoyo a los debates sobre la disponibilidad, la fiabilidad y la seguridad de las redes y de la información en la Cumbre Mundial sobre la Sociedad de la Información (CMSI), celebrada en Túnez en noviembre de 2005.

En 2004, la Comunidad creó la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), cuya misión es contribuir a que las redes y la información de la Comunidad alcancen un alto nivel de seguridad, propiciando el desarrollo de una cultura de la seguridad de las redes y de la información en beneficio de ciudadanos, consumidores, empresas y organismos del sector público.

La gran interdependencia existente entre las distintas acciones e iniciativas y el gran número de partes interesadas exigen una estrategia coordinada. La presente Comunicación expone dicha estrategia, destinada a promover un enfoque coherente y global en el ámbito de la seguridad de las redes y de la información.

RETOS PRINCIPALES

A pesar de los esfuerzos desplegados, la seguridad sigue siendo un reto para todos: administraciones públicas, empresas y usuarios individuales. A menudo, los riesgos existentes se subestiman, siendo como es innegable la importancia del sector de las tecnologías de la información y las comunicaciones (TIC) para la economía y la sociedad europea. Además, otras infraestructuras críticas dependen cada vez más de la integridad de sus respectivos sistemas de información.

Ataques a los sistemas de información

Los ataques a los sistemas de información están motivados cada vez más por el afán de lucro. Se extraen datos personales ilegalmente, sin conocimiento del usuario, y el número de variantes (y el ritmo de evolución) del software malicioso aumenta con rapidez (utilización del spam para transportar virus y programas espía, por ejemplo).

Retos relacionados con la difusión de los dispositivos móviles

La difusión creciente de los dispositivos móviles (teléfonos móviles de 3G, videojuegos portátiles, etc.) y de los servicios basados en la utilización de las redes móviles implica la aparición de nuevas amenazas. Estas últimas podrían resultar más peligrosas que los ataques a través de los PC, que ya cuentan con un elevado nivel de seguridad.

Retos relacionados con el advenimiento de los «entornos inteligentes»

El advenimiento de los «entornos inteligentes» es otro acontecimiento determinante de la sociedad de la información. Efectivamente, cabe esperar que, en un futuro inmediato, los dispositivos inteligentes apoyados en las tecnologías de la computación y de las redes se hagan omnipresentes en la vida diaria. Esta evolución puede ofrecer grandes oportunidades, pero también puede acrecentar los riesgos para la seguridad y la vida privada.

Retos relacionados con la sensibilización de los usuarios

Con el fin de combatir con éxito los problemas de infravaloración de los riesgos, todas las partes interesadas necesitan datos fiables sobre los incidentes de seguridad y sus tendencias.

Al mismo tiempo, es importante que los programas de sensibilización destinados a sacar a la luz las amenazas a la seguridad no minen la confianza de los consumidores y usuarios al centrarse solamente en los aspectos negativos. La seguridad de las redes y de la información debería presentarse más como un activo y una oportunidad que como un lastre y un coste.

PLANTEAMIENTO PROPUESTO

Para afrontar los retos relacionados con la seguridad de las redes y de la información, la Comisión propone un enfoque basado en el diálogo, la asociación y la responsabilización.

Diálogo

La Comisión propone una serie de medidas destinadas a establecer un diálogo abierto, integrador y multipartito, es decir:

• una evaluación comparativa de las políticas nacionales relacionadas con la seguridad de las redes y de la información. El objetivo consiste en definir las prácticas más eficaces, para aplicarlas más ampliamente en la UE. Este ejercicio debe permitir, en concreto, la definición de las mejores prácticas para sensibilizar mejor a los ciudadanos y a las pequeñas y medianas empresas (PYME) sobre los riesgos y los retos relacionados con la seguridad de las redes y de la información;
• un debate multipartito estructurado sobre la mejor manera de explotar los instrumentos reguladores existentes. Estos debates se organizarán a través de conferencias y seminarios.

Asociación

La comprensión clara de la naturaleza de los retos es una condición indispensable para la elaboración de una política eficaz. Para ello conviene disponer de datos estadísticos y económicos fiables actualizados. Así pues, la Comisión pedirá a ENISA:

• que desarrolle una asociación de confianza con los Estados miembros y las partes interesadas con el fin de elaborar un marco adecuado para la recogida de datos;
• que examine la viabilidad de un sistema europeo de comunicación de información y alerta que permita responder eficazmente a las amenazas. Este sistema incluiría un portal multilingüe de la UE destinado a proporcionar información específica sobre amenazas, riesgos y alertas.

Paralelamente, la Comisión invitará los Estados miembros, al sector privado y a los investigadores a establecer una asociación para garantizar la disponibilidad de datos sobre el sector de la seguridad de las tecnologías de la información y las comunicaciones.

Responsabilización

La responsabilización de las partes interesadas es un requisito previo para sensibilizarlas aún más sobre las necesidades y los riesgos en materia de seguridad, a fin de promover la seguridad de las redes y de la información.

Ésta es la razón por la que se invita a los Estados miembros, en particular, a:

• participar activamente en el ejercicio propuesto de evaluación comparativa de las políticas nacionales;
• promover, en colaboración con ENISA, campañas de sensibilización sobre los beneficios asociados a la adopción de tecnologías eficaces, buenas prácticas y un comportamiento responsable en relación con la seguridad;
• aprovecharse del despliegue de servicios de administración electrónica para fomentar las buenas prácticas de seguridad;
• estimular la elaboración de programas de seguridad de las redes y de la información dentro de los planes de estudio de la educación superior.

También se invita a las partes interesadas del sector privado a adoptar iniciativas encaminadas a:

• definir las responsabilidades de los productores de programas informáticos y los proveedores de servicios de Internet en relación con el suministro de unos niveles de seguridad adecuados y verificables;
• fomentar la diversidad, la apertura, la interoperabilidad, la facilidad de uso y la competencia como elementos clave para impulsar la seguridad y estimular el despliegue de productos y servicios que mejoren la seguridad, a fin de combatir la sustracción de la identidad y otros ataques contra la vida privada;
• difundir las buenas prácticas en materia de seguridad para operadores de redes, proveedores de servicios y PYME;
• fomentar los programas de formación en las empresas para dotar a los empleados de los conocimientos y las aptitudes necesarios para aplicar las prácticas de seguridad;
• elaborar sistemas para la certificación de la seguridad de productos, procesos y servicios que sean asequibles y respondan a las necesidades específicas de la UE;
• implicar al sector de los seguros en la elaboración de herramientas y métodos de gestión del riesgo.

INICIATIVAS COMPLEMENTARIAS

La Comisión completará este enfoque con otras iniciativas:

• la aprobación de una Comunicación sobre la evolución del spam y otras amenazas, como los programas espía;
• la presentación de propuestas para mejorar la cooperación entre las autoridades policiales y para reprimir las nuevas formas de actividad delictiva; este tema será objeto de una Comunicación específica sobre la ciberdelincuencia;
• la definición de un plan de actuación para alcanzar los objetivos del Libro Verde de la Comisión sobre un programa europeo para la protección de infraestructuras críticas;
• la revisión, en 2006, del marco regulador de las comunicaciones electrónicas.

Contexto

La presente Comunicación se inscribe en el marco de la iniciativa «i2010 - Una sociedad de la información europea para el crecimiento y el empleo», encaminada a estimular el desarrollo de la economía digital en Europa, y que subraya la importancia de la seguridad de las redes y de la información para la creación de un espacio único europeo de la información.

ACTOS CONEXOS

Comunicación de la Comisión, de 1 de junio de 2005, «i2010 - Una sociedad de la información europea para el crecimiento y el empleo» [COM (2005) 229 final - no publicada en el Diario Oficial].

Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques de los que son objeto los sistemas de información.

Reglamento (CE) n° 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información [Diario Oficial L 77 de 13.3.2004].

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [Diario Oficial L 201 de 31.7.2002].

Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones, de 6 de junio de 2001, «Seguridad de las redes y de la información: Propuesta para un enfoque político europeo» [COM (2001) 298 final - no publicada en el Diario Oficial].

Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones, de 26 de enero de 2001, «Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos - eEurope 2002» [COM (2000) 890 final - no publicada en el Diario Oficial].

See also

Para más información, consúltese el portal de la Comisión Europea Sociedad de la Información en Europa.

Última modificación: 25.07.2006