Se puede decir que el origen de la ciberseguridad se encuentra en los años 70, como segregación del concepto de Seguridad de la Información y delimitado al concepto de redes. Y nace unido al apogeo de la informática moderna, que trajo consigo la aparición de internet y el consumo masivo de páginas web. Esto suponía una nueva ventana para los perfiles que empezaron a denominarse ‘hackers’ y eran capaces de acceder a información que convertía a sus dueños en personas vulnerables.
Las amenazas fueron evolucionando con el paso de los años y con la aparición de nuevas plataformas digitales como las Redes Sociales, así como las posibilidades de ataques desde dentro de las organizaciones. El mundo se protegió con herramientas y tecnología para combatir estos ataques, sin embargo, se siguen encontrando fisuras. Según el Sistema Estadístico de Criminalidad, durante el 2021 se produjeron, en España, 305.000 casos de ciberdelincuencia, lo que representa un 6% más.
Por otro lado, ciertos estudios afirman que más del 90% de empresas españolas han sufrido, al menos, un incidente grave en ciberseguridad durante el último año, lo cual indica que la protección de la que se disponía no era suficiente. Si a ello se suma el teletrabajo y los nuevos electrodomésticos conectados, las posibilidades para los hackers no hacen más que aumentar.
Por todo ello, cada país y la Unión Europea fueron desarrollando medidas y leyes que protegieran tanto a las empresas, como a los consumidores de Internet. Y el camino ha continuado adaptándose a las circunstancias dando lugar la propuesta de ley de Ciberresilencia presentada el pasado 15 de septiembre por la Comisión Europea, que complementa el marco legislativo europeo en materia de ciberseguridad, como la Directiva sobre ataques contra los sistemas de información, NIS y NIS2 sobre seguridad en redes y sistemas, o la ley de ciberseguridad de la UE de 2019.
La propuesta de ley pretende garantizar la seguridad de todo producto conectado a internet directa o indirectamente, y para ello se establecen requisitos durante las fases de diseño, de desarrollo y de producción. Afectando a los fabricantes del dispositivo en sí, a los desarrolladores de software, a la cadena de distribución y venta. En general, a toda la cadena de suministro.
Además, pretende que todos los usuarios estén informados, que entiendan los riesgos y que sepan usar de forma segura los dispositivos. Y es que cuando hablamos de IoT nos referimos a las bombillas que manejamos desde nuestro teléfono móvil, a la nevera que gestiona los suministros y que descarga recetas, a la aspiradora que necesita conocer los planos de casa, a mi impresora, etc.
Y no son cosas del futuro, son cosas que las personas físicas utilizan en su día a día. Y a ello, se sumaría toda la tecnología que las empresas necesitan y emplean para el desempeño de su trabajo, como pueden ser sensores, herramientas de diagnóstico, dispositivos de red y endpoints en sí mismos, entre otros muchos.
Esta propuesta de ley supondrá un aumento de la inversión y de la demanda de talento. Por un lado, la inversión en seguridad supone un retorno en la inversión, es decir, existen análisis que concluyen que con una inversión de 29.000 MM se reducirán los ciberataques en más de 180.000 MM.
La propuesta de ley ha considerado la proporcionalidad de respuesta a los niveles de riesgo, considerando que el impacto de esta inversión será principalmente en el ciclo de vida productos críticos, ha clasificado los productos en función de su criticidad y ha establecido requerimientos de cumplimiento y de auditoría diferentes en función de ésta.
Con esta nueva propuesta de ley se endurecen los requisitos para que un producto vea la luz, en tanto que hablamos de seguridad. Ahora, los fabricantes, deberán tener en cuenta la seguridad desde el momento del desarrollo y van a estar obligados a informar de cualquier vulnerabilidad detectada, así como de los incidentes que ocurran, y como en cualquier framework de seguridad, van a tener que vigilar, dar respuesta a incidentes y solucionar cualquier debilidad detectada susceptible de generar un incidente.
El concepto de “Cybersecurity by Design”, del que tanto se ha hablado, va a ser de obligado cumplimiento, ya que una ley de ámbito europeo así lo va a establecer. Y, por otra parte, cualquier empresa consumidora de estos productos, así como los ciudadanos en general, van a tener garantías de que los productos recibirán actualizaciones en el caso de que su seguridad se vea comprometida. Y, además, van a estar más informados sobre la seguridad de sus dispositivos independientemente del lugar de fabricación y del mercado en el que se empleen.
Esta propuesta de ley no nace como un mero requisito regulatorio, sino que responde a una serie de necesidades sociales. En España, la importancia de invertir en seguridad y por tanto, en el negocio ha calado, y aunque queda mucho camino por recorrer en temas como todo el proceso de identidad digital incluyendo autenticación y autorización, protección del dato, y por supuesto lo relacionado con el IoT, estos pasos son muy importantes y van marcando el camino.