Red Seguridad 102

82 red seguridad tercer trimestre 2023 opinión Los productos de hardware y software son, cada vez más, objeto de ciberame- nazas, ciberriesgos y oportunidades, lo que da lugar a un coste anual mundial estimado de la cibercriminalidad de 5,5 billones de euros. De ahí que adquiera una importancia notoria la ciberresi- liencia, un concepto que engloba con- tinuidad de negocio, seguridad de los sistemas de información y operación y resiliencia de la organización. Para conocer si la organización está gestionando correctamente la ciberre- siliencia, existen modelos que miden y mejoran su estado, desde la inexistencia hasta el estado óptimo de en sus funcio- nes y procesos. La propuesta de Reglamento sobre los requisitos de Ciberseguridad de los productos con elementos digitales, co- nocido como la Ley de Ciberresiliencia, refuerza las normas de ciberseguridad para garantizar unos productos de hard- ware y software más seguros. De hecho, disponer de una estrategia de ciberres- iliencia es vital para la continuidad de negocio. Las ventajas que aporta no se limitan al aumento de la postura de se- guridad de la organización y a la reduc- ción del ciberriesgo de exposición de su infraestructura esencial, también ayuda a reducir las pérdidas económicas y los daños a la reputación. Si una orga- nización pública o privada recibe una certificación en ciberresiliencia, infunde confianza en sus clientes. Y si es cibe- rresiliente, puede optimizar el valor que crea para sus consumidores y aumentar su ventaja competitiva mediante opera- ciones efectivas y eficientes. Problemas No en vano, los productos anteriormen- te mencionados sufren dos problemas importantes que añaden costes para los usuarios y la sociedad. Primeramente, un bajo nivel de ciberseguridad, refle- jado en vulnerabilidades generalizadas y la provisión insuficiente e incoherente de actualizaciones de seguridad para abordarlas. Y en segundo término, una comprensión y un acceso insuficientes a la información por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecua- das o utilizarlos de manera segura. Si bien la legislación vigente sobre el mercado interior se aplica a deter- minados productos con elementos digitales, la mayoría de los productos de hardware y software no están ac- tualmente cubiertos por ninguna legis- lación de la Unión Europea que aborde su ciberseguridad. En particular, el actual marco jurídico de dicho territo- rio no aborda la ciberseguridad de los programas informáticos no integrados, aunque los ataques de ciberseguridad se centren cada vez más en las vulne- rabilidades de estos productos, algo que genera importantes costes socia- les y económicos. En este sentido, se han identificado dos objetivos principales destinados a garantizar el correcto funcionamiento del mercado interior: Crear las condiciones para el desa- rrollo de productos seguros con ele- mentos digitales garantizando que los productos de hardware y software se introduzcan en el mercado con menos vulnerabilidades y confirmar que los fabricantes se toman en serio la segu- ridad a lo largo de todo el ciclo de vida de un producto. Facilitar las condiciones que permitan a los usuarios tener en cuenta la ci- berseguridad a la hora de seleccionar y utilizar productos con elementos di- gitales. Además, se han establecido cuatro objetivos específicos: Garantizar que los fabricantes mejo- ren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida. Ciberresiliencia y evaluación de impacto para el tejido empresarial M ikel R ufián A lbarrán Presidente de COLoCON.org y director global de Ciberseguridad & Inteligencia de Bidaidea