ENISA (European Union Agency for Network and Information Security) ha publicado dos informes sobre la seguridad en las telecomunicaciones.  El primer informe es Secure Procurement for Secure Electronic Communications (Adquisiciones seguras para unas comunicaciones electrónicas seguras), que subraya la creciente dependencia de los proveedores con respecto a los productos y los servicios subcontratados de TIC, y que analiza los riesgos de seguridad que implica esta evolución.

Udo Helmbrecht, director de ENISA

El segundo informe, Secure ICT Procurement Guide for Electronic Communications Service Providers (Guía de adquisición segura de TIC para proveedores de servicios de comunicaciones electrónicas), pretende ser una herramienta práctica que permita a los proveedores gestionar mejor los riesgos de seguridad en su relación con los vendedores y distribuidores de productos y servicios subcontratados de TIC.

Adquisiciones seguras para unas comunicaciones electrónicas seguras
El estudio parte de la última edición del Informe anual de incidentes, que ofrece un análisis agregado de los incidentes de seguridad que provocaron cortes de servicio graves, y cuya causa principal fueron los productos y servicios subcontratados de TIC de terceros, especialmente en el ámbito de los fallos de hardware y de software. El informe de este año es el resultado de la colaboración de ENISA con proveedores y vendedores en un esfuerzo para hacer frente a estos problemas.

Los principales problemas señalados por los proveedores de comunicaciones electrónicas fueron los siguientes:

• Falta de controles de seguridad por parte del vendedor 
• Vulnerabilidades de software en productos o servicios de TIC
• Incumplimiento de los requisitos de seguridad de los contratos
• Falta de asistencia por parte de los vendedores en caso de incidentes
• Insuficiente poder de negociación por parte de los proveedores
• Falta de marco o de directrices para los proveedores de cara a la adquisición o la contratación

En este contexto, ENISA ofrece una serie de recomendaciones generales y desvela los resultados de una encuesta realizada entre proveedores de comunicaciones electrónicas y vendedores de TIC. Las recomendaciones a los Estados miembros incluyen la sensibilización sobre los riesgos de seguridad relacionados con la adquisición de productos y la externalización de servicios de TIC.

Asimismo, se anima a vendedores y proveedores a desarrollar un enfoque colaborativo en lo referente a la elaboración de los requisitos de seguridad, el intercambio de información sobre vulnerabilidades y amenazas a la seguridad, y la reducción de los incidentes.

Guía de adquisición segura de TIC para proveedores de comunicaciones electrónicas
La guía aborda los riesgos de seguridad dentro del marco de los requisitos de seguridad, los cuales pueden constituir una herramienta durante la adquisición por parte de los vendedores, y trata los riesgos de seguridad en servicios esenciales para las redes y los servicios de comunicaciones.

El profesor Udo Helmbrecht, director ejecutivo de ENISA, comentó: “Cada año, observamos cómo el informe anual sobre incidentes apunta a los productos y los servicios gestionados de TIC de terceros como una causa recurrente de los cortes de servicio. Un simple fallo de software puede tener un grave impacto en la disponibilidad de los servicios de Internet y telefonía, y los proveedores no siempre son capaces de solucionar dichos problemas con sus propios medios. La guía de adquisición segura de TIC que publicamos hoy es una herramienta práctica que ayudará a los proveedores a comprar productos y servicios de TIC a los vendedores y distribuidores con los requisitos de seguridad necesarios”.

Los informes completos pueden consultarse aquí.