En junio de 2012, como Instituto Español de Ciberseguridad (SCSI, en su acrónimo inglés) publicamos nuestra propuesta para desarrollar la Ciberseguridad Nacional.

En ella, pusimos de manifiesto nuestra opinión sobre la necesidad de evolucionar de una cultura reactiva a una de prevención y resilencia [1] por medio de una estrategia nacional articulada en tres vertientes:

1. Riesgos-Amenazas, respondiendo a la pregunta ¿Qué preocupa?
2. Responsables, respondiendo a la pregunta ¿Quién se preocupa?
3. Políticas-Planes de acción, respondiendo a la pregunta ¿Cómo se responde a esa preocupación?

Considerábamos, y seguimos en la misma convicción, que este proceder constituye un enfoque coherente con los objetivos de un documento estratégico y programático como debería ser el que nos ocupa.

Después de casi un año y medio desde la publicación de nuestra propuesta, ha visto finalmente la luz el documento que da forma a la Estrategia de Ciberseguridad Nacional.

Antes de comentar algunos aspectos relacionados con el contenido de la Estrategia española, queremos celebrar la aprobación de la misma como un paso más hacia una nación plenamente consciente del potencial que brinda la Sociedad de la Información y el aprovechamiento de las nuevas tecnologías.

Hechas estas premisas, no podemos esconder nuestra frustración por el texto que finalmente ha sido aprobado. Considerábamos que la demora sufrida en la publicación se debiera a la necesidad de desarrollar una estrategia ambiciosa, pragmática y eficaz. Sin embargo, el texto final que ha visto la luz, en nuestra opinión, no responde a ninguno de estos criterios.

Empezando por el último de los criterios mencionados, no nos parece una estrategia eficaz porqué no determina de forma cuantificable y, por ende, medible los objetivos. Hubiera sido deseable un mayor nivel de concreción como el encontrado en las estrategias de otros países. No aparece definido de forma clara el impulso económico, determinando qué porcentaje de los Presupuestos Generales del Estado serán asignados para la ejecución de las líneas definidas, como por ejemplo podemos leer en la estrategia holandesa o la británica.

Falta un plan concreto acerca del “cómo” se conseguirá que España "haga un uso seguro de los Sistemas de Información y Telecomunicaciones". Ante la enorme fragmentación de responsabilidades en los órganos de la Admón. Pública, no sólo entre carteras ministeriales de la Administración Central,  incluso a nivel autonómico, se ha propuesto una estructura organizativa de gestión en base a comités similar al norteamericano, pero no se habla de cómo se coordinarán operativamente los distintos entes que existen en la actualidad (GuCi, CNP, CNPIC, INTECO, etc…). En este contexto de indefinición, cabe resaltar la falta de mecanismos de alto nivel que favorecerán el intercambio de información entre el sector público y privado para hacer frente a los incidentes, favoreciendo el despliegue de un esquema de ciberinteligencia, y respetando los derechos fundamentales del ciudadano.

Una opción sería establecer un mecanismo de obligatoriedad que no esté basado en un marco normativo punitivo, sino en base a una serie de ventajas (fiscales por ejemplo) a aquellas compañías que compartan la información relevante de una manera adecuada. En los objetivos nº 2 y 4, se indican las prioridades para el sector privado con una mención a la protección de la Propiedad Intelectual y unas directrices enfocadas a la resilencia de las Infraestructuras críticas. Aquí la Estrategia carece precisamente de enfoque "estratégico" por no determinar el "cómo" proteger estos activos. Se habla generalmente de acciones "para asegurar la Protección del Patrimonio Tecnológico de España, entendido como aquellos activos materiales o inmateriales que sustentan la propiedad intelectual e industrial del sector empresarial". Se apela a la responsabilidad de las empresas y ciudadanos como sujetos obligados a poner en marcha las acciones oportunas para proteger la información y los sistemas. No hay referencia alguna a la capacidad/responsabilidad del Estado para impulsar, ayudar, y financiar, los esfuerzos del sector privado orientados a la mejora de la Ciberseguridad.

Pasando al tercer criterio que hemos indicado, acerca de dar vida a una estrategia ambiciosa, nos parece quese ha desaprovechado la experiencia derivada de ser el país décimo octavo en el contexto europeo que ha aprobado su estrategia de ciberseguridad y de poder utilizar las más de 30 estrategias existentes en el mundo para extraer las mejores prácticas del conjunto de documentos existentes.

No prestar atención al impacto económico de la desprotección, o no derivar del análisis de datos estadísticos acerca del valor económico para España de la sociedad del ciberespacio la necesidad de promover la cultura de la ciberseguridad, es una carencia que debilita de manera sustancial el impulso de esta estrategia.Consideramos importante cuantificar los costes de la inseguridad para optimizar y medir las inversiones y  los resultados de los planes de acción esbozados en la Estrategia. Sin estos indicadores, no se entiende la Ciberseguridad como elemento de desarrollo económico y como elemento dinamizador de la sociedad del bienestar. 

Se echa en falta un plan de acción, con hitos y prioridades, que haga de este programa una estrategia finita y evolutiva.

Por las razones indicadas, consideramos que la estrategia aprobada, merece un seis como nota global, porque finalmente coloca a España entre los países que apuestan por un uso seguro de las nuevas tecnologías. Pero deja demasiadas dudas acerca de la capacidad real de este planteamiento para responder adecuadamente a las amenazas del ciberespacio.

*Imagen cedida por Thiber

Instituto Español de Ciberseguridad

El Instituto Español de Ciberseguridad (SCSI, Spanish Cyber Security Institute) fue presentado en diciembre de 2011 con la misión de fomentar el intercambio de conocimientos entre los principales actores y expertos implicados en el sector para impulsar y contribuir a la mejora de la Ciberseguridad en España. Para alcanzar dicha misión, el SCSI lleva a cabo una importante labor de análisis, concienciación y formación (certificación profesional de ciberseguridad), entre otras actividades relacionadas con la ciberconcienciación.