Ciberseguridad, un asunto de Estado

Actualizado:

En un entorno poco favorecedor tras los escándalos de ciberespionaje masivo y un contexto presupuestario austero, el pasado 5 de diciembre el Consejo de Ministros aprobaba la Estrategia de Ciberseguridad Nacional (ECN) a instancias del Consejo de Seguridad Nacional. Dicho texto, cuya génesis se remonta al 2011, desarrolla el punto correspondiente de la Estrategia de Seguridad Nacional presentada el pasado mayo y que contemplaba la ciberseguridad dentro de sus doce ámbitos de actuación.

Con más de dieciséis ciberestrategias nacionales y una directiva europea, una creciente expectación ha rodeado la gestación del documento que debía otorgar tanto el reconocimiento estratégico que tiene el ciberespacio para nuestro país como nuestro posicionamiento en este nuevo entorno virtual. En este sentido, ¿qué puntos debería contener formalmente esta estrategia? El primero es qué preocupa, identificando qué tipo de ciberamenazas son las más probables, contextualizadas a la realidad española, identificando los nuevos actores y sus motivaciones, mediante el conocimiento detallado de cibersituación. El segundo es quién tiene responsabilidades, delimitando roles y órganos de gestión para la puesta en marcha de la Política de Ciberseguridad Nacional. Y, finalmente, cómo se responde a esa preocupación, con líneas de actuación y medidas concretas que marquen una firme determinación política en la consecución de los objetivos marcados.

De esta forma, la ECN desarrolla los principios base como el liderazgo nacional y la coordinación de esfuerzos; la responsabilidad compartida; la proporcionalidad, racionalidad y eficacia; y la cooperación internacional como extensión de los principios informadores de la Estrategia de Seguridad Nacional.

Líneas de acción

A la hora de desarrollar esos conceptos base, la ECN articula ocho líneas de acción:

1.- Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas, habilitando mecanismos de colaboración interadministrativa que hagan frente a la gran fragmentación de los actores estatales con competencias en ciberseguridad.

2.- Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas, impulsando el marco normativo ya existente.

3.- Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Infraestructuras Críticas, implementando el concepto de seguridad integral.

4.- Capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia, ampliando las capacidades en el ámbito judicial y policial para luchar contra el terrorismo y la delincuencia en el ciberespacio.

5.- Seguridad y resiliencia de las TIC del sector privado, mediante la adopción de estándares de buenas prácticas.

6.- Conocimientos, Competencias e I+D+i. Gran parte del éxito de programa de ciberseguridad subyace en dotar una inversión importante en investigación y desarrollo que aumente nuestras capacidades. Entidades como universidades y centros de investigación tienen un valor clave que nos permitirá competir a nivel internacional, fijando las bases del conocido triángulo universidad-gobierno-empresa privada.

7.- Cultura de ciberseguridad, para que las empresas y los ciudadanos actúen de forma segura, protegiendo los valores constitucionales y destacando la importancia de la colaboración.

8.- Compromiso internacional, concretando las alianzas internacionales existentes mediante proyectos y programas. La proyección exterior es clave para mostrar el interés estratégico del nuevo entorno.

En cuanto al marco de gestión, se ha definido una nueva estructura orgánica con roles y responsabilidades definidos y sin duplicidades que deberían paliar la fragmentación actual, mejorando la eficacia y la eficiencia de las cibercapacidades nacionales. De esta forma, bajo la dirección del presidente del Gobierno, se citan tres órganos: uno existente, el Consejo de Seguridad Nacional, y otros dos de nueva creación que dependerán de éste, el Comité Especializado de Ciberseguridad, de carácter proactivo y cuya función primordial será la implantación de la Política de Seguridad Nacional; y el Comité Especializado de Situación, de carácter reactivo. Ambos comités actuarán de forma complementaria, bajo las directrices del Consejo de Seguridad Nacional, presidido por el presidente del Gobierno.

Algunas áreas de mejora

Si bien el contenido y la aproximación de la estrategia es el esperado, realizando una comparativa con otras estrategias europeas y a fin de que no quede en un mero ejercicio literario, las ausencias más notorias son:

1.- Contextualización del estado real de cibersituación nacional.

2.- Plan de acción detallado, marcando prioridades sobre esas ocho líneas, tareas específicas y un plan de implementación detallado.

3.- Impulso económico, determinando qué porcentaje de los Presupuestos Generales del Estado serán asignados para la ejecución de las líneas definidas.

4.- Definición de los mecanismos de alto nivel que favorecerán el intercambio de información entre el sector público y privado para hacer frente a los incidentes, favoreciendo el despliegue de un esquema de ciberinteligencia, y respetando los derechos fundamentales del ciudadano.

5.- Armonización legislativa, estableciendo los vínculos mínimos que permitan la coexistencia con el resto de estrategias del Estado en cuanto a políticas tecnológicas, económicas, de educación, industria, seguridad y defensa.

A sabiendas de que la puesta en marcha de los órganos anteriores, así como la implantación de la Estrategia, se realizará de forma gradual, mediante la aprobación de nuevas normativas y la adaptación de las actualmente vigentes, tenemos grandes esperanzas en la nueva ECN. Lo importante no es sólo cuándo llegaremos a los objetivos establecidos, sino cómo lo haremos.