Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE Especial Convergencia

Ciberseguridad, la gran esperanza

03/06/2013 - Ángel Gallego
La escalada de tensión entre Estados Unidos y China sube los decibelios de la 'guerra fría' cibernética. la seguridad digital está llamada a impulsar con su presencia legislativa verdaderas estrategias de seguridad integral en las organizaciones.

Durante la Guerra Fría, la tensión entre Estados Unidos y la extinta Unión Soviética nunca pasó a mayores, debido a que no se llegó a producir ninguna agresión directa entre ambas potencias. Una situación muy parecida -aunque por vías bien distintas a las de entonces- a la que viven actualmente Estados Unidos y China, que ha sustituido a su vecino del norte en el mapa geopolítico. Los ciberataques se suceden bidireccionalmente entre acusaciones mutuas de ciberespionaje sin que llegue la sangre al río, de momento, con la amenaza de una ciberguerra continuamente en el horizonte.

La tensión creciente es el escenario común entre la época actual y la situación previa a la caída del Muro. La diferencia estriba en la naturaleza de las amenazas, ahora precedidas del prefijo ciber-. El acceso a información confidencial a través de la Red puede poner en riesgo las infraestructuras críticas de un país y, como consecuencia, la seguridad nacional. El Pentágono es consciente de ello y entiende que China utiliza los conocimientos de su ‘ejército de hackers’ para hacer mella en la capacidad de respuesta americana en caso de enfrentamiento militar tradicional, lo que explica la necesidad de estar alerta, más que nunca, en base a una estrategia de seguridad global.

Tal y como recordaba Eugene Kaspersky, Chief Executive Officer (CEO) y fundador de Kaspersky Lab, en el último Infosecurity: “Todas las compañías son víctimas de ciberataques, independientemente de que lo sepan o no”. Por este motivo, el directivo instó a todas las organizaciones a hacer todo lo posible para evitar que su información crítica caiga en manos de los cibercriminales. “Todos los negocios están en primera línea de batalla en la ciberguerra”, añadió.

Posiblemente, Israel es el país del mundo con un mayor grado de compromiso con la seguridad en todas sus facetas, incluida la física y la lógica. No es de extrañar, en una situación donde las amenazas son globales, que el Ejecutivo israelí haya aprobado una iniciativa para preparar a jóvenes desde los 16 hasta los 18 años en cuestiones de ciberguerra. “Somos uno de los líderes en el campo de la ciberseguridad y debemos mantener esta posición. Continuaremos formando a la generación del futuro”, declaró al respecto el primer ministro de Israel, Benjamín Netanyahu, que vio cómo la ciberamenaza Flame impactó de lleno en su país.

Todas estas situaciones, presentes en los medios de comunicación generalistas, reflejan que la Seguridad Integral es una obligación para toda nación que vele por el bienestar de sus ciudadanos. Además del sector público, la ciberseguridad está ejerciendo de fuerza impulsora de la convergencia en el ámbito privado desde hace años, y muy concretamente en el de las infraestructuras críticas.

Colaboración insuficiente

Los debates en torno a la convergencia y la necesidad de integrar bajo una misma óptica seguridad física y lógica no es nada nuevo. De hecho, desde 2009, editorial Borrmart organiza el Encuentro de la Seguridad Integral (Seg2), que este año se embarca en su quinta edición, y con el que siempre se ha promovido el diálogo entre ambos mundos, que todavía viven de espaldas en buena parte de las organizaciones.

Desde este foro, se ha defendido con firmeza la necesidad de fomentar la colaboración para establecer una estrategia de Seguridad Integral eficaz en las organizaciones, liderada por el Chief Security Officer (CSO), un directivo con vía de comunicación y confianza directa de la alta Dirección, un mando único capaz de hacer que los equipos especializados trabajen aprovechando verdaderas sinergias; en definitiva, un gestor que abarque la visión global de prevención, defensa y respuesta más allá de cualquier adjetivo que podamos sumarle al sustantivo Seguridad.

La convicción sobre la necesidad de abrazar esta teoría aumenta y así lo reconocen las últimas medidas conjuntas aprobadas por el Ministerio del Interior y el Ministerio de Industria, Energía y Turismo, totalmente comprometidos con la ciberseguridad.

Sin embargo, lo más preocupante es que la Seguridad Integral no alcance un reflejo contundente en las organizaciones, como apuntaban algunas consultoras cuando el Seg2 iniciaba su andadura. Gartner indicaba en el año 2009 que en 2012 el número de organizaciones que contaría con proyectos que integrasen ambas disciplinas se situaría en un 70 por ciento. RED SEGURIDAD se ha puesto en contacto con la consultora, que asegura no disponer de datos actualizados que permitan valorar el acierto o desacierto de su previsión.

En Estados Unidos, el 50 por ciento de las organizaciones no contempla planes de convergencia. Sin embargo, un 25 por ciento reporta procesos de seguridad física y lógica a un único director

Por otra parte, Information Week reveló, a partir de una encuesta realizada en 2012 en Estados Unidos, que la mitad de las organizaciones no había integrado las funciones de sus departamentos de seguridad física y lógica. Además, este 50 por ciento manifestó no contemplar ningún plan favorable a la convergencia, un porcentaje que no se ha alterado, ya que el mismo estudio, llevado a cabo por este semanario norteamericano en 2009, obtuvo idéntico resultado.

No obstante, su conclusión difiere significativamente en función del territorio. ASIS Internacional publicó un informe en Europa, donde a la pregunta “¿Considera importante combinar las diferentes facetas/actividades de seguridad?”, únicamente un once por ciento respondió que no, mientras que el 89 por ciento se mostró a favor de estrategias globales. El 71 por ciento de los que respondieron afirmativamente, opina que es vital dar el paso, a tenor de la naturaleza física/digital de las amenazas, mientras que el 46 por ciento justifica su posición por el ahorro de costes que supone una estrategia convergente de Seguridad.

Para traducir en cifras el estado actual de la convergencia, llama poderosamente la atención un dato proveniente de Estados Unidos. Según el portal de analistas 451 Security, un 27 por ciento de las compañías estadounidenses reporta sus funciones de seguridad física y lógica a un único director ejecutivo. Teniendo en cuenta que la dirección unificada es el máximo grado de la convergencia en la práctica, el futuro resulta bastante alentador, aunque no hemos hallado datos que trasladen esta cuestión al Viejo Continente.

Como el aceite y el vinagre

La designación de un responsable único de Seguridad, llámese CSO o director de Seguridad Corporativa, es la parte más compleja del proceso convergente. Ha quedado constancia en anteriores ediciones del Seg2 que no es sencillo habilitar un puesto de estas características, pero antes es requisito imprescindible desterrar la creencia de que es necesario que atesore conocimientos sobre Seguridad de la Información y Seguridad Patrimonial al máximo nivel, un requisito que no es imperioso para una labor de coordinación. Si ambas disciplinas se mantienen como elementos separados, la organización es más costosa y los procesos, más complejos. Seguridad física y lógica han de funcionar como el aliño de una ensalada: el aceite y el vinagre logran el efecto deseado únicamente si están bien ligados entre sí y mezclados con los ingredientes principales.

La separación en silos y el aislamiento de los profesionales deriva en una seguridad descoordinada, en una organización con empleados confusos, que no actúan por miedo a entrar en conflicto con las políticas establecidas. En Seguridad, lo último que desearía escuchar la alta Dirección ante un posible ataque o brecha de seguridad es: “Eso no era responsabilidad mía”. Por este motivo, los líderes de la Seguridad Corporativa deben ejecutar un plan coordinado, un programa global de riesgos que evalúe la organización como un todo, expuesto a las amenazas globales. Un CSO tiene la obligación de velar por la ciberseguridad sin necesidad de supervisar directamente al departamento de TI. Basta con que su coordinación sea precisa con el Chief Information Officer (CIO) o el Chief Information Security Officer (CISO), que son los conocedores y quienes dirigen estrategias para la seguridad de las redes y de la información corporativa.

Tal y como se ha subrayado en diferentes ocasiones desde estas páginas, no es necesario contratar más personal para hacer frente a la convergencia, sino realizar cambios severos en cuanto a la organización y crear sólidas líneas de colaboración, así como contar con profesionales especializados y expertos en las diferentes áreas. La ciberseguridad se alza con la capacidad de ejercer como verdadera palanca de una Seguridad sin apellidos, pues, más allá de las seguridades física y lógica, la medioambiental, la jurídica o la laboral, entre otras, son disciplinas que deben ser contempladas.

Leyes: una de cal y otra de arena

La naturaleza de las amenazas evolucionó para crear ataques dirigidos, como Stuxnet, que aprovechaba una vulnerabilidad informática para infligir un daño físico en una central nuclear. A raíz de estos hechos, las administraciones públicas comenzaron a mover ficha en términos legislativos. El objetivo era, en primera instancia, proteger a los operadores críticos y, en segundo lugar, crear estrategias de ciberseguridad nacionales. Tras la aprobación de la Ley PIC en España, todas las miradas estaban puestas en la futura Estrategia Española de Ciberseguridad (EECS) y en la nueva Ley de Seguridad Privada.

En el caso de la esperada estrategia, el texto aún no se ha aprobado, seguramente a la espera de ajustarlo a las últimas exigencias de la Agencia Europea para la Seguridad de la Información y de las Redes (ENISA). Además, la EECS servirá de guía para los responsables de la dirección, control y gestión de la ciberseguridad nacional y, como consecuencia, de salvaguarda para la economía de España.

Por otra parte, el anteproyecto de la Ley de Seguridad Privada se hace eco por primera vez de la ciberseguridad, aunque no con la profundidad y precisión que esperaba el sector de la Seguridad TIC. El texto considera a la “seguridad informática” como actividad compatible con la Seguridad Privada, pero fuera del ámbito de aplicación de la ley. No obstante, esta “seguridad informática” (término en desuso, en favor de “Seguridad de la Información”) sí que es contemplada como un tipo de medida “destinada a la protección de personas y bienes”.

En cualquier caso, el desencanto radica en que el concepto de Seguridad Integral no se defiende en el anteproyecto como el resultado de la convergencia entre seguridad física y lógica, sino como una mayor colaboración/integración de seguridad pública y privada. Editorial Borrmart y el Seg2 defienden que la Seguridad Integral es mucho más, que va más allá de una petición tan razonable como antigua.

La gran pregunta es: ¿Estamos preparados para hacer frente a las ciberamenazas o a los ataques de tipología combinada? España está avanzando en la buena dirección, como muestra la reciente creación de un CERT para infraestructuras críticas, impulsado por los ministerios de Interior e Industria, pero no es suficiente. A medida que aumenta la dependencia TI a las infraestructuras, el nivel de vulnerabilidad de un país también se incrementa y solo hay que ver las graves consecuencias que puede suponer para su integridad. La desconexión de Internet que sufrió Estonia en 2007 o el robo de información confidencial entre China y Estados Unidos son los ejemplos más claros.

A la espera de la EECS

En vista de los últimos acontecimientos, la gran esperanza de nuestro país se resume en unas siglas: EECS, que corresponden con Estrategia Española de Ciberseguridad. Se espera su aprobación para el año en curso y las expectativas del sector son elevadas, sobre todo tras el paso del Ejecutivo para crear la Dirección de Seguridad Nacional, dependiente de Presidencia del Gobierno.

Los expertos confían en que este texto clarifique el futuro de la Ciberseguridad en España, eliminando duplicidades y designando con claridad a un elemento coordinador que integre a todos los actores.

El Centro Criptológico Nacional (CCN), del Centro Nacional de Inteligencia (CNI), tiene todas las papeletas para liderar la EECS, más desde que al CNI el nuevo Ejecutivo lo 'sacó' del Ministerio de Defensa para depender del Ministerio de la Presidencia, directamente de la mano de la 'número dos' del Gobierno, Soraya Sáenz de Santamaría.

A pesar de lo cual -o por ello- portavoces del CCN-CERT enumeraron recientemente, en las jornadas de la Cátedra Isdefe, algunas deficiencias que debería solventar la futura estrategia. Entre ellas, se destacaba la insuficiencia de recursos humanos, técnicos y económicos en los diferentes organismos con competencias en ciberseguridad. Asimismo, Javier Candau, jefe del Área de Ciberseguridad del CCN, estima insuficientes los mecanismos de defensa de la Administración y opina que no existe el nivel de comunicación deseable entre organismos de los sectores público y privado.

Este centro confía en que la EECS proporcione un conjunto integrado de medidas de aplicación a los sectores afectados en materia de ciberseguridad y que permita la aplicación de la normativa de Protección de Infraestructuras Criticas (Ley PIC).

Por último y, aunque la situación de crisis económica complica todo lo relacionado con presupuestos públicos, el CCN-CERT clama por una inversión en recursos destinados a las capacidades de prevención y respuesta ante el ciberterrorismo.

Recordar que parece ser que la EECS nacerá sin presupuesto alguno, frente a otras como la británica que partió con un presupuesto de 650 millones de libras.

El otro gran bastión de la Ciberseguridad es el Instituto Nacional de Tecnologías de la Comunicación (Inteco), la institución mejor posicionada porque es la referencia española en Seguridad de la Información desde su nacimiento y, actualmente, junto a CNPIC, dirige el CERT que gestiona los incidentes de seguridad que afectan a las infraestructuras críticas, como se detalla en la crónica de página 6.

Otro elemento indispensable en esta red de protección nacional es el Ministerio de Defensa, con su recién creado mando única de Ciberdefensa, así como todos los esfuerzos que en esta materia están llevando a cabo los ejércitos y las fuerzas armadas.

El sector de la Seguridad TIC espera ansioso la EECS, y un "ciberzar" global, pero con cautela. Es preferible que se retrase su publicación y no defraude su llegada. Si consigue calar en la conciencia de la alta Dirección, la ciberseguridad será algo más que la gran esperanza de la Seguridad Integral. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual