REPORTAJE

Un vistazo a la nueva Estrategia Nacional de Ciberseguridad

14/06/2019 - Tx: David Marchal, Ft: RED SEGURIDAD
España cuenta desde abril con una nueva estrategia nacional de ciberseguridad, que sustituye a la de 2013. los nuevos desafíos en el entorno digital exigían una revisión de este documento, que incluye novedades tan importantes como la creación de un foro nacional del ciberseguridad.

El pasado 30 de abril, el Boletín Oficial del Estado publicó la nueva Estrategia Nacional de Ciberseguridad, una evolución de la aprobada en 2013 con la que se pretende garantizar la seguridad, las infraestructuras y la tecnología que integran el ciberespacio. En otras palabras, este documento supone una actualización frente a las amenazas y desafíos tras la experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de aquel año y la aprobación, en 2017, de la nueva Estrategia Nacional de Seguridad, la cual otorga un especial protagonismo a la protección del ciberespacio.

En palabras de Carlos Manchado, CISO de Naturgy Energy Group, "la ciberseguridad adquiere una mayor relevancia día tras día, tanto en iniciativas privadas como en las públicas. España, como miembro preeminente de la Unión Europea, no puede ignorar esta tendencia y, como prueba de ello, presenta esta actualización de su Estrategia Nacional de Ciberseguridad".

Al respecto también se pronuncia Francisco Lázaro, CISO de Renfe, para quien la Estrategia Nacional de Ciberseguridad "ha evolucionado, madurado, y lo ha hecho de una forma muy positiva en estos seis años que la separan de la anterior". Esta madurez la lleva, a juicio del directivo, "a disponer de la autonomía tecnológica mediante el fomento de una base industrial nacional de ciberseguridad, la I+D+i y la gestión del talento tecnológico, señalando la estrategia de que la ciberseguridad es progreso, por lo que el apoyo e impulso de la industria española de ciberseguridad, la promoción de un entorno que favorezca la investigación, el desarrollo y la innovación, y la participación del mundo académico tiene un carácter singular".

Por su parte, Félix Arteaga, investigador principal de ciberseguridad del Real Instituto Elcano, opina que, en conjunto, "la actualización representa un avance sobre la anterior en aspectos de capacitación, normalización, evaluación, apoyo a la industria, seguridad por diseño o defensa activa, entre otras cuestiones". Claro que, continúa, aunque son "medidas bien orientadas", su desarrollo dependerá "del respaldo político y presupuestario del nuevo Gobierno".Tras esta valoración inicial, y entrando de lleno en la Estrategia, hay que decir que se encuentra estructurada en cinco capítulos, que vamos a desarrollar a continuación.

Capítulo 1

El primer capítulo se titula "El ciberespacio como espacio común global". En él se presentan las oportunidades y desafíos del ciberespacio y la infraestructura digital, expone el carácter internacional de la aproximación a la seguridad y describe los principales rasgos de la nueva concepción de la ciberseguridad en España.

Capítulo 2

El documento aborda en su segundo capítulo las principales amenazas y desafíos del ciberespacio a los que se enfrenta España, que clasifica en dos categorías: las que amenazan a activos que forman parte del ciberespacio y aquellas que usan el ciberespacio como medio para realizar actividades maliciosas e ilícitas de todo tipo.

Dentro de estas últimas, el texto menciona dos en concreto: el ciberespionaje y la cibercriminalidad.

En cuanto al primero, es un método mucho más rápido y con menores riesgos que el espionaje tradicional debido al fácil anonimato. Lo llevan a cabo, principalmente, organismos de inteligencia y militares que poseen sofisticados recursos e infraestructuras y amplios conocimientos. En este sentido, el documento advierte de que están aumentando las llamadas amenazas híbridas que constituyen un ataque a las vulnerabilidades de las instituciones y estados democráticos a través de distintos medios, como acciones militares tradicionales, ciberataques, operaciones de manipulación de la información o elementos de presión económica.

En cuanto al segundo, el documento engloba a los ciberdelincuentes, que actúan bajo esquemas de crimen organizado y pretenden usar técnicas para crear modelos de negocio lucrativo y de bajo riesgo; a los grupos terroristas, que usan las debilidades del ciberespacio para realizar ciberataques o efectuar acciones de radicalización de personas y grupos; y a los grupos hacktivistas, que realizan ciberataques por motivos ideológicos y quieren que tengan un gran impacto social o mediático.

Capítulo 3

De esta forma, llegamos al tercer capítulo del texto, que habla sobre el propósito y los principios por los que se rige la Estrategia; así como los objetivos –uno general y cinco específicos– que resultan transversales a todos los ámbitos.

Así pues, los principios de la Estrategia son:

En primer lugar, la unidad de acción, que el documento describe así: "Toda respuesta ante un incidente en el ámbito de la ciberseguridad que pueda implicar a distintos agentes del Estado se verá reforzada si es coherente, coordinada y se resuelve de manera rápida y eficaz; cualidades alcanzables a través de la adecuada preparación y articulación de la unidad de acción del Estado".

El segundo es la anticipación, porque, tal y como menciona el texto, priman las actuaciones preventivas sobre las reactivas. Disponer de sistemas eficaces, con información compartida lo más próxima al tiempo real, permite alcanzar un adecuado conocimiento de la situación.

El tercero es la eficiencia, en tanto en cuanto la ciberseguridad precisa del empleo de sistemas multipropósito de gran valor y elevado grado tecnológico, que llevan asociadas unas necesidades muy exigentes y un alto coste derivado de su desarrollo, adquisición y operación.

Y el último es la resiliencia, una característica fundamental que deben poseer los sistemas e infraestructuras críticas. Es más, el Estado está obligado a asegurar la disponibilidad de los elementos que se consideren esenciales para la nación, mejorando su protección contra las ciberamenazas.

De ahí se pasa el objetivo general de la Estrategia: España debe garantizar el uso seguro y fiable del ciberespacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progreso socioeconómico. En este punto, Manchado, de Naturgy, subraya el hecho de que se ponga el foco en la importancia de los derechos del individuo. "El Estado español tiene un deber para con sus ciudadanos, y este documento recoge ese compromiso de manera expresa. La privacidad, la libertad de expresión y el derecho a la información de los individuos se encuentran expuestos a un número creciente de amenazas y es necesaria la colaboración entre las empresas privadas y los organismos públicos para garantizar su protección".

Esto, precisamente, se desarrolla a través de una serie de objetivos específicos que se enumeran en el documento. El primero es la seguridad y la resiliencia de las redes y sistemas de información y comunicaciones del sector público, a fin de crear servicios más eficientes y seguros. Para ello, cita la necesidad de aplicar medidas de seguridad que mejoren la capacidad de prevención, detección y respuesta ante un ciberataque, mediante un refuerzo de la coordinación y adaptación de la legislación.

El segundo objetivo hace referencia al uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso. Para ello, es importante reforzar la cooperación judicial y policial, nacional e internacional, así como proporcionar formación y suficientes recursos a los organismos competentes para investigar el cibercrimen. Sin olvidar, por supuesto, la colaboración ciudadana en este ámbito.

El tercero se refiere a la protección del ecosistema empresarial y social y de los ciudadanos para garantizar el derecho que tienen a usar el ciberespacio de forma segura. Y expone claramente que, más allá de las medidas de seguridad que implanten los profesionales y empresas para garantizar la protección de la información que manejan, el Estado debe establecer unas medidas generales de ciberseguridad que serán de obligado cumplimiento. Por su parte, los ciudadanos deben también hacer un uso responsable de la red.

En otras palabras, tal y como apunta Manchado, de Naturgy: "Se propone afrontar el reto de la ciberseguridad desde una prespectiva transversal, que ya no solo fomente la colaboración entre el mundo privado y el público, sino que englobe a la sociedad en su conjunto".

Todo ello enlaza con el objetivo cuarto, en el que se menciona la cultura y el compromiso con la ciberseguridad, así como la potenciación de las capacidades humanas y tecnológicas. A juicio de Lázaro, de Renfe, este punto "remarca la necesidad de incrementar las campañas de concienciación a ciudadanos y empresas, promover la difusión de la cultura de la ciberseguridad como una buena práctica empresarial, y reconocer la implicación de las empresas en la mejora de la ciberseguridad colectiva como Responsabilidad Social Corporativa". Y al respecto, añade: "Estrechamente unido a este concepto amplio de cultura destacar la creación dentro de la Estrategia del Foro Nacional de Ciberseguridad como una potente herramienta para buscar una unidad de acción, compatibilizándola con una visión plural y enriquecedora de los actores destinados a formar parte del mismo".

Finalmente, el último objetivo que cita el documento es la seguridad del ciberespacio en el ámbito internacional. El Estado aspira a crear un marco para la cooperación y la prevención internacional de ciberdelitos con el que se creará un ciberespacio más seguro, plural y fiable. A través de la colaboración internacional se aumentará la confianza en Internet, en el desarrollo de nuevas tecnologías y en la transformación digital. Con ello se pretende llegar al mercado único digital.

Capítulo 4

Una vez expuestos los objetivos de la Estrategia, el texto aborda de qué forma se puede llegar a ellos; es decir, cuáles son las líneas de acción y las medidas para su consecución, las cuales resume en siete puntos:

  1. Reforzar las capacidades ante las amenazas provenientes del ciberespacio.
  2. Garantizar la seguridad y resiliencia de los activos estratégicos para España. Incluye entre sus medidas, por un lado, asegurar la plena implantación del Esquema Nacional de Seguridad, del Sistema de Protección de las Infraestructuras Críticas, y el cumplimiento y armonización de la normativa sobre protección de infraestructuras críticas y servicios esenciales, con un enfoque prioritario basado en el riesgo; y, por otro, desarrollar el Centro de Operaciones de Ciberseguridad de la Administración General del Estado, que mejore las capacidades de prevención, detección y respuesta, e impulsar el desarrollo de centros de operaciones de ciberseguridad en el ámbito autonómico y local. A juicio de Lázaro, de Renfe, “la Estrategia apela a la responsabilidad del liderazgo y le asigna ese papel al sector público y a los operadores de servicios esenciales, los cuales deben involucrarse activamente en un proceso de mejora continua respecto de la protección de sus sistemas de Tecnologías de la Información y las Comunicaciones basados en una vigilancia permanente de su exposición a las amenazas". Y añade: "Estos agentes deben servir como modelo de buenas prácticas en la gestión de la ciberseguridad y, entre otros aspectos, deben gestionar los riesgos asociados a la cadena de suministro”.
  3. Reforzar las capacidades de investigación y persecución de la cibercriminalidad para garantizar la seguridad ciudadana y la protección de los derechos y libertades en el ciberespacio.
  4. Impulsar la ciberseguridad de ciudadanos y empresas.
  5. Potenciar la industria española de ciberseguridad, y la generación y retención de talento, para el fortalecimiento de la autonomía digital.
  6. Contribuir a la seguridad del ciberespacio en el ámbito internacional, promoviendo un ciberespacio abierto, plural, seguro y confiable, en apoyo de los intereses nacionales.
  7. Desarrollar una cultura de ciberseguridad.

Capítulo 5

El documento concluye con el capítulo cinco, titulado "La ciberseguridad en el Sistema de Seguridad Nacional", el cual define la arquitectura orgánica de la ciberseguridad, integrándola en el actual Sistema de Seguridad Nacional con los siguientes organismos: el Consejo de Seguridad Nacional, el Comité de Situación (único para el conjunto del Sistema de Seguridad Nacional ante situaciones de crisis), el Consejo Nacional de Ciberseguridad, la Comisión Permanente de Ciberseguridad, el Foro Nacional de Ciberseguridad y las Autoridades públicas competentes y los CSIRT de referencia nacionales.

Conclusiones

Para finalizar, el documento habla de que la Estrategia se concibe como "un documento vivo que ha de adaptarse a la evolución de la ciberseguridad, por lo que deberá ser objeto de revisión continua, como también los planes específicos y sectoriales que de ella se deriven". Además, prevé la elaboración de un informe anual de evaluación de la Estrategia donde figurará el grado de ejecución y cumplimiento de sus objetivos. Precisamente, al respecto se pronuncia Manchado, de Naturgy: "Debemos tener presente que la ciberseguridad es algo 'vivo'. Una Estrategia Nacional aporta valor en muchos sentidos y facilita enormemente la colaboración público-privada, pero debemos ser conscientes de que es necesario mantenerla actualizada y adaptada a un escenario en cambio constante". Por otro lado, en esa misma línea, el directivo señala que "es conveniente impulsar iniciativas de este tipo que trasciendan las fronteras, engloben bajo su alcance a varios países y nos ayuden a coordinar estrategias transnacionales. En ciberseguridad, como en tantas otras cosas, unidos, somos más fuertes", manifiesta.

Ahora bien, no todo son aspectos positivos; también hay algunos otros mejorables, como el que apunta Lázaro, de Renfe: "En el documento se utiliza 259 veces la palabra seguridad o su variante ciberseguridad y ni una sola vez la figura del responsable de Seguridad de la Información o CISO. Esa ausencia no la menciono por un rasgo corporativista de profesión, sino porque creo firmemente que sin esa figura, la cual tiene la preocupación específica de la ciberseguridad, no hay ciberseguridad en las empresas y organismos", reconoce.

Por su parte, Arteaga, del Real Instituto Elcano, menciona otro inconveniente: "La Estrategia, sus objetivos y líneas de acción son homologables con las estrategias más avanzadas, pero, a diferencia de ellas, no cuenta con una memoria económica o compromiso de gasto que la respalde. La falta de dotación presupuestaria revela un desfase entre la importancia que se da a la ciberseguridad y los recursos públicos que se dedican a atenderla, y salvo que el nuevo Gobierno respalde la Estrategia con fondos, la ciberseguridad seguirá siendo una política pública menor, a pesar de lo bien diseñadas que estén las orientaciones de su Estrategia", asegura el directivo.

En cualquier caso, esta nueva Estrategia supone un impulso más a la hora de avanzar en la protección de nuestros activos digitales; no solo los de España como país, sino también los de sus empresas y ciudadanos. El siguiente paso, por tanto, consiste en llevar a la práctica todos los objetivos que se enumeran en este documento, haciendo hincapié en la creación y el fomento de una verdadera cultura de ciberseguridad con la crezcan las generaciones futuras.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual