Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

Luces y sombras en la Estrategia de Ciberseguridad Nacional

04/03/2014
En este número, RED SEGURIDAD ha querido reunir a parte de su consejo técnico asesor para analizar entre todos la nueva Estrategia de Ciberseguridad Nacional. Para los asistentes esta iniciativa resulta beneficiosa para España en la lucha contra la ciberdelincuencia, pero debería haber sido algo más ambiciosa.
De izda. a dcha., Vicente Aceituno, director de ISSA España; Ricardo López, jefe de Auditoría Interna y Seguridad de la Información de Cecabank; Antonio Ramos, presidente de ISACA Madrid; Gianluca D’Antonio, presidente de ISMS Forum Spain; Ana Borredá, directora de RED SEGURIDAD; Enrique González, redactor jefe de RED SEGURIDAD; Tomás Arroyo, consejero independiente de seguridad; y David Marchal, colaborador de RED SEGURIDAD.

Tras un largo proceso de elaboración y varios meses de espera, el Consejo de Seguridad Nacional (CSN) aprobó el pasado 5 de diciembre la Estrategia de Ciberseguridad Nacional (ECN), con el objetivo de responder a las amenazas que afectan en el ciberespacio a la seguridad nacional. España se sumaba así al extenso grupo de países europeos que ya disponían de una estrategia de estas características. Por este motivo, en el último desayuno institucional de RED SEGURIDAD se reunieron varios integrantes del consejo técnico asesor de la revista para poner sobre la mesa sus impresiones al respecto y valorar lo que implica esta iniciativa, tanto para la Administración en su conjunto, como para el sector de la seguridad TIC en particular. 

El debate comenzó con la pregunta obligada sobre qué les parecía la ECN. En general, todos coincidieron en señalar la importancia de que se haya aprobado una iniciativa de estas características, aunque haya llegado un poco tarde con respecto a otros países de nuestro entorno. Para Antonio Ramos, presidente de ISACA (Information System Audit Control Association) Madrid, “sin entrar a valorar la estrategia en sí misma", lo más importante es que se ha publicado. "Hacía falta algo así", afirmó. Además, explicó que, de esta forma, se avanza en el modelo de gobernanza de la ciberseguridad. "Dentro de la Administración española había muchos actores que estaban actuando de forma descoordinada en este tema. Al menos, ahora se establecen las pautas que deben seguir cada uno de ellos.

TomásArroyo
Tomás Arroyo Consejero Independiente. "El problema es la Estrategia de Ciberseguridad Nacinoal no 'vende' en la sociedad"

Se trata, por tanto, de la primera aproximación que tenemos, por lo que es mejor que nada. Ya habrá tiempo de mejorarla", añadió. Asimismo, compartió algunos puntos que le gustan especialmente, como que no ponga "el foco de atención exclusivamente en los mecanismos preventivos, sino también en la detección y en la respuesta".

De opinión similar se mostró Ricardo López, jefe de Auditoría Interna y Seguridad de la Información de Cecabank, para quien la Estrategia de Ciberseguridad Nacional es "buena como declaración de intenciones".

Sin embargo, matizó, "hay que ver cómo se va a producir el desarrollo real de todas las cuestiones que se abordan en ella". Para el directivo, se exponen algunos temas que no quedan muy claros, como la creación de una estructura matricial o racional de gestión de incidencias. "Hay muchas instituciones que están inmersas en esta iniciativa, pero no acabo de ver una estructura unívoca que ataque los problemas de forma marginal y establezca soluciones en común", manifestó. 

Por su parte, Giunluca D'Antonio, presidente de ISMS Forum Spain, se mostró algo más crítico al respecto. "Para nuestra asociación la Estrategia obtiene un aprobado raspado, en tanto en cuanto había ciertos elementos que nos hacían presagiar que iba a ser más ambiciosa, y no ha sido así. Máxime cuando se ha tardado tanto en su elaboración. Por ejemplo, se podían haber sacado más ideas de las estrategias nacionales del entorno europeo y occidental", aseguró. Además, para él, se queda escasa en el ámbito estratégico.

"La estrategia es lo que define los medios, los recursos, las etapas y el método para alcanzarlos, y de esto se ve poco", confirmó. El directivo tampoco se mostró muy conforme con que no aparezca ninguna referencia a la dotación económica para hacer viable esta iniciativa, y que tampoco sirva de desarrollo de la industria de seguridad TIC española. "Se hubiera podido aprovechar esta hoja de ruta para trazar realmente cuáles son los hitos y cómo vamos a impulsar la madurez en este ámbito. En cambio, no existe ningún tipo de métrica para ver cómo se va a hacer, sin objetivos medibles, ni desde el punto de vista económico ni del social", concluyó su intervención.Para Tomás Arroyo, consejero independiente de seguridad, el problema radica en dos cuestiones importantes. "La primera es que la estrategia de ciberseguridad no vende en la sociedad.

La política tiene otras prioridades, incluso dentro de las Fuerzas y Cuerpos de Seguridad del Estado. Son las entidades privadas las que se tienen que proteger", expuso. A esto se une la imposibilidad de poner fronteras al ciberespacio. "España tiene unas normas, mientras que los países cercanos tienen otras bien distintas. En cambio, todo ha de confluir en un tema global. Se quieren tener leyes propias, pero no tiene sentido esa diferenciación. Habría que establecer esquemas más claros y sumarlos a la madurez de otros países, que están poniendo más medios, y nosotros subirnos a ese carro. No podemos ir por libre.

Es un problema de cultura y madurez de protección", señaló. De todos los intervinientes en la mesa redonda, Vicente Aceituno, director de la Asociación Española para la Seguridad de los Sistemas de la Información (ISSA España), es el que más centró su discurso inicial en valorar los aspectos positivos de la nueva estrategia y enumerar los puntos que más le satisfacen de este proyecto. "Me gusta que se marque como resultado final la confianza; es decir, que las empresas, la Administración y los ciudadanos puedan utilizar el ciberespacio con confianza como resultado final de la estrategia", aseguró. "También me gusta que se hable de eficiencia, de mejora continua, de simulación de incidentes y de cooperación y coordinación internacional", opinó.

Gianluca
Gianluca D'Antonio Presidente ISMS Forum Spain. "Para nuestra asociación, la Estrategia de Ciberseguridad Nacional obtiene un aprobado raspado"

Cooperación internacional

Precisamente, la cooperación internacional fue un tema que a continuación generó un intenso coloquio entre los asistentes a la mesa redonda. Para Ramos, de ISACA Madrid, "disponer de una estrategia nacional está bien, pero hay que tener en cuenta que existe otra holandesa, otra alemana, otra francesa, otra europea... Competimos por recursos con Estados Unidos y China, que tienen una cada uno. En cambio, en Europa cada cual tendrá la suya.

Al final vamos a estar en desventaja con aquéllos que tienen un planteamiento más global que el nuestro", afirmó. Por eso, para el directivo hace falta que "los estados se impregnen y tengan claro que necesitan unos profesionales y una industria fuerte en el mundo de la ciberseguridad. La mejor forma de que no les pase nada a los estados es que sean fuertes y estén preparados y capacitados. Ahí es donde nuestra Estrategia podía haber hecho más, sentando la bases para construir un sector fuerte de ciberseguridad", sostuvo.

También se puso sobre la mesa la directiva europea de ciberseguridad. Para López, de Cecabank, "lo lógico sería su transposición a todos los países miembros". Aunque, para el directivo, también es importante saber "qué dotación tiene cada país para implantar un sistema preventivo o uno de gestión de incidencias y notificación permanente".Precisamente, D’Antonio, de ISMS Forum Spain, quiso matizar este aspecto apuntando que "las directivas no contemplan presupuestos o vínculos de presupuestos, y no indican cifras de cuánto hay que destinar a cada estado.

La directiva tiene dotación económica en Europa. Además, quieren hacer una directiva única que no se transponga a los países". También señaló que en ella se menciona la eficiencia como un criterio, pero después la realidad demuestra que esto no se pone en marcha. Por ejemplo, puntualizó, "¿cuantos países de Europa tienen CERT autonómicos?

Sólo España. Esto no es eficiencia si no están coordinados en el ámbito nacional, europeo y de la OCDE". De ahí, el debate se trasladó hacia la necesidad de que Europa tenga una relevancia en el panorama internacional. Eso, para Ramos, de ISACA Madrid, "se consigue impulsando políticas de liderazgo, innovación y tecnología. Europa en ciberseguridad es algo muy pequeño. El monopolio de las ciberarmas está en manos de Estados Unidos y otras potencias como los chinos. Aquí no desarrollamos software. ¿Cómo vamos a poder defendernos en el ciberespacio si no vamos a tener armas? Las deberemos comprar", opinó. D’Antonio, por su parte, apuntó que las redes sociales ya actúan como "una ciberarma increíble", capaz de desestabilizar un país. "Si no, que se lo pregunten a los egipcios", indicó. 

Para ver la crónica completa del desayuno descárgate el pdf que encontrarás a continuación.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual