Big Data y ciberseguridad, una unión de gran conveniencia

Desde hace tiempo estamos inmersos en una auténtica revolución, la «revolución de los datos«; y es que éstos operan, sin lugar a dudas, como piedra angular de la actual economía y sociedad del conocimiento. A modo de ejemplo, si se atienden a las últimas previsiones de la Comisión Europea acerca del valor de la economía de los datos en el año 2020, se estima que el mismo alcanzará los 643.000 millones de euros, lo que representa el 3,17 por ciento del PIB total de la UE, empleando a 7,4 millones de personas1.

Por ello, no es de extrañar que la UE haya apostado firmemente por un renovado modelo económico basado en el adecuado procesamiento a escala de los datos e información que fluye a nivel global2 (economía de los datos europea) como prioridad en el marco de la Estrategia para el Mercado Único Digital. Tal es así que, por un lado, la normativa europea establece que la protección de los datos personales no puede suponer un obstáculo para la libre circulación de los datos personales dentro de la Unión3 (principio de la libre circulación de los datos) y, por otro lado, que la Comisión Europea prepare en estos momentos sendas iniciativas legislativas relativas tanto a la libre circulación transfronteriza de los datos no personales (prevista para otoño de este año), como sobre la accesibilidad y la reutilización de los datos públicos y receptores de financiación pública (prevista para la primavera de 2018).

Dentro de la economía europea de los datos, resulta fundamental la construcción de un mercado único de los macrodatos (Big Data), si bien la plena consecución de estos objetivos requiere atender de forma necesaria a dos prioridades adicionales, a saber:

• La de proteger los activos, plataformas, sistemas, aparatos y dispositivos conectados4 y, con carácter general, promover un ecosistema cibernético fiable ante entornos de conectividad omnipresente, promoviendo alianzas público-privadas5 para hacer frente de forma efectiva y eficiente a los retos de la ciberseguridad.
• La de proteger proporcional y razonablemente los datos personales concernidos en el despliegue y desarrollo de la nueva economía europea de los datos, a través de normas uniformes y coherentes con los objetivos de desarrollo proyectados, en particular, en el Reglamento europeo General de Protección de Datos (RGPD).

Por lo que concierne a la ciberseguridad, la UE ha dado pasos importantes desde el año 2013, habiendo adoptado una estrategia específica6 en este ámbito, aprobando una Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva UE 2016/1148 –Directiva NIS–)7, y apostando por el desarrollo de aplicaciones de macrodatos ciberseguras. Además, en los próximos meses, la Comisión Europea prevé:

• Revisar la Estrategia de Ciberseguridad de la UE, de 2013, para hacer frente a los riesgos de la actualidad, a través de una concreta evaluación de los avances y mejoras alcanzadas mediante dicha Estrategia.
• Revisar el mandato de la ENISA (European Union Agency for Network and Information Security) para definir su función en el nuevo ecosistema de ciberseguridad.
• Elaborar medidas sobre normas, certificación y etiquetado de ciberseguridad, para aumentar la ciberseguridad de los sistemas basados en las TIC, incluidos los objetos conectados, al objeto que sean más ciberseguros.

Sentido bidireccional

En base al anterior marco estratégico y normativo de actuación, se puede afirmar que la relación entre Big Data y ciberseguridad se desarrolla, al menos, en un sentido bidireccional, puesto que:

• En el contexto de la citada economía europea de datos, no es posible desarrollar ni concebir tecnologías, aplicaciones, soluciones y/o proyectos de Big Data que no consideren e integren parámetros concretos de seguridad y privacidad desde su proyección y diseño, al objeto de garantizar la ciberseguridad de la información y los datos que fluyen a través de éstos, así como sus específicos fines (Big Data ciberseguro). De hecho, una de las principales recomendaciones contenidas en el informe de ENISA titulado «Big Data Security. Good Practices and Recommendations on the Security of Big Data Systems«8 es la necesidad de potenciar estándares y certificaciones que promuevan la ciberseguridad de los productos, sistemas y servicios Big Data.
• Es un hecho corroborado que las tecnologías Big Data pueden aportar información relevante a las empresas y organizaciones que éstas pueden analizar al objeto de planificar de una forma más adecuada sus protocolos y estrategias particulares de ciberseguridad (Cyber Security Analytics) mediante la aplicación de técnicas de «Big Data Cyber-Security Analytics»9. Pueden extraer valor de los datos que manejan para prevenir y reaccionar, incluso, en tiempo real y de forma más certera ante posibles amenazas, ciberataques, fraudes y violaciones de la seguridad de la información y datos corporativos (Big Data Security). También los gobiernos estudian la forma de aprovechar toda esta información generada a través de procesos Big Data para prevenir el cibercrimen, el terrorismo y mejorar la seguridad nacional.10

Gestión inteligente

Sin duda, los datos aportan valor a quien los sabe analizar, interpretar y aplicar de forma adecuada a sus intereses y fines, ya se trate de procesos de utilización de datos propios o de reutilización de información generada por terceros, ya se trate del sector público o del sector privado. Por eso, el gran reto se encuentra en conocer cómo acometer tales procesos de forma inteligente, haciendo de la ley aplicable una aliada competitiva y empleando, en el caso de los datos de carácter personal, criterios específicos de minimización en su tratamiento y de disociación y anonimización, en particular, en el caso de proyectos Big Data.

Se puede afirmar que la relación entre Big Data y ciberseguridad se desarrolla, al menos, en un sentido bidireccional

Asimismo, es importante obtener información de valor a partir de procesos de «Big Data Cyber-Security Analytics» y aplicar la misma en favor de la ciberseguridad interna; pero también lo es compartir e intercambiar con terceros, públicos y/o privados, aquella información que trascienda del ámbito meramente corporativo, con protección a la confidencialidad, la seguridad, los derechos de las personas, y de los legítimos intereses empresariales o públicos que corresponda en cada caso, todo ello, en atención a la legislación aplicable. Y es que la reutilización por terceros de esta información, bajo ciertas normas y garantías, puede ayudar a éstos a generar y a actualizar los planes, estrategias y soluciones de ciberseguridad con que cuenten de forma coherente con las necesidades reales en cada momento. Las previsiones contenidas en la Directiva NIS acerca del posible intercambio de información y buenas prácticas en este ámbito constituyen un excelente punto de partida.

1. Consultar en: http://europa.eu/rapid/press-release_IP-17-5_es.htm
2. Puede remitirse a diversos enlaces de interés: http://europa.eu/rapid/press-release_IP-17-5_es.htm; http://europa.eu/rapid/press-release_MEMO-17-6_en.htm; y https://ec.europa.eu/digital-single-market/en/building-european-data-economy
3. Ver Considerando 53 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE: https://www.boe.es/doue/2016/119/L00001-00088.pdf
4. Para 2020, se calcula que 6.000 millones de aparatos electrodomésticos (televisores, frigoríficos, lavadoras, etc.) estarán conectados a Internet solo en la UE. Ver la página 16 de la “Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones” relativa a la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital. Un mercado único digital conectado para todos. COM (2017) 228 final: https://ec.europa.eu/transparency/regdoc/rep/1/2017/ES/COM-2017-228-F1-ES-MAIN-PART-1.PDF
5. La Comisión ha firmado con la industria un acuerdo sobre ciberseguridad para hacer frente a las ciberamenazas: http://europa.eu/rapid/press-release_IP-16-2321_es.htm
6. Puede consultarse la actual Estrategia de Ciberseguridad europea a través de estos enlaces: http://europa.eu/rapid/press-release_IP-13-94_es.htm y https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security
7. Puede accederse al texto de esta Directiva a partir de la siguiente URL: https://www.boe.es/doue/2016/194/L00001-00030.pdf.
8. «Big Data Security. Good Practices and Recommendations on the Security of Big Data Systems». ENISA. Diciembre de 2015: https://www.enisa.europa.eu/publications/big-data-security
9. Existe una interesante publicación sobre Big Data y Ciberdefensa titulada «Big Data Analytics in Cyber Defense», elaborada por el Insituto Ponemon Institute. Febrero de 2013: https://www.ponemon.org/local/upload/file/Big_Data_Analytics_in_Cyber_Defense_V12.pdf
10. Esta previsión se contiene de forma particular en el Estudio de Incibe sobre «Tendencias en el mercado de la ciberseguridad». Julio de 2016: https://www.incibe.es/sites/default/files/estudios/tendencias_en_el_mercado_de_la_ciberseguridad.pdf