El pasado 30 de abril, el Boletín Oficial del Estado publicó la nueva Estrategia Nacional de Ciberseguridad, una evolución de la aprobada en 2013 con la que se pretende garantizar la seguridad, las infraestructuras y la tecnología que integran el ciberespacio. En otras palabras, este documento supone una actualización frente a las amenazas-y-vulnerabilidades y desafíos tras la experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de aquel año y la aprobación, en 2017, de la nueva Estrategia Nacional de Seguridad, la cual otorga un especial protagonismo a la protección del ciberespacio.
En palabras de Carlos Manchado, CISO de Naturgy Energy Group, «la ciberseguridad adquiere una mayor relevancia día tras día, tanto en iniciativas privadas como en las públicas. España, como miembro preeminente de la Unión Europea, no puede ignorar esta tendencia y, como prueba de ello, presenta esta actualización de su Estrategia Nacional de Ciberseguridad».
Al respecto también se pronuncia Francisco Lázaro, CISO de Renfe, para quien la Estrategia Nacional de Ciberseguridad «ha evolucionado, madurado, y lo ha hecho de una forma muy positiva en estos seis años que la separan de la anterior». Esta madurez la lleva, a juicio del directivo, «a disponer de la autonomía tecnológica mediante el fomento de una base industrial nacional de ciberseguridad, la I+D+i y la gestión del talento tecnológico, señalando la estrategia de que la ciberseguridad es progreso, por lo que el apoyo e impulso de la industria española de ciberseguridad, la promoción de un entorno que favorezca la investigación, el desarrollo y la innovación, y la participación del mundo académico tiene un carácter singular».
Por su parte, Félix Arteaga, investigador principal de ciberseguridad del Real Instituto Elcano, opina que, en conjunto, «la actualización representa un avance sobre la anterior en aspectos de capacitación, normalización, evaluación, apoyo a la industria, seguridad por diseño o defensa activa, entre otras cuestiones». Claro que, continúa, aunque son «medidas bien orientadas», su desarrollo dependerá «del respaldo político y presupuestario del nuevo Gobierno».
Tras esta valoración inicial, y entrando de lleno en la Estrategia, hay que decir que se encuentra estructurada en cinco capítulos, que vamos a desarrollar a continuación.
Capítulo 1
El primer capítulo se titula «El ciberespacio como espacio común global». En él se presentan las oportunidades y desafíos del ciberespacio y la infraestructura digital, expone el carácter internacional de la aproximación a la seguridad y describe los principales rasgos de la nueva concepción de la ciberseguridad en España.
Capítulo 2
El documento aborda en su segundo capítulo las principales amenazas-y-vulnerabilidades y desafíos del ciberespacio a los que se enfrenta España, que clasifica en dos categorías: las que amenazan a activos que forman parte del ciberespacio y aquellas que usan el ciberespacio como medio para realizar actividades maliciosas e ilícitas de todo tipo.
Dentro de estas últimas, el texto menciona dos en concreto: el ciberespionaje y la cibercriminalidad. En cuanto al primero, es un método mucho más rápido y con menores riesgos que el espionaje tradicional debido al fácil anonimato. Lo llevan a cabo, principalmente, organismos de ciberinteligencia y militares que poseen sofisticados recursos e infraestructuras y amplios conocimientos. En este sentido, el documento advierte de que están aumentando las llamadas amenazas-y-vulnerabilidades híbridas que constituyen un ataque a las vulnerabilidades de las instituciones y estados democráticos a través de distintos medios, como acciones militares tradicionales, ciberataques, operaciones de manipulación de la información o elementos de presión económica.
En cuanto al segundo, el documento engloba a los ciberdelincuentes, que actúan bajo esquemas de crimen organizado y pretenden usar técnicas para crear modelos de negocio lucrativo y de bajo riesgo; a los grupos terroristas, que usan las debilidades del ciberespacio para realizar ciberataques o efectuar acciones de radicalización de personas y grupos; y a los grupos hacktivistas, que realizan ciberataques por motivos ideológicos y quieren que tengan un gran impacto social o mediático.
Capítulo 3
De esta forma, llegamos al tercer capítulo del texto, que habla sobre el propósito y los principios por los que se rige la Estrategia; así como los objetivos –uno general y cinco específicos– que resultan transversales a todos los ámbitos.
Así pues, los principios de la Estrategia son:
En primer lugar, la unidad de acción, que el documento describe así: «Toda respuesta ante un incidente en el ámbito de la ciberseguridad que pueda implicar a distintos agentes del Estado se verá reforzada si es coherente, coordinada y se resuelve de manera rápida y eficaz; cualidades alcanzables a través de la adecuada preparación y articulación de la unidad de acción del Estado».
El segundo es la anticipación, porque, tal y como menciona el texto, priman las actuaciones preventivas sobre las reactivas. Disponer de sistemas eficaces, con información compartida lo más próxima al tiempo real, permite alcanzar un adecuado conocimiento de la situación.
El tercero es la eficiencia, en tanto en cuanto la ciberseguridad precisa del empleo de sistemas multipropósito de gran valor y elevado grado tecnológico, que llevan asociadas unas necesidades muy exigentes y un alto coste derivado de su desarrollo, adquisición y operación.
Y el último es la resiliencia, una característica fundamental que deben poseer los sistemas e infraestructuras críticas. Es más, el Estado está obligado a asegurar la disponibilidad de los elementos que se consideren esenciales para la nación, mejorando su protección contra las amenazas-y-vulnerabilidades.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
Archivado en:
