La Estrategia de Ciberseguridad Nacional…aún queda mucho trabajo por hacer
Resulta fácil caer en la tentación de presuponer que la aprobación de la Estrategia de Ciberseguridad Nacional (en adelante, ECN) responde a un ejercicio de improvisación por parte de nuestro Gobierno tras la declaración de la Alianza Atlántica que el desarrollo de cibercapacidades constituía una responsabilidad nacional o los recientes episodios de ciberespionaje masivo, pero nada más lejos de la realidad. La ECN, aprobada el pasado jueves en Consejo de Ministros, a instancia del Consejo de Seguridad Nacional en su última reunión programada de 2013, lleva más de dos años en proceso de elaboración pero diferentes circunstancias, tales como el cambio de Gobierno en 2011 o la aprobación de la Estrategia de Seguridad Nacional, a mediados de este año, han retrasado su aprobación.
Con la aprobación de la ECN, España se convierte en el decimoctavo país europeo que dispone de una estrategia de este tipo. Aunque ésta supone un hito necesario para la construcción del Sistema Nacional de Ciberseguridad, la ECN no puede calificarse como novedosa ni en cuanto a sus propósitos ni tampoco a sus principios rectores, estando éstos alineados con la de la inmensa mayoría de nuestros aliados.
La recién aprobada ECN resulta inaccesible para la inmensa mayoría de los ciudadanos debido a la ausencia de un marco teórico que exponga la realidad e importancia estratégica del ciberespacio y su seguridad para el desarrollo social, económico, político y cultural de nuestra nación.
La ECN, como cualquier estrategia, debería establecer claramente los fines, los modos y los medios para lograr los objetivos de la ciberseguridad española en línea con la Estrategia Nacional de Seguridad, identificando así los objetivos que persigue, los medios con los que contará y priorizando las acciones para conseguir estos objetivos. Debería dar respuesta a tres cuestiones importantes: ¿Qué preocupa? (Riesgos-Amenazas), ¿Quién se preocupa? (Responsables) y ¿Cómo se responde a esa preocupación? (políticas públicas).
La definición de riesgos y amenazas es escasa, puesto que se limita a identificar – pero sin tratar su impacto, alcance, potencial, interrelación o prioridad– un conjunto de actos y actores globales que afectan a todas las naciones por igual pero se echa en falta un análisis más profundo de los riesgos y amenazas que afectan y puedan afectar a las capacidades cibernéticas nacionales.
La responsabilidad de la seguridad y de la defensa del ciberespacio nacional se encuentra muy fragmentada en el ámbito de la Administración General del Estado y de las autonomías. Tras la aprobación de la ECN la responsabilidad máxima recae en Presidencia del Gobierno, que a través del Consejo de Seguridad Nacional y apoyándose en su comité especializado en ciberseguridad, asistirá al Presidente del Gobierno en la dirección de la Política Nacional de Ciberseguridad, y en especial en el reforzamiento, coordinación y cooperación entre los diferentes actores, públicos y privados, obviándose el condicionante esencial de un enfoque integral como elemento clave para la construcción del Sistema Nacional de Ciberseguridad.
Se establecen muchas líneas de acción y acciones de carácter generalista, sin definir que las principales políticas deberían girar en torno a las siguientes características con el objetivo de crear una cultura de ciberseguridad y potenciar el triangulo Estado-Universidad-Empresa:
– La resiliencia de nuestro ciberespacio;
– La colaboración público–privada, con especial énfasis en la compartición de información.
– La educación y concienciación;
– El I+D+i;
– La potenciación y dinamización de la industria nacional de ciberseguridad, dentro y fuera de nuestro país;
– La incentivación económica del sector privado;
– La colaboración internacional.
Del mismo modo, la ECN no viene acompañada de la consiguiente dotación presupuestaria, sino que los presupuestos son los específicos de cada uno de los actores ya existentes, los cuales se han demostrado muy insuficientes para la adquisición y despliegue de capacidades, siendo necesarios planes específicos que permitan llevar a cabo una gestión eficiente y eficaz de los gastos relacionados con la ciberseguridad nacional. Tampoco se establece un plan de acción a corto-medio plazo, lo que supondrá un inconveniente a la hora de aplicar las provisiones de la Estrategia, con un cierto grado de garantía de éxito.
En definitiva, la ECN constituye el comienzo elegido para el inexorable proceso de construcción del Sistema Nacional de Ciberseguridad. Para ello, sera necesario contar con un decidido apoyo político, porque queda un ingente trabajo que hacer.
Acerca del autor
Enrique Fojon
Ingeniero Superior en Informática. Subdirector de THIBER, the cybersecurity think tank. Miembro del ISMS Forum Spain. @EFOJONC
Si, muy de acuerdo con el analisis. Como siempre, Enrique, enhorabuena. La valor de divulgación que haces de estos temas es muy meritoria. Lo cierto es que, al menos, las intenciones de la Estrategia parecen CASI buenas; no obstante, al no ir acompañadas de un presupuesto consolidado no tenemos la total garantia de que lo sean. Y no porque haya un presupuesto adicional al actual, como ya hemos comentado en mas de una ocasión, mas bien porque probablemente el actual esté muy fragmentado y carente de proyectos reales con cierto nivel de ingenería, I+D+i y expertos. Esa es la gran diferencia con los paises mas avanzados en este campo. Tambien es cierto, como bien comentas Enrique, que la Cultura Estado-Universidad-Empresa es clave, y como tu bien sabes está muy poco valorada a nivel internacional en este campo en nuestro pais, ya que los proyectos reales brillan por su ausencia. Parece que la Estrategia quiere potenciar este asunto, pero sin impulso economico lo veo francamente crudo. Hata la fecha, lamentablemente, han salido demasiadas noticias en nuestro pais sobre ciberseguridad, y muy pocos o casi ningun proyecto de calado, lo cual nos indica el nivel de madurez al que podremos llegar en una decena de años.
Buenas tardes José Ramón, Muchas gracias por tus palabras. Si somos capaces de comenzar a desarrollar políticas eficientes y en linea con lo que pongo en el post la construcción del sistema nacional de ciberseguridad podrá comenzar a ser una realidad. saludos
Buenas tardes, por motivos variados haré uso de pseudonimo. El articulo es fiel reflejo de la penosa realidad que nos toca vivir, enhorabuena por ello al autor, que esta fuera de toda duda que conoce el tema de manera profunda. El triangulo es GOBIERNO-UNIVERSIDAD-EMPRESA es una idea básica. Sin presupuesto adicional ya sabemos lo que implica y sin capacidad de integrar voluntades dificil, y mucho. Otra vez sera, pero el tiempo pasa y no aprendemos. ECN..
Buenas tardes ECN,
gracias por participar. el triangulo GOBIERNO-UNIVERSIDAD-EMPRESA es básico, asi lo hacen en muchas naciones, sobre todo las grandes potencias ciberneticas.saludos
Desde el punto de vista de la defensa de nuestro ciberespacio nacional, ¿qué es más peligroso respecto a la Estrategia de Ciberseguridad Nacional? ¿No disponer de una o tener una alumbrada sobre una situación demasiado generalista, fuera de contexto presupuestario y sin un plan de aterrizaje delimitado por prioridades, plazos e hitos temporales?
Gran trabajo!
Buenas tardes AHL,
Muchas gracias por participar en el debate.
Lo peligroso es que se quede en un papel y no exista voluntad de crear un sistema nacional de ciberseguridad con un enfoque integral. Se debe evolucionar y mejorar, ya que el ciberespacio evoluciona y nosotros debemos ir a la par o al menos cerca.
saludos
Estoy completamente de acuerdo con los comentarios anteriores, especialmente con el primero. Calificar este documento de “estrategia” es un ejercicio de cinismo preocupante. Dejando de lado las muchas carencias que tiene este documento (de hecho, lo difícil es encontrar algo que realmente valga la pena), lo que más me ha chocado es que el capítulo 1 lo finiquita en menos de dos páginas! Ni define amenazas, ni establece actores ni las prioriza…y lo del cuadro explicativo es algo espectacular.
En fin, no es que quede mucho trabajo por hacer…se ha sacado este documento, se han quedado descansados y a por otra cosa. Otra oportunidad perdida
Buenas tardes Juan,
Esperemos que no sea una oportunidad perdida sino el comienzo de un camino que nos reconduzca a la senda de la eficiencia. Eso si, se va a necesitar solida determinación política.
saludos
El simple hecho de que por lo menos exista, creo que es positivo. Pero aún así hay todavia mucho camino por recorrer.
El problema es que la seguridad y por extension la ciberseguridad siempre esta considerada un gasto, nunca una inversión, y en España, nadie mueve ficha ni invierte en ella hasta que ha pasado algo y muy gordo.
Buenas tardes Tómas,
En mi opinión no todo punto de partida por el mero hecho de existir es positivo, debe ser correcto o estar en la senda de serlo.
Muchas gracias y saludos
Enrique, muy buen post. Te agradezco la tarea que llevas acabo acercando y haciendo accesible la actualidad sobre ciberseguridad a aquellos que no somos expertos en la materia.
Quería hacerte una pregunta al hilo de la ECN, ¿cuántos actores tienen o se prevé que tengan competencias en la puesta en la práctica de la Estrategia?.
Aprovecho para pedir tu opinión sobre el artículo que publicó El Pais el día 3 de diciembre sobre los “zares de la ciberseguridad” ¿qué te parece el hecho de que hasta 5 altos cargos de ministerios y entidades diferentes vayan a turnarse en la dirección del comité?
Muchas gracias.
Buenas tardes PabloAG,
Muchas gracias por tus palabras.
Son muchos actores, repartidos en el ámbito de varios ministerios – presidencia, defensa, interior, industria,..- e incluso a nivel autonomico. En mi opinion, el sistema round robin de los ciberzares sera ineficiente y denota que el quien tiene mucho peso, no se si tanto como el que, pero tiene peso. Yo no lo hubiese hecho asi.
saluos
Entiendo que tenemos dos problemas básicamente, uno es la cooperación que brilla por su ausencia y otro el económico ya que según cuentas no ha habido un presupuesto añadido para las organismos responsables.
Entonces ¿no es realmente un solo problema, el económico? Ya que no se quieren gastar recursos en consensuar cualquier tipo de estrategia y de ahí que las cosas no se hagan como se debiera .
Buenas tardes Rachel,
En mi opinión el problema es conceptual. La ciberseguridad cuesta dinero. No hay quijotes posibles en el campo de la ciberseguridad.
saludos
Y cual es la solución? si el enfoque es coordinar vs integrar no hay nada que hacer ya que cada actor seguira haciendo la guerra por su cuenta y si además eL ciberzar irá cambiando anualmente el descontrol y cachondeo puede ser de campeonato. Esto no es una estrategia, es un refrito de ideas. por cierto, quien la ha redactao?
El articulo me ha parecido correcto, demasiado en la forma, este papel merece ser triturado en un picadora a 1000 º C.
Buenas tardes JPER,
Lo primero, un análisis critico y realista, la autocomplacencia o mirar hacia otro lado en ciberseguridad no funciona.
saludos
Enrique, ver el vaso medio lleno no ayuda nada, y menos en estos momentos. A mi me parece una buena estrategia, con las ideas claras y capacidad de consenso. De todos modos, menos criticar y mas arrimar el hombro, que propones que se haga? en tu articulo no hay ninguna idea para revertir la situacion o proponer algo diferente. Que propones? Que facil es criticar desde el teclado. Saludos a todos.
Buenas tardes Manolof,
Muchas gracias por participar en el debate.
La intención del post es realizar un análisis realista de la estrategia.
Un análisis critico no es sinónimo de negativo, siempre que se realice con rigor y espíritu constructivo y asi lo entiendan el analista y el analizado. La autocomplacencia no es buena compañera de viaje.
Un saludo
Me ha gustado mucho el modo ordenado en el que se analiza la estrategia, es facil seguirte e interpretarte. No se si eso es bueno o malo! La critica es correcta, comentas que los principios rectores soniguales que en el resto de europa, lo cual ya es un avance, pero que el resto cojea.
Tiene algo que ver los reinos de taifas ciberneticos de este pais? CCN, SETSI, Interior, Cibermando….. o es un tema cultural? Por ejemplo, muchas de las estrategias europeas estan acotadas en el tiempo, periodos de 3 o 4, 2012-2016, nosotros nada….cada cuanto tiempo deberia revisarse una estrategia? para terminar, quien es responsable de elaborar la estrategia? Adeu!
Buenas tardes Miguel,
Muchas gracias por tus palabras.
El ciberespacio es una dimension nueva, algunos paises estan mas avanzados y tienen una cultura, mas o menos, consolidada. En mi opinion de 2 a 3 años, sobre todo al principio deberia ser el periodo de vigencia de una estrategia cibernetica, teniendo en cuenta que es una dimension que evoluciona muy rapidamente.
saludos
quien es el padre de la criatura? (es decir, de la estrategia)
Enrique, muy educado pero has repartido como la mano abierta, eh?
quienes van a formar parte de los comites? Esto me suena a snacks, cocacolas y cada uno a su rollo!!!
Buenas tardes,
Estarán formado por los principales actores publicos y privados.
saludos
Enrique, gracias por abrir el dabate. Ya hay varios comentarios sobre la calidad del documento que comentas y no voy a abundar en el tema. De tus líneas, resalto este párrafo:
“La recién aprobada ECN resulta inaccesible para la inmensa mayoría de los ciudadanos debido a la ausencia de un marco teórico que exponga la realidad e importancia estratégica del ciberespacio y su seguridad para el desarrollo social, económico, político y cultural de nuestra.”
Estoy de acuerdo. La sociedad española es bastante ciber-analfabeta. Sólo cuando dejemos de serlo, demandaremos estrategias serias a nuestros gobernantes y aprobaremos gastos (inversiones) públicos de las Administraciones. ¿Cómo se puede instruir o educar a la sociedad? ¿Cómo y quién crea el necesario “marco teórico”? La línea de acción 7 debería ser la 1.
Buenas tardes Ángel,
Muchas gracias por tus palabras y participación. La creación de la cultura de ciberseguridad es el objetivo, pero nunca una linea de acción. Planes de estudio desde temprana edad para concienciar y educar sobre el uso seguro y responsable en las nuevas tecnologías. El marco teórico debe crearlo quien conozca el problema en profundidad.
abrazo
Realmente me anonada que se mencione entre los “Riesgos y amenazas para la seguridad del Estado” al Hacktivismo al mismo nivel que el terrorismo o los fenómenos naturales (pág 11 del PDF). El activismo digital, que defiende la transparencia política, la democracia líquida, el código abierto o el copyleft entre otras iniciativas en nada tiene que ver con las mafias criminales. Esto lo que denota es, efectivamente, una carencia de análisis estratificado, un déficit de método y una improvisación precupante. Habida cuenta de las medidas en exceso represoras que se han venido promulgando en el área “analógica” no podemos por menos que temernos que se avecina otro tanto en el ámbito digital. Además, no se ha contado para nada con los colegios profesionales de ingeniería e ingeniería técnica en informática para su elaboración, por lo que no puede salir más que un rodillo apisonador que estará lleno de ambiguedades, imprecisiones técnicas , ideología política y con más agujeros que un colador.
Aunque, para según qué cosas, a veces es mejor no hacer nada que meter la pata, en la parte positiva al menos parece que el Gobierno se empieza a mover en este tema que ya lleva sus buenas décadas en el candelero.
Buenas tardes Alfonso,
sin duda, mezclar actos y actores y no especificar a que se refiere con hacktivistas deja abierto el espectro a que todo el movimiento sea identificado como amenaza. La definicion de riesgos y amenazas es escasa e imprecisa.
Saludos
La imprecisión a la hora de definir los riesgos y amenazas esta fuera de toda duda, pero en la pagina 10 del pdf habla de las caracteristicas de los ciberataques-bajo coste, acil ejecución, efectiviad e impacto y reducido riesgo para el atacante-. que opinión te merecen estas caracteristicas? son asi todos los ciberataques? Muchas gracias
Buenas tardes Miguel,
Los ciberataques dirigidos y los APT suelen ser costosos ya que requieren de un proceso de elaboración largo y complejo, lo que se traduce en dinero. Si es cierto que hoy en dia es muy sencillo ciberatacar pero la tasa de exito en sitios sensibles es cada vez menor. Los ciberataques estrategicos no son baratos, ni faciles de ejecutar y si tienen riesgos para el atacante.
saludos
Buenos días.
Muy interesante el artículo y el resto de comentarios.
Una vez más parece que las iniciativas se quedan en un puñado de papel para almacenar en un cajón como la mayoría de las directivas, estudios, … que tenemos costumbre de hacer para cubrir el expediente, sin un roadmap claro y definido y avalado por una dotación presupuestaria para hacerlo posible.
Me pregunto quién son los responsables de la redacción de la estrategia.
Un saludo,
Pilar
Buenas tardes Pilar,
Gracias por participar. Estoy totalmente de acuerdo con tu opinión. Yo también me lo pregunto.
saludos
Foxtro, y la comunidad hacker buena que puede aportar aqui? jk
Buenas tardes,
los profesionales en el campo de la ciberseguridad y ciberdefensa son claves para la construccion operativa del sistema nacional de ciberseguridad. Habria que frenar la diaspora actual.
saludos
Uno de los puntos mas significativos es en el que expones ‘ se echa en falta un análisis más profundo de los riesgos y amenazas que afectan y puedan afectar a las capacidades cibernéticas nacionales’ . Hagamos el ejercicio de quitar las pocas referencias nacionales existentes y podremos reutilizar la ‘estrategia’ en China, Rusia, ZInbabue o Marruecos. Papel, papel y mas papel. Donde estan las capacidades? Tomadura de pelo MADE IN SPAIN. No entiendo como de seguridad maritima, pero si alguien puede hacer una analisis de la estrategia maritima y nos cuenta si es igual de patetica que la ciber, se lo agradeceriamos.
No puedo estar mas de acuerdo con el post. Analisis serio y preciso. Oportunidad perdida. Antonio
He sentido curiosidad por leer la ENC, tras una primera lectura en diagonal y una segunda lectura mas cuidada, debo decir que entendi lo que se dede/puede entender…… perio habra gente, mucha, con formacion muy avanzada (o eso pondran en sus CV’s con formato europeo) que tenga dificultades para entender que es el ciberespacio….y mucho mas en conocer que hara el gobierno para protegernos.
La vida es como es, el futbol es asi y el papel lo sostiene todo, desde fabulas a utopias…..
Por que deberia estar enfadado como ciudadano? Por no entender nada? Porque esta gente creo un documento de 50 paginas con 15 de ellas en blanco? Por estar indignado al comprobar que esta gente quiza no entiende nada…de nada? No se…..feliz navidad…..POr cierto mi nick y mail son falsos…..la sinceridad en este pais tiene un precio y en estas fechas quiero tener la fiesta en paz. Enrique, que los reyes te traigan muchas cosas, lo mereces. Feliz Navidad!!!!!!!!!! Merry Christmas!!!!!! Bon Nadal!!!!!!!