Estrategia Española de Seguridad. Un análisis ciber

[Publicado originalmente en Carpe Diem – Reproducido con permiso del autor] Hace unos días se publicó la denominada “Estrategia Española de Seguridad. Una responsabilidad de todos” (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí). En mi opinión, un documento de obligada lectura (no llega a […]

[Publicado originalmente en Carpe Diem – Reproducido con permiso del autor]

Hace unos días se publicó la denominada “Estrategia Española de Seguridad. Una responsabilidad de todos” (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, “ciber“:

  • Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
  • Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades “lógica” y “física”).
  • Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
  • Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
  • Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
  • Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:

  1. Me gusta el enfoque de “estar preparados para lo imprevisible”, es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
  2. En cierta forma, parece adoptar también el manifiesto agilecuando dice “esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. […] debemos afrontar el cambio con confianza, responsabilidad y eficacia”.
  3. Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
  4. Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar… al menos, es mi punto de vista.
  5. En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
  6. Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
  7. Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensiónciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
  8. En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
  9. Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
  10. Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.

[Os pido perdón por la longitud de esta entrada]

Síguenos en twitter.com/enplusone