La Estrategia Nacional de Ciberseguridad 2019
El pasado jueves 27 el Comité de Sociedad Digital del Instituto de la Ingeniería de España organizó la jornada “La Estrategia Nacional de Ciberseguridad 2019”. Presidió la jornada D. Víctor M. Izquierdo Loyola, presidente del Comité de Sociedad Digital del IIE acompañado de D. Enrique Rodríguez Fagúndez, presidente del Comité de Tecnologías de la Defensa, quienes presentaron la jornada, a los ponentes y moderaron la mesa redonda. Para esta ocasión contamos como ponentes con D. Alejandro Pinto González, Consejero Técnico Ciberseguridad. Departamento de Seguridad Nacional. Gabinete de la Presidencia del Gobierno. D. Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN) y D. Ignacio González Ubierna, Subdirector de Tecnologías de Ciberseguridad. Instituto Nacional de Ciberseguridad (INCIBE).
La jornada tuvo formato de “mesa redonda” y varios temas salieron a la luz, como el alcance de la Estrategia de Ciberseguridad: el marco en el que se formula, los objetivos que pretende, las acciones y medidas que contempla, así como el modelo de gobernanza adoptado, as amenazas y desafíos que hoy se viven en el ciberespacio, así como las tendencias de dichas amenazas, así como las líneas de acción a seguir.
Comenzó la jornada el señor Pinto hablando sobre el porqué de las estrategias en España y las capacidades del propio estado, los “músculos” de desarrollo y trabajo en referencia al resto de países de Europa. Realizó un breve repaso de la historia y la evolución de la estructura organizativa y de cómo se ha pasado de pequeñas infraestructuras a grandes centros, como en apenas 15 años, se ha pasado de ser un tema pseudodesconocido a uno de máxima relevancia, debido en parte, a los ciberataques sufridos durante la última década a nivel global, capaz de colapsar un país o crear el caos en una ciudad. En 2011 España se pone a trabajar y a gestar su estrategia y organización y esta ve la luz en 2013, cuando se creó el Órgano Nacional de Ciberseguridad. Dicha estrategia se ha actualizado este año 2019 debido a la enorme evolución informática en la que nos encontramos, el Internet de las cosas, el 5G, el Big Data… afectan directamente a la Seguridad Nacional. Establece que hay que darle más presencia al sector privado, involucrarlos de una forma más notable y desde la concepción del programa. Es imprescindible materializar el Foro Nacional de Ciberseguridad para la cooperación y el trabajo conjunto de los organismos y no dar tanta independencia ya que eso solo ralentiza la actuación y empeora la eficacia.
Otro punto a tener en cuenta es el cambio de mentalidad y pasar de una estrategia defensiva a una ofensiva, como medida disuasoria, ya que la mentalidad defensiva solo consigue “parchear” los ataques sufridos. Por ello es imprescindible aumentar el presupuesto dirigido a la Ciberseguridad y poder dar un salto cualitativo, o nos quedaremos rezagados.
Prosiguió la jornada el señor González hablando sobre la continuidad de la Estrategia Nacional de Ciberseguridad 2019, cuyas líneas de actuación seguían acorde con las de 2013, pero también los nuevos caminos a seguir en esta era. La primera tiene que ver con el objetivo 3, protección del ecosistema empresarial, social y de los ciudadanos, “Todas las personas y asociaciones tienen derecho a estar en un espacio seguro en el ciberespacio, de calidad y de fácil acceso”. Por lo tanto debemos implantar medidas de Ciberdefensa activa, no solo hay que protegerse, hay que saber cuáles pueden ser los ataques y trampas que podemos encontrar en el ciberespacio, ya que la mayoría de las personas no sabe que está “infectada” hasta que es demasiado tarde y el daño ya está hecho. Por ello un proyecto es el de registrar la IP de los españoles que están por Europa y avisarles de que su IP está en peligro de convertirse en “zombis” al servicio de terceros.
Para poder detectar las cuentas que han caído en un “fishing” (página web que te invita a dar tus datos, pero que en realidad es una trampa) los proveedores de Internet como Telefónica son indispensables para notificarlo a la gente que ha sido víctima de ciberataques, “la mejor defensa, es un buen ataque” por ello lo que se pretende es prever los ataques en vez de intentar “bloquearlos” como primera medida.
Concluyó la jornada el señor Candau quien habló de la estrategia de Ciberseguridad en el Sector Público. Los principios de la regulación datan de 2004 con la CCN y la ley orgánica de protección de datos, este evolucionó en 2010 hasta el esquema nacional de (Ciber)seguridad, seguida de la lay CNPIC en 2011, que marca las bases a seguir. En 2015 el esquema nacional de seguridad deja de ser una directriz, para transformarse en una normal obligatoria a seguir y marcar los incidentes. Desde la UE llegan 2 directivas que hay que sumar, la Directiva NIS en 2016 y la GDPR en 2018, la suma de todo ello nos sitúa en el ámbito en el que nos encontramos.
Existen 3 ideas que debemos destacar: Análisis de riesgos, medidas de seguridad y notificación de quiebras. Con estas medidas de fortalecen tres aspectos: dotar a los países de mayor capacidad, potenciar la cooperación y sobretodo en los requisitos de seguridad. España se encuentra en la vanguardia de la notificación, medición y regulación, aventajando por mucho a nuestros colegas europeos. El problema que encontramos, es que gastamos mucho, pero de forma desordenada y desigual. Las líneas de acción que se siguen desde el Estado son dos: la primera es reforzar la capacidad técnica frente a las amenazas del ciberespacio, mediante la cooperación, coordinación, etc. La segunda línea de acción consiste en garantizar la seguridad y resiliencia de los activos estratégicos para España, ampliando y fortaleciendo las capacidades de prevención, detección y respuesta (simplificándolo viene a decir que si nos atacan, atacaremos).
Lo que se pretende con estas líneas de acción es unificar, simplificar y homogeneizar el funcionamiento general y el control de la Ciberseguridad, en España hay miles de ayuntamientos e infraestructuras, cada una con su propio modelo, por lo que en vez de que cada uno tenga un modelo propio e ineficaz, lo que se está llevando a cabo es tener 4 o 5 modelos útiles para todos. Se trata de cambiar la forma de actuar, en vez de tener varios programas “baratos”, tener pocos “caros”, preferencia de calidad frente a cantidad.
Para cerrar la jornada el D. Javier quiso remarcar que: la estrategia de 2019 tenemos establecidos nuevos objetivos sin saber el cumplimiento de la de 2013, debemos mejorar el ámbito de actuación real. La necesidad de fondos y apoyos políticos para el sector público, la investigación de nuevos modelos y seguir a la vanguardia de Europa en gestión de riesgos, medidas de seguridad y notificación de incidentes.