En un entorno poco favorecedor tras los
escándalos de ciberespionaje masivo y un contexto presupuestario austero, el
pasado 5 de diciembre el Consejo de Ministros aprobaba la Estrategia de Ciberseguridad
Nacional (ECN) a instancias del Consejo
de Seguridad Nacional. Dicho texto, cuya génesis se remonta al 2011, desarrolla
el punto correspondiente de la Estrategia de Seguridad
Nacional presentada el pasado mayo y que contemplaba la ciberseguridad dentro de sus doce ámbitos de
actuación.
Con más de dieciséis ciberestrategias
nacionales y una directiva europea, una creciente expectación ha
rodeado la gestación del documento que debía otorgar tanto el reconocimiento
estratégico que tiene el ciberespacio para nuestro país como nuestro
posicionamiento en este nuevo entorno virtual. En este sentido, ¿qué puntos
debería contener formalmente esta estrategia? El primero es qué preocupa,
identificando qué tipo de ciberamenazas son las más probables, contextualizadas
a la realidad española, identificando los nuevos actores y sus motivaciones, mediante el conocimiento
detallado de cibersituación. El segundo es quién tiene responsabilidades,
delimitando roles y órganos de gestión para la puesta en marcha de la Política de Ciberseguridad Nacional. Y, finalmente,
cómo se responde a esa preocupación, con líneas de actuación y medidas
concretas que marquen una firme determinación política en la consecución de los
objetivos marcados.
De esta forma, la ECN desarrolla los principios
base como el liderazgo nacional y la coordinación de esfuerzos; la
responsabilidad compartida; la proporcionalidad, racionalidad y eficacia; y la
cooperación internacional como extensión de los principios informadores de la
Estrategia de Seguridad Nacional.
Líneas de acción
A la hora de desarrollar esos conceptos base, la
ECN articula ocho líneas de acción:
1.- Capacidad de prevención,
detección, respuesta y recuperación ante las ciberamenazas, habilitando
mecanismos de colaboración interadministrativa que hagan frente a la gran
fragmentación de los actores estatales con competencias en ciberseguridad.
2.- Seguridad de los Sistemas de
Información y Telecomunicaciones que soportan las Administraciones Públicas,
impulsando el marco normativo ya existente.
3.- Seguridad de los Sistemas de Información y
Telecomunicaciones que soportan las Infraestructuras Críticas,
implementando el concepto de seguridad integral.
4.- Capacidad de investigación y
persecución del ciberterrorismo y la ciberdelincuencia, ampliando
las capacidades en el ámbito judicial y policial para luchar contra el
terrorismo y la delincuencia en el ciberespacio.
5.- Seguridad y resiliencia de
las TIC del sector privado, mediante la adopción de estándares de buenas
prácticas.
6.- Conocimientos, Competencias e
I+D+i. Gran parte del éxito de programa de ciberseguridad subyace en
dotar una inversión importante en investigación y desarrollo que aumente
nuestras capacidades. Entidades como universidades y centros de investigación
tienen un valor clave que nos permitirá competir a nivel internacional, fijando
las bases del conocido triángulo universidad-gobierno-empresa privada.
7.- Cultura de ciberseguridad,
para que las empresas y los ciudadanos actúen de forma segura, protegiendo los
valores constitucionales y destacando la importancia de la colaboración.
8.- Compromiso internacional,
concretando las alianzas internacionales existentes mediante proyectos y
programas. La proyección exterior es clave para mostrar el interés estratégico
del nuevo entorno.
En cuanto al marco de gestión, se ha definido
una nueva estructura orgánica con roles y responsabilidades definidos y sin
duplicidades que deberían paliar la fragmentación actual, mejorando la eficacia
y la eficiencia de las cibercapacidades nacionales. De esta forma, bajo la
dirección del presidente del Gobierno, se citan tres órganos: uno existente, el
Consejo de Seguridad Nacional, y otros dos de nueva creación que dependerán de
éste, el Comité Especializado de Ciberseguridad, de carácter proactivo y cuya
función primordial será la implantación de la Política de Seguridad Nacional; y
el Comité Especializado de Situación, de carácter reactivo. Ambos comités
actuarán de forma complementaria, bajo las directrices del Consejo de Seguridad
Nacional, presidido por el presidente del Gobierno.
Algunas áreas de mejora
Si bien el contenido y la aproximación de la
estrategia es el esperado, realizando una comparativa con otras estrategias
europeas y a fin de que no quede en un mero ejercicio literario, las ausencias
más notorias son:
1.- Contextualización del estado
real de cibersituación nacional.
2.- Plan de acción detallado,
marcando prioridades sobre esas ocho líneas, tareas específicas y un plan de
implementación detallado.
3.- Impulso económico,
determinando qué porcentaje de los Presupuestos Generales del Estado serán
asignados para la ejecución de las líneas definidas.
4.- Definición de los mecanismos
de alto nivel que favorecerán el intercambio de información entre el sector
público y privado para hacer frente a los incidentes, favoreciendo el
despliegue de un esquema de ciberinteligencia, y respetando los derechos
fundamentales del ciudadano.
5.- Armonización legislativa,
estableciendo los vínculos mínimos que permitan la coexistencia con el resto de
estrategias del Estado en cuanto a políticas tecnológicas, económicas, de
educación, industria, seguridad y defensa.
A sabiendas de que la puesta en marcha de los
órganos anteriores, así como la implantación de la Estrategia, se realizará de
forma gradual, mediante la aprobación de nuevas normativas y la adaptación de
las actualmente vigentes, tenemos grandes esperanzas en la nueva ECN. Lo
importante no es sólo cuándo llegaremos a los objetivos establecidos, sino cómo
lo haremos.
Fuente: ticbeat.com
No hay comentarios:
Publicar un comentario