Análisis "Blueprint for a Secure Cyber Future"

Desde que se publicó en noviembre del año pasado, tenía en el "to do" este documento del Departamento de Seguridad Nacional de los EE.UU. (DHS) en el que se define la Estrategia de Ciberseguridad (pdf).

Aunque es un documento de 50 páginas, se queda en 25 sin los apéndices, por lo que es bastante asequible.

En la imagen adjunta podéis ver un pequeño mapa mental que he ido preparando mientras lo leía (si alguien lo quiere, no tiene más que pedírmelo).

Esta estrategia de ciberseguridad deriva directamente de la Estrategia de Seguridad Nacional publicada por el Presidente Obama (pdf) y del hecho de que proteger el ciberespacio sea una de las 5 áreas en las que se organiza la misión de la seguridad nacional.

Toda la estrategia parte de una visión que transcribo porque es bastante ilustrativa: "Nuestra visión es un ciberespacio que supone una infraestructura secura y resiliente que permite la innovación y la prosperidad y que protege por diseño la privacidad y otras libertades civiles. Una infraestructura en la que podemos usar el ciberespacio con confianza para avanzar en nuestros intereses económicos y mantener la seguridad nacional en todas las condiciones".

Esta visión se traduce en dos áreas de acción: Proteger nuestra Infraestructura de Información Crítica HOY y construir un ciber-ecosistema más fuerte para MAÑANA [hay que ver cómo me suena esto a los típicos objetivos que se establecen con TOC].

Cada área de acción conlleva una serie de metas, en total 8, repartidas a partes iguales entre las dos áreas:

• Proteger nuestra infraestructura de información crítica hoy:
• Reducir la exposición al ciber-riresgo
• Asegurar una respuesta prioritaria y la recuperación
• Mantener una conciencia compartida sobre la situación
• Mejorar la resiliencia
• Construir un ciber-ecosistema más fuera para mañana:
• Capacitar a los individuos y a las organizaciones para operar de manera segura
• Construir y utilizar protocolos, productos, servicios, configuraciones y arquitecturas más confiables
• Construir comunidades colaborativas
• Establecer procesos transparentes

Finalmente cada uno de estas metas se desarrolla en objetivos, generando un total de 20 que conllevan el desarrollo de toda una serie de competencias básicas que debe llevar a cabo el DHS.

Algunos aspectos que me gustaría destacar:

• Que desde el comienzo se reconoce que el objetivo de un ciberespacio más seguro es compartido y que el Gobierno, por si solo, no puede lograrlo.
• El respeto a la privacidad y los derechos civiles desde el propio enunciado de la visión.
• El equilibrio entre proteger lo de ahora y mejorar el futuro.
• La descripción detallada del rol del DHS que figura en el apéndice A del documento.
• El peso que tienen las infraestructuras críticas y su protección [¿será un preludio del peso que tendrá el CNPIC en España en el futuro?]
• Finalmente, que cuando lees el documento encuentras en muchos apartados la referencia a mecanismos ágiles de gestión (automatización, capacitación de los usuarios, propiedad compartida, rapidez de puesta en marcha...) que nos llevan a pensar que la agilidad y la seguridad cada vez van a estar más unidas [en lugar de opuestas, como piensan algunos].

Puedes seguirme en twitter.com/antonio_ramosga

Resumen del 2011 de Carpe Diem

Cuando faltan unos días para el sexto aniversario del blog (el 18 de enero), voy a continuar con la tradición comenzada el año pasado de revisar las visitas durante el año que acaba de terminar.

El primer dato es el número de visitas: 6.569 (prácticamente un 26% más que en 2010), lo cual no está nada mal, considerando que solo he escrito 21 entradas (menos que nunca). Y no es que escriba menos, sino que estoy "compartiendo" mi actividad bloguera con n+1 (23 entradas), leet security (4 entradas) e INTECO (2 entradas); así que, en total, han sido 50 entradas en el año.

El top 5 de entradas consultadas en 2011 han sido:

• La tradicional, "Cifrar versus encriptar"
• El eslabón más débil de la cadena
• Auditor de protección de datos
• [S21sec)
• ¿Hacemos un Plan Director?

Y las entradas de 2011 más vistas han sido:

• El cloud computing y el futuro de los profesionales de seguridad
• Estrategia Española de Seguridad. Un análisis ciber
• Guía para cumplir con PCI-DSS si usamos virtualización
• PCI-DSS 2.0: Mi análisis de los cambios
• España y la ciberguerra

Finalmente, la mayoría de los 4.753 visitantes siguen siendo de España (un 68%), lo que significa que han aumentado a un 32% los que me visitáis desde el extranjero (por orden de magnitud): México (343), Argentina (194), Colombia (187), Perú (107) y el resto ya con menos de 100 visitantes (Chile, Estados Unidos, Venezuela, Ecuador, Reino Unido...)

Puedes seguirme en twitter.com/antonio_ramosga

Democracia 2.0 [offtopic]

Las circunstancias económicas de estos tiempos y la respuesta dada por la clase política, más preocupados por ellos mismos que por los que los votamos, aderezado por el movimiento 15-m, me ha hecho reflexionar sobre lo poco representado que me siento por los dirigentes políticos.

Me ha dado por pensar: ¿Habrá alguna otra forma de organizarnos? ¿Son los partidos políticos la mejor opción? ¿Es la democracia la mejor opción?

En el proceso reflexivo, se me han pasado muchas ideas por la mente: Intervención del sector financiero estilo economía planificada, listas abiertas, pasar de los partidos políticos y de la democracia... y otras locuras varias.

Al final, la conclusión de mis reflexiones es algo que he llamado 'Democracia 2.0' que, básicamente, consistiría en la democratización de la democracia gracias a Internet.

Me voy a tratar de explicar. En mi opinión, la cuestión es que, hasta la aparición de Internet, la democracia necesitaba mecanismos de representación porque no existía una forma sencilla de comunicación que permitiera a los ciudadanos hablar, debatir sobre los aspectos que les preocupaban y expresar su opinión. Hacían falta unos intermediarios, unos vehículos que canalizaran las opiniones de los ciudadanos, y es ahí donde surgen los partidos políticos.

Pero Internet, la Web y las redes sociales han cambiado el escenario. En el momento actual, podríamos decir que es cuestionable la necesidad de todos aquellos que hasta ahora funcionaban como "simples" intermediarios de información. De igual forma que los medios de comunicación o las agencias de viaje están intentando vislumbrar como será su futuro o si tienen futuro puesto que las redes sociales han demostrado su capacidad para actuar como nexo entre los emisores de las noticias y los destinatarios o la Web sirve perfectamente para planear unas vacaciones, los partidos políticos tendrían que pensar si tienen futuro.

Es decir, ¿para qué necesito unos partidos políticos que actúen como el "teléfono escacharrao" entre sus votantes y los órganos de Gobierno? ¿Por qué tengo que "casarme" con un programa político cerrado si me pueden gustar unas medidas de unos y otras de otros? ¿Por qué tenemos que sufragar los costes de mantenimiento de los aparatos de los partidos o las campañas electorales?

En definitiva, ¿para qué necesitamos a los partidos políticos si gracias a Internet  todos los ciudadanos podemos expresar nuestra opinión sobre cualquier tema en cualquier momento? ¿No podríamos funcionar con unos gestores que se limitaran a ejecutar las instrucciones que recibieran de la ciudadanía en su conjunto mediante mecanismos de votación on line? Al fin y al cabo sería como sustituir el Congreso de los Diputados por un 'Congreso de los Ciudadanos' donde en lugar de inferir la opinión de toda la ciudadanía a través de los votos de unos cuantos, se podría tener la opinión en directo de los ciudadanos.

No cabe duda que esta vía tendría grandes retos por delante: seguridad de los sistemas de votación, usurpaciones de identidad, difusión del eDNI, mecanismos para disponer de información suficiente para la toma de decisiones [¿OpenGovernment?] y un largo etcétera, pero, en mi opinión, si este sistema se implantara, estaríamos hablando del sistema democrático más puro posible donde los ciudadanos harían oír su voz de manera continua, no una vez cada cuatro años.

En fin, perdonad por la reflexión totalmente offtopic de la temática de este blog, pero llevaba tiempo dando vueltas y me apetecía compartirla con los que leéis este blog.

Puedes seguirme en twitter.com/antonio_ramosga

España y la ciberguerra

El objetivo de esta entrada es reflexionar sobre las declaraciones de uno de los responsables del CCN-CERT que han causado cierto revuelo estos días de atrás.

Vaya por delante mi más sincero respeto a la labor de los miembros de nuestras fuerzas y cuerpos de seguridad y, en particular, la del CCN-CERT.

No pude estar en Valencia y, por tanto, voy a opinar en función de lo que se ha escrito en los medios de comunicación sobre el tema (en concreto, aquí y aquí).

En general, tengo que reconocer que estoy de acuerdo con la opinión que ha expresado Lorenzo en Security by Default, es decir, hay que INVERTIR en seguridad, pero eso de "pasar al ataque" suena un poco heavy.

Como no pude estar, voy a hablar en función de la información que tengo, pero en cualquier caso, no tengo al CCN como un organismo dado a irse de la lengua. Es decir, creo que dicen lo que quieren decir y que, cuando lo dicen, es por algún motivo.

De hecho, hay que poner en contexto las declaraciones. El evento tiene lugar el día 24 de noviembre:

• Cuatro días después de las Elecciones Generales y en pleno período de agitación interna en la Administración Pública en previsión de los cambios que se ven venir y donde todo el mundo está haciendo sus movimientos para quedar lo mejor posible en la nueva foto.
• Una semana antes de la reunión del G6 en París en la que participó también la Secretaria Napolitano del DHS americano.

Por tanto, en mi opinión, todo responde a una maniobra perfectamente organizada para reclamar lo que todos llevamos diciendo mucho tiempo: "Hay que INVERTIR en seguridad". Lo que ocurre es que, si decimos esto simplemente, todos sabemos que no va a ir a ningún titular de ningún medio de prensa, por lo tanto, para asegurarnos de que el mensaje llega, es necesario poner algunos fuegos artificiales y es ahí donde tiene su encuadre lo de "pasar al ataque".

Para mi, cuando el CCN dice esto, lo que nos está diciendo [o mejor dicho, lo que está diciendo a los que acaban de llegar al Gobierno] es: "Señores, estamos sufriendo ataques todos los días y con los medios y recursos de los que disponemos es cuestión de tiempo que consigan el objetivo. Debemos ser proactivos; tenemos que dotarnos de herramientas y profesionales que puedan actuar en el ciberespacio".

Ahora bien, dicho esto, en lo que no estoy de acuerdo es en lo de "contando con el sector privado". Es decir, si por contar con el sector privado se entiende fomentar el desarrollo de una industria de seguridad puntera en el mundo, me parece perfecto. Si por el contrario, lo que entendemos es que vamos a subcontratar la defensa de nuestra nación en empresas privadas, me temo que no puedo estar de acuerdo. A mi juicio esta labor corresponde a nuestro ejército y no veo a nuestro ejército subcontratando la misión de Afganistán... es decir, al igual que en lo concerniente a Tierra, Mar o Aire, nadie se plantea la subcontratación, tampoco deberíamos plantearlo en el ciberespacio (si se le puede llamar así).

Para mi gusto, veo mucho mejor iniciativas como la de la agencia de inteligencia  GCHQ británica para contratar profesionales de seguridad.

En definitiva, que fuegos artificiales aparte, veo bien que se reclame mayor atención para la seguridad de la información y la ciberseguridad por parte de los gobernantes, aunque preferiría que se hiciera directamente por nuestro Ejército.

... Puedes seguirme en twitter.com/antonio_ramosga

Risk and Agility (II)

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

En la entrada anterior vimos que los enfoques 'Priorizar - Reducir' basados en nuestras capacidades predictivas presentaban algunos problemas a la hora de manejarnos en entornos que no fueran simples y conocidos.

Por si eso fuera poco, aunque lográramos identificar las amenazas que nos deben preocupar, el enfoque ‘Priorizar – Reducir’ depende de estimaciones precisas de probabilidades e impactos. Pero hay una montaña de evidencias, experimentales y empíricas, que refuerzan la hipótesis de que los seres humanos somos notablemente incompetentes a la hora de realizar este tipo de estimaciones, especialmente en situaciones complejas e inciertas. El hecho de que podamos asignar un número a una probabilidad no significa que la tengamos bien determinada. De hecho, esta forma de actuar tiende a engendrar en las personas una confianza excesiva, infundamentada, en sus propios cálculos. Nuestra mente, fruto de la evolución natural, es literalmente una chapuza. Hay multitud de ‘atajos’ que utilizamos constantemente a la hora de evaluar nuestro entorno y tomar decisiones que nos llevan a equivocarnos una y otra vez al estimar una probabilidad o tratar de determinar la magnitud de las consecuencias de un evento. Sesgos cognitivos como el sesgo de disponibilidad o de anclaje nos inducen a error de manera sistemática y difícil de evitar.

Por último y de forma paradójica, en entornos impredecibles, los planes que formulamos, los mismos que deberían protegernos reduciendo los principales riesgos y/o minimizando el daño que nos pueden causar, pueden llegar a ser parte del problema. Algunos autores, como Mintzberg[1] o Klein[2], han señalado que la planificación de riesgos reduce el compromiso de las personas en una organización con un estado de alerta imprescindible en situaciones de gran incertidumbre. Una vez que el plan se ha aprobado e implantado, los gestores en la organización se “relajan”, porque se sienten protegidos. Los planes centran tu atención en lo que eres capaz de predecir, haciendo más fácil pasar por alto lo desconocido e imprevisible. Los planes resisten el paso del tiempo mejor que las capacidades reales de la organización, por lo que quedan obsoletos mucho antes de lo que se suele creer. Además, las medidas adoptadas reducen. por lo general. la flexibilidad organizativa. Una organización menos flexible es menos capaz de adaptarse a un suceso imprevisto, reacciona más tarde y a menudo de manera menos eficaz. Es menos robusta.

En resumen, los enfoques tradicionales de riesgos nos hacen confiarnos en exceso en situaciones complejas e inciertas y en la mayor parte de los casos reducen la capacidad del equipo o de la organización para manejar los riesgos. En ámbitos complejos, no podemos hablar de mejores prácticas o siquiera de buenas prácticas. Cuando no hay relación evidente entre causas y efectos y sólo podemos avanzar prestando atención a los patrones emergentes, mediante ensayo y error, el enfoque acertado para la gestión de riesgos es el que denominamos ‘Adaptativo’. De acuerdo con este enfoque, en situaciones inciertas deberíamos apoyarnos menos en priorizar y reducir riesgos y más en estar preparados para responder a eventos inesperados, reconfigurando procesos y estructuras sobre la marcha para adaptarse a la situación.

En nuestra opinión, podemos aprender mucho de los enfoques Agile utilizados en actividades como el desarrollo de software o de productos complejos. Los valores, principios y prácticas ágiles, de forma natural, nos llevan a minimizar los riesgos inherentes en proyectos ‘inciertos’, pero no sólo eso. También contribuyen a aumentar la capacidad para lidiar con perturbaciones e impactos imprevistos, así como a gestionar dicha capacidad. Una organización ágil es una organización ‘resiliente’, capaz de ajustar su funcionamiento antes, durante o después de haber experimentado una cambio, de modo que su comportamiento apenas se vea afectado. La resiliencia se refiere pues a algo que el sistema ‘hace’ [una capacidad o un proceso], más que a algo que el sistema ‘posee’.

Los enfoques Agile ayudan a crear y mantener la resiliencia de un equipo o de una organización facilitando el conocimiento de la situación, permitiendo compararla en cualquier momento con la situación deseada y proporcionando los medios para realizar los ajustes necesarios para corregir cualquier desviación del rumbo. Y todo esto se hace prácticamente en ‘tiempo real’.

En nuestra opinión, es momento de cambiar nuestra manera de proceder: En lugar de enfocarnos en construir fortalezas inexpugnables, deberíamos enfocarnos en ser capaces de responder en situaciones impredecibles.

---

[1] Mintzberg on Management by Henry Mintzberg (Paperback - Aug 21, 2007)

Management? It's Not What You Think! by Henry Mintzberg, Bruce Ahlstrand and Joseph Lampel (Hardcover - Sep 15, 2010

[2] Streetlights and Shadows: Searching for the Keys to Adaptive Decision Making by Gary A. Klein (Sep 30, 2011)

The Power of Intuition: How to Use Your Gut Feelings to Make Better Decisions at Work by Gary Klein (Paperback - Jun 1, 2004)

---

Risk and agility (I)

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]

Abstract

En ámbitos complejos, caracterizados [entre otras cosas] por una incertidumbre elevada, la gestión de riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, además de en muchos años de experiencia y muchos análisis de riesgos realizados. En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.

Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo

Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.

Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.

Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)

Mi propuesta para los candidatos a Presidente del Gobierno

Como los partidos políticos están en época de hacer propuestas para ganar nuestros votos, se me ha ocurrido hacer mi carta a los Reyes Magos para ver si convenzo a Rajoy y/o a Rubalcaba (que parecen los más adelantados en la carrera) para que incluyan algunas promesas en sus programas electorales.

Básicamente mi carta tiene una sola petición pero que tiene unas cuantas consecuencias en forma de leyes que habrá que modificar. Mi petición es muy sencilla:

Equiparar la seguridad de los sistemas de información a la seguridad patrimonial

Seguramente a muchos puede parecerles una tontería pero, sinceramente, creo que, como sociedad moderna, nuestra prosperidad y nuestro futuro depende de que la seguridad en el mundo online tenga el mismo tratamiento que tiene la seguridad en el mundo "real" partiendo del supuesto de que, en el futuro, las mayores amenazas vendrán del mundo ciber.

Y con esto no quiero que nadie piense que estoy pensando en una Internet super-regulada y vigilada, sino que en los mecanismos de gestión y las leyes existentes se adecuen al siglo XXI.

Voy a tratar de dar algunos ejemplos:

Reforma de la Ley de Seguridad Privada

Tenemos una Ley que establece un marco de control para las empresas que proporcionan servicios de seguridad privada e incluso una capacitación mínima para los "vigilantes" de seguridad. Y, por otra parte, "cualquiera" puede proveer de servicios de seguridad informática.

Reforma de la Ley de Protección Civil

En este caso nos encontramos con una Ley que persigue proteger a personas y bienes en situaciones de grave riesgo colectivo y que en su vertiente de previsión y prevención exige la elaboración de planes de protección pero que, actualmente, no considera en estos aspectos los sistemas de información cuando, en el momento actual, fallos de sistemas pueden ocasionar verdaderas situaciones de crisis [ya lo habías comentado antes aquí].

Facilitar la gestión de riesgos de seguridad al estilo de los riesgos laborales

Es indudable que, aunque forman más del 95% del tejido empresarial español, las PYMEs son un "problema" a la hora de implantar este tipo de políticas, ya sea por un tema de recursos, de capacidad o de disposición.

Por este motivo, podría adoptarse una decisión al estilo de lo desarrollado para la gestión de riesgos laborales, haciendo que las pequeñas empresas puedan hacer uso de un servicio gratuito proporcionado por la Administración [de hecho, en mi opinión, este servicio ya se ha creado y lo proporciona el CERT de INTECO].

Servicios en la nube regulados

Los servicios en la nube, en particular los de infraestructura (IaaS) y los de plataforma (PaaS), son la electricidad del siglo XXI y, en este sentido, necesitan de un entorno normativo en el que se puedan proveer en las mismas condiciones de garantía que la primera.

A diferencia de los puntos anteriores, este aspecto es totalmente innovador y seguramente necesitará de un tratamiento a nivel europeo pero, quien sabe, quizás sea la manera de hacer España puntera en estos aspectos.

Seguramente no son los únicos aspectos a modificar, pero es un principio. ¿Se os ocurren más ejemplos?

Puedes seguirme en twitter.com/antonio_ramosga