05 diciembre 2011

España y la ciberguerra

El objetivo de esta entrada es reflexionar sobre las declaraciones de uno de los responsables del CCN-CERT que han causado cierto revuelo estos días de atrás.

Vaya por delante mi más sincero respeto a la labor de los miembros de nuestras fuerzas y cuerpos de seguridad y, en particular, la del CCN-CERT.

No pude estar en Valencia y, por tanto, voy a opinar en función de lo que se ha escrito en los medios de comunicación sobre el tema (en concreto, aquí y aquí).

En general, tengo que reconocer que estoy de acuerdo con la opinión que ha expresado Lorenzo en Security by Default, es decir, hay que INVERTIR en seguridad, pero eso de "pasar al ataque" suena un poco heavy.

Como no pude estar, voy a hablar en función de la información que tengo, pero en cualquier caso, no tengo al CCN como un organismo dado a irse de la lengua. Es decir, creo que dicen lo que quieren decir y que, cuando lo dicen, es por algún motivo.

De hecho, hay que poner en contexto las declaraciones. El evento tiene lugar el día 24 de noviembre:
  • Cuatro días después de las Elecciones Generales y en pleno período de agitación interna en la Administración Pública en previsión de los cambios que se ven venir y donde todo el mundo está haciendo sus movimientos para quedar lo mejor posible en la nueva foto.
  • Una semana antes de la reunión del G6 en París en la que participó también la Secretaria Napolitano del DHS americano.
Por tanto, en mi opinión, todo responde a una maniobra perfectamente organizada para reclamar lo que todos llevamos diciendo mucho tiempo: "Hay que INVERTIR en seguridad". Lo que ocurre es que, si decimos esto simplemente, todos sabemos que no va a ir a ningún titular de ningún medio de prensa, por lo tanto, para asegurarnos de que el mensaje llega, es necesario poner algunos fuegos artificiales y es ahí donde tiene su encuadre lo de "pasar al ataque".

Para mi, cuando el CCN dice esto, lo que nos está diciendo [o mejor dicho, lo que está diciendo a los que acaban de llegar al Gobierno] es: "Señores, estamos sufriendo ataques todos los días y con los medios y recursos de los que disponemos es cuestión de tiempo que consigan el objetivo. Debemos ser proactivos; tenemos que dotarnos de herramientas y profesionales que puedan actuar en el ciberespacio".

Ahora bien, dicho esto, en lo que no estoy de acuerdo es en lo de "contando con el sector privado". Es decir, si por contar con el sector privado se entiende fomentar el desarrollo de una industria de seguridad puntera en el mundo, me parece perfecto. Si por el contrario, lo que entendemos es que vamos a subcontratar la defensa de nuestra nación en empresas privadas, me temo que no puedo estar de acuerdo. A mi juicio esta labor corresponde a nuestro ejército y no veo a nuestro ejército subcontratando la misión de Afganistán... es decir, al igual que en lo concerniente a Tierra, Mar o Aire, nadie se plantea la subcontratación, tampoco deberíamos plantearlo en el ciberespacio (si se le puede llamar así).

Para mi gusto, veo mucho mejor iniciativas como la de la agencia de inteligencia  GCHQ británica para contratar profesionales de seguridad.

En definitiva, que fuegos artificiales aparte, veo bien que se reclame mayor atención para la seguridad de la información y la ciberseguridad por parte de los gobernantes, aunque preferiría que se hiciera directamente por nuestro Ejército.

... Puedes seguirme en twitter.com/antonio_ramosga



7 comentarios:

@EFOJONC dijo...

Buenas Tardes Antonio,

Yo estuve en la conferencia de Javier Candau en la X Jornada del ISMSForum en Valencia. Además, participe en el debate generado tras el post de Lorenzo en SecBydefault.
El titular de nacionred, entiendo, tiene por misión captar la atención de sus lectores, muy licito, aunque no refleja, bajo mi punto de vista, lo expresado por Javier Candau.
Javier Candau, repito bajo mi punto de vista, hablo de la necesidad de disponer una estrategia nacional en materia de ciberseguridad que fuese en línea con la de nuestros aliados (no debemos olvidar que formamos parte de la OTAN). Evidentemente, esta estrategia debe dotarnos de un conjunto de capacidades que permitan defender "nuestro" ciberespacio.
Por otro lado la "dependencia" respecto del sector privado es evidente y quien conozca, solo un poco, el funcionamiento de las Fuerzas Armadas sabrá que el sector privado apoya a la Fuerzas Armadas pero el poder de decisión siempre se ejerce dentro de la cadena de mando de las Fuerzas Armadas.
Es, igualmente, evidente que nuestro pais necesita una industria vanguardista y competitiva en materia de ciberseguridad.

Saludos

Antonio Ramos [sorani] dijo...

Hola, Enrique.

Efectivamente, los titulares son los titulares.

Respecto a lo que comentas, creo que no hace falta, como tal, una estrategia de ciberseguridad. IMHO lo que hace falta es que se desarrollen las capacidades necesarias en el marco de la estrategia de seguridad existente. Es decir, que se haga realidad lo que en esa estrategia se dice; que no quede en papel mojado.

Finalmente, respecto al sector privado aunque la dependencia exista, no quiere decir que sea deseable.

Saludos y gracias por el comentario.

Antonio

@EFOJONC dijo...

Hola de nuevo Antonio,

Gracias a ti por propiciar este tipo de debates.

Yo, IMHO (parafraseandote :-)), creo que si es necesaria una estratégia en materia de ciberseguridad. La actual estrategia de seguridad, bajo mi punto de vista,no tiene el "calado" suficiente y no otorga la importancia debida a la seguridad y defensa de "nuestro" ciberespacio.

Por otro lado no entiendo que quieres decir con "respecto al sector privado aunque la dependencia exista, no quiere decir que sea deseable.". La realidad es que hoy por hoy las Fuerzas Armadas necesitan del sector privado para desarrollar sus capacidades. Es una simbiosis, bajo mi punto de vista, necesaria, no solo para dotar de capacidades vanguardistas a nuestras FF.AA sino para potenciar el I+D+i, en este caso, en el campo de la ciberseguridad nacional.

Saludos!

Antonio Ramos [sorani] dijo...

Hola, Enrique.

Efectivamente, estoy de acuerdo, en que la ciberseguridad necesita de más protagonismo. Lo que quiero decir es que siempre estamos haciendo distinciones entre lo físico y lo lógico y creo que ha llegado el momento de que todo el mundo entienda que no son dos cosas diferentes, sino que están intimamente relacionadas y que no podemos estar protegidos hasta que no estemos igual de preparados de manera global.

Respecto al otro tema, creo que me he expresado mal. Me refiero a que las operaciones de campo deben ser privativas de las FFAA, no creo en empresas privadas en el terreno, aunque sí en dotar de medios, tecnología o lo que haga falta a las primeras.

Saludos!!

@EFOJONC dijo...

Totalmente de acuerdo Antonio.

Creo que es evidente que el ciberespacio es una dimensión más a defender dentro de la seguridad y defensa global de una nación.

Además, nos guste o no, desde Julio de este año el Departamento de Defensa de los EE.UU ha declarado al ciberespacio como "nuevo campo de batalla" y el derecho a poder defenderse usando medios kinéticos en caso de sufrir un ataque cibernético. En definitiva, un panorama complejo que no nos debe dejar indiferentes.

Creo que, a corto plazo, no asistiremos a una ciberguerra (cyberwar) propiamente dicha sino a ciertas acciones ofensivas (cyberwarfare).

La sombra de Blackwater es alargada… De todos modos yo entiendo la colaboración del sector privado en el ámbito del I+D+i y la provisión de ciertos servicios.

Saludos

Rafael Ausejo Prieto dijo...

La solución ideal es un modelo de Reserva Voluntaria, donde profesionales expertos en la materia puedan colaborar en la Defensa Nacional aportando sus conocimientos y experiencia en las UCOs donde esté destinados. Mando militar, con aportación del conocimiento y experiencia del sector privado. Alguna de las tres restantes variantes de Zeus acabará impactando de lleno (al parecer Duqu no afectó a Gas Natural ¿no?) y cuantos más Ralph Lagners españoles colaboren con el CIFAS mejor...

Antonio Ramos dijo...

Gracias por el comentario, Rafa... Veo que te propones como voluntario??

:-)