09 julio 2013

Acciones en el marco de la Estrategia Nacional de Seguridad

En la entrada anterior, empezamos a analizar la Estrategia Nacional de Seguridad de 2013 (pdf) y nos quedamos en el punto de analizar cómo se podrían desarrollar las líneas de acción estratégicas propuestas en dicho documento.

Lo que viene a continuación son algunas ideas... partiendo de la base de que, con lo que dice el documento actual, en mi opinión, no necesitamos de una estrategia de ciberseguridad, ¿qué mas va a aportar que merezca estar en un documento que lleve el nombre de "estrategia nacional"?

Ley de Seguridad Nacional

Alguno estará pensando, "¡Que original, pero si ya dice el documento que se publicará en seis meses!" Pues sí, efectivamente es así, pero lo que me gustaría comentar al respecto es que debería incorporar a dicha Ley los aspectos relacionados con la ciberseguridad, puesto que, al fin y al cabo, se rige por los mismos principios y tiene los mismos condicionantes y ser considerada como algo distinto, especial, de unos pocos "locos" creo que no le hace ningún bien.

Precisamente, tenemos en discusión una propuesta de Directiva Europea para la seguridad de la redes y los sistemas de información que, perfectamente, podría ser incorporada a esta Ley (si se dan los plazos adecuados, claro está).

En esta Ley se podría recoger aspectos fundamentales, como:
  • La inclusión de la ciberseguridad como un contenido lectivo más en nuestros colegios e institutos llegando incluso a la posibilidad de grados universitarios en esta materia.
  • La distribución de constituencies entre los distintos CERTs gubernamentales (quién atiende a la industria, quién a las infraestructuras críticas, quién los coordina a todos...).
  • Las pautas a seguir y los principios a respetar en la coordinación entre los distintos organismos nacionales y con los internacionales pertinentes.
  • Mecanismos de defensa frente a las amenazas identificadas.
  • Podría también avanzar en el establecimiento de medidas de seguridad mínimas acorde a los niveles de impacto que impliquen los diferentes sistemas de información / procesos informatizados [disclaimer: Ya sabéis que soy un enamorado del etiquetado de seguridad - lo que me ha llevado a fundar una agencia de calificación de seguridadleet security que no debe ser una idea muy loca, cuando la Unión Europea la propone también en su Estrategia de Ciberseguridad].
  • El fomento de mecanismos orientados a la resiliencia, mediante la implantación de una filosofía de seguridad basada en los principios agile (detección temprana, respuesta rápida y apalancamiento en el incidente).
  • Establecer / clarificar el esquema de responsabilidades en materia de fallos de seguridad (necesidad de notificar, proceso de depuración de responsabilidades, función y responsabilidades de los auditores de seguridad [al estilo de lo que se hace para la auditoría de cuentas], mecanismos sancionadores, etc.)

Ley de Protección Civil

Esta Ley, en teoría, ya está pensada para protegernos de accidentes que puedan afectar a grandes instalaciones por lo que, como ya he comentado anteriormente, solo harían falta retoques para que incluyera también los accidentes que puedan tener su origen en fallos informáticos... digamos que, de igual forma que hay que tener un plan de evacuación en caso de incendio, habría que tener un plan de contingencias informáticas en caso de incidente... ¿o no?

Ley de Seguridad Privada

En este caso, nos encontramos con una regulación que precisamente está en proceso de modificarse y que, como también hemos comentado, debería pasar de ser una Ley pensada para regular las empresas que prestan servicios de seguridad privada a ser una Ley que regule la seguridad privada en sí misma.

En este sentido, hay mucho camino por hacer: ¿Quién puede prestar servicios de ciberseguridad? ¿qué requisitos hay que cumplir? ¿cuáles son sus responsabilidades? ¿hasta qué punto podemos defendernos? ¿con quién hay que colaborar para resolver incidentes? ¿qué requisitos tienen que cumplir los profesionales de la ciberseguridad? Y un largo etcétera.

Asociación público-privada

Finalmente, para no hacer infinita esta entrada [aprovecho para pedir perdón por la longitud], habría que materializar esa colaboración público - privada que ayude al fomento de ese I+D+i que lleva a cabo la industria... ¿por qué no una iniciativa del estilo de la que acaba de realizar el gobierno británico?


Espero haber aportado mi granito de arena a la ingente tarea que ahora queda por delante...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

NOTA: He preparado un pequeño análisis gráfico de las líneas estratégicas y sus relaciones que puedo compartir con aquel que le interese.