18 diciembre 2013

Estrategia de Ciberseguridad Nacional 2013 (yII)

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)


Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle.

No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido más que comentado, por lo que me centraré en resaltar los aspectos que para mí han sido más positivos y los que me han gustado menos. Todo ello, partiendo de la consideración de que soy de la opinión de que contando con una Estrategia de Seguridad Nacional (ESN) que ya trata la ciberseguridad, esta estrategia no era estrictamente necesaria, aunque entiendo que existen motivadores que hayan llevado a su desarrollo.

En primer lugar, si hubiera que hacer un resumen general, yo diría que es un documento que trata todo lo que tiene que tratar. Es decir, si a cualquier experto le hubieran preguntado qué incluiría, los temas que habrían salido son los que podemos encontrar en el documento: coordinación, mejora instrumentos legales, mejora de capacidades, capacitación y concienciación, impulso al I+D+i... por tanto, empezamos bien.

De hecho, incluye el que para mí es el aspecto básico, la cultura de seguridad [puesto que con una adecuada cultura, el resto de cosas vendrán solas] y también, el enfoque más adecuado para la ciberseguridad del siglo XXI, enfocarnos en detectar y responder [porque prevenir por dónde nos va a llegar el ataque es imposible].

No obstante, esto no trata de hacer un ejercicio de seguidismo, sino de dar mi opinión del documento y he de decir que he encontrado algunas cosas dignas de comentar:
  • Yo soy muy cuadriculado y que no cuadren las 6 líneas estratégicas de la ESN con la ECSN, me produce cierto desasosiego.
  • También se puede percibir una cierta relación entre las líneas de acción con ciertos actores. Por ejemplo, apostaría a que la línea de actuación primera ha sido propuesta por el Departamento de Seguridad Nacional, la segunda por el Centro Criptológico Nacional, la tercera por el Centro Nacional para la Protección de Infraestructuras Críticas, la cuarta por la Secretaría de Seguridad del Ministerio de Interior, la quina por INTECO... cuando en mi opinión necesitábamos algo más coral.
    Digamos que en lugar de hacer un traje a medida de los actores, me hubiera gustado un perfilado de la realidad al que hubieran tenido que amoldarse los actores. [wishful thinking]
  • En línea con lo anterior, hecho en falta un análisis detallado del escenario de riesgo al que nos enfrentamos. Dicho diagnóstico debería haber constituido el punto de partida para la estrategia, pero en lo que figura en el documento vemos que hay cierta confusión entre amenazas, actores, tipos de ataques...
  • Por último, no me parecen elegantes algunos deslices para que iniciativas actuales aparezcan en el documento de estrategia, como el apoyo a las certificaciones de producto... ¿acaso no debería importarnos más las certificaciones de los servicios? Los productos al fin y al cabo, son todos, por definición, inseguros (con mayor o menos probabilidad todos tendrán vulnerabilidades), ¿no?
Para finalizar, me gustaría añadir algunos aspectos que, a mi juicio, aún figurando en el presente documento deberían haber contado con un mayor respaldo / apoyo / protagonismo:
  1. Los mecanismos de detección y respuesta. Estos fundamentos de la seguridad ágil constituyen el paradigma actual de la seguridad; aunque los mecanismos de defensa siguen siendo útiles, hemos de reconocer que la posibilidad del incidente no la vamos a poder eliminar y tenemos que estar preparados para detectarlo a la mayor brevedad posible y estar preparados para responder con mecanismos ágiles para minimizar el impacto.
  2. Los incentivos para fomentar la adopción de mecanismos de seguridad. Aunque se reconoce la importancia de contar con un entorno ciber seguro, no se mencionan los mecanismos que se van a adoptar para conseguirlo, excepto desde el ámbito normativo y el cumplimiento no es la vía para conseguirlo... Quizás se podría haber iniciado el camino de explorar otras vías (incentivos fiscales, de contratación, ¿mercado de derecho de entornos inseguros?...)
  3. Consideración de la ciberseguridad como materia escolar. Está clara la apuesta de la estrategia por la capacitación, pero quizás una apuesta más clara, habría sido de agradecer; en el sentido de haberse "mojado" más.
  4. Apoyo decidido a la industria nacional de ciberseguridad. No estoy hablando de mecanismos proteccionistas, ni favoritismos, ni nada por el estilo, pero todos los países de nuestro entorno lo están haciendo (EE.UU., Francia, Alemania, Inglaterra...) y eso esta generando que dependamos de terceros para nuestra seguridad. La ciberseguridad puede ser un polo de atracción para talento, inversiones y empresas, por lo tanto, dada nuestra actual situación, podríamos haber aprovechado esta oportunidad.
Pido disculpas por la longitud de esta entrada, pero dada la importancia del documento, creo que merecía la pena.

¿Cuál es vuestra opinión al respecto?

Puedes seguirme en twitter.com/antonio_ramosga

04 diciembre 2013

Estrategia Española de Ciberseguridad (I)

Parece que, por fin, llega la Estrategia Española de Ciberseguridad. Al margen de lo que algunos podamos pensar sobre la verdadera necesidad de un documento como éste (al fin y al cabo ya tenemos una Estrategia de Seguridad Nacional que identifica las ciberamenazas como fundamentales, ¿no? - ver algunas reflexiones previas aquí y aquí), no creo que podamos esperar muchas novedades respecto al borrador que circuló hace ya muchos meses...

Quizás lo único que cabría esperar serían dos cosas y me temo que ninguna de las dos se ha resuelto:

  • ¿Quién asume las riendas de la ciberseguridad en España? (en definitiva, ¿cual es el modelo de gobierno de la ciberseguridad?)
  • ¿Qué presupuesto nos vamos a dotar para luchar contra las ciberamenazas?
Pues, o mucho me equivoco, o para las dos nos vamos a quedar como estábamos.

Para la primera, va a ser una responsabilidad rotativa anual entre los cuatro que se peleaban por ser el líder en este tema (CNI, INTECO, CNPCI y Defensa), es decir, que nadie, en un año, va a poder hacer nada. En el fondo, me parece muy triste que por no dar nadie su brazo a torcer, nos encontremos en esta situación; creo que dice muy poco por los actores implicados... ¿se imaginan una empresa con un Director General que cambie cada año?

Para la segunda, no hay ninguna dotación presupuestaria, por lo que estamos abocados a seguir tirando con lo que podamos arañar de aquí y de allá... en definitiva que, en España, vamos a volver a hacer el paripé: Vamos a publicar el documento, nos vamos a reunir "cienes y cienes" de veces y ya está... mientras tantos los chinos forman un ejército, el Reino Unido contrata (busca) a 4.000 expertos y de EE.UU., para qué vamos a hablar. Me temo que, al final, vamos a estar fuera de juego y lo peor es que ni siquiera vamos a poder alegar que es que no nos habíamos enterado, porque estando sobre aviso, no hemos sabido jugar la pelota...

Siento decirlo así, porque conozco a varias personas que están trabajando muy duro en este tema y, no les envidio por el reto que tienen por delante, con tan pocos mimbres...

¿De verdad nos vamos a sentir más (ciber)seguros a partir de ahora? ¿A alguien le parece una apuesta seria por la ciberseguridad?

Sinceramente, para haber llegado aquí, podíamos haber sacado este documento al día siguiente de la Estrategia Nacional...

Puedes seguirme en twitter.com/antonio_ramosga