18 julio 2011

Estrategia Española de Seguridad. Un análisis ciber

Hace unos días se publicó la denominada "Estrategia Española de Seguridad. Una responsabilidad de todos" (pdf) como resultado del trabajo de un grupo liderado por Javier Solana (del que ya hemos hablado en algún momento aquí).

En mi opinión, un documento de obligada lectura (no llega a 100 páginas) para todos aquellos que, de una forma u otra, participamos de la industria de la seguridad, en su sentido más amplio. Más aún considerando el subtítulo del documento: Una responsabilidad de todos.

Sin lugar a dudas, es un documento que toca todos los palos y que dibuja una imagen del escenario actual muy acertada y que, sobre todo, nos centra en un contexto mundial que no podemos obviar en este tipo de análisis.


Dado su interés, me ha parecido oportuno realizar un pequeño análisis y destacaros lo que me ha parecido más interesante, desde mi perspectiva personal de seguridad tecnológica, o como podríamos denominarla, "ciber":

  • Se deja claro desde el principio que estamos hablando de un asunto en el que todos tenemos alguna responsabilidad. Aunque es algo que, más o menos, los profesionales de la seguridad tenemos claro, es importante que se deje claro desde el principio que la seguridad depende del eslabón más débil y que, dado el nivel de dependencia y de interconexión entre todos los actores sociales, los unos dependemos de los otros y al revés.
  • Se recalca el hecho de que es necesario un enfoque integral para poder afrontar los retos que nos presenta la seguridad. E integral en distintas dimensiones, en cuanto a los territorios y también, claro está en cuanto a los ámbitos de aplicación (es decir, que es necesario ahondar en la vía de colaboración entre las seguridades "lógica" y "física").
  • Se identifican 6 principios básicos: Enfoque integral, coordinación, eficiencia, anticipación y prevención, resistencia y recuperación e interdependencia responsable.
  • Se reconoce al ciberespacio como un ámbito más en el que hay que actuar y las ciberamenazas como uno de los riesgos principales, en línea con las estrategias de defensa de las naciones más avanzadas.
  • Para mejorar la seguridad en el ciberespacio se proponen como líneas de actuación: Fortalecer la legislación, reforzar la capacidad de resistencia y recuperación de las infraestructuras críticas (esto me suena a resiliencia) y fomentar la colaboración público-privada.
  • Finalmente, para su implantación propone nuevos órganos a crear en la Administración Pública. Concretamente, la creación de un Consejo Español de Seguridad, una Unidad de Apoyo en el Gabinete de la Presidencia del Gobierno y un Foro Social de Expertos como órgano consultivo.

Una vez comentados los aspectos relevantes, también querría daros mi opinión sobre algunos aspectos:
  1. Me gusta el enfoque de "estar preparados para lo imprevisible", es decir, asumir los cisnes negros como habíamos comentado ya por aquí (esto se traduce en trabajar en la resiliencia de nuestros sistemas).
  2. En cierta forma, parece adoptar también el manifiesto agile cuando dice "esta era de incertidumbre es también un tiempo de grandes oportunidades, si entre todos sabemos gestionarlas. [...] debemos afrontar el cambio con confianza, responsabilidad y eficacia".
  3. Estoy de acuerdo en el enfoque de coordinar a los distintos agentes sociales para aumentar la eficiencia de las inversiones en seguridad [espero que sirva para evitar despilfarros como, por ejemplo, el de los 18 sistemas sanitarios distintos existentes en la actualidad].
  4. Creo que la concienciación de la Sociedad es uno de los aspectos fundamentales para mejorar el nivel de seguridad y asegurar el éxito de la estrategia. Quizás este aspecto podría ser uno de los primeros en los que trabajar en la coordinación de los distintos agentes y mejorar la eficiencia en el uso de los recursos porque existen multitud de iniciativas inconnexas trabajando en este sentido. En cualquier caso, la coordinación no significa que alguien tenga el papel dominante, sino que los distintos actores encuentren su hueco en cada iniciativa a desarrollar... al menos, es mi punto de vista.
  5. En mi opinión, cuando se habla de avanzar en el planeamiento conjunto de capacidades defensivas y utilizar y desarrollar las posibilidades existentes desde la Agencia Europea de Defensa (AED), no debe olvidar que también deben incluir el ciberespacio a la hora de desarrollar esas capacidades.
  6. Un aspecto sumamente importante es el reconocimiento de que la capacidad de los Estados para resolver problemas globales es cada vez más limitada, por lo que es necesario cooperar con otros Estados y organizaciones internacionales. En este sentido, hay mucho trabajo por hacer, ¿os imagináis que se pudiera establecer un pacto de forma que las Fuerzas y Cuerpos de Seguridad del Estado estuvieran habilitadas para actuar contra cibercriminales que utilizaran servidores en un país extranjero para cometer cualquier tipo de delito contra nuestro país o compatriotas gracias a este tipo de acuerdos?
  7. Al hablar de fortalecer la capacidad de los medios de alerta temprana, de nuevo, no debemos olvidar la dimensión ciber. En este sentido, es necesario trabajar en la coordinación de los distintos CERTs existentes a nivel nacional; en mi opinión, el Estado debe dar un paso adelante en este sentido y dotarse de los medios que garanticen esa coordinación (al margen de que pueden coexistir múltiples centros cada uno con su constituency.
  8. En cuanto a las infraestructuras críticas, hay que darse cuenta de que, aunque es cierto que se está trabajando en este sentido a través del CNPIC, el foco se ha puesto en la prevención de los ataques intencionados (terroristas) pero no se garantiza que tengan sistemas redundantes e independientes de otras tecnologías y operadores. Por tanto, coincido con lo recogido en el plan de ampliar las líneas de acción establecidas en el Plan Nacional de Protección de IICC
  9. Lógicamente me parece perfecto que se invierta más en tecnologías de seguridad y formación de personal especializado pero, dada la situación económica actual, ¿de dónde vamos a sacar los fondos para hacer la dotación presupuestaria correspondiente?
  10. Para finalizar, me ha resultado muy interesante la elaboración de una Estrategia Española de Ciberseguridad como estrategia de segundo nivel destacada.
[Os pido perdón por la longitud de esta entrada]

... ¿Todavía no me sigues en twitter.com/antonio_ramosga?

4 comentarios:

Dunkerke dijo...

Antonio, me parece interesante el post.
Tras haber leído varias veces la Estrategia de Seguridad Nacional, en particular su parte ‘ciber’, debo decir que no me gusta.
Creo que se ha perdido una gran oportunidad de transmitir la criticidad real de disponer de un ciberespacio seguro. Casi todas las medidas que se apuntan en la estrategia constituyen el mínimo requerido, hoy en día, para empezar a crear un ciberespacio seguro. Es evidente que hay que empezar de algún modo y que debemos andar un camino que debimos haber andado hace varios años.
A pesar de los buenos propósitos del documento tengo serias dudas sobre el éxito en la implementación y desarrollo de las medidas expuestas debido fundamentalmente a que no soy muy optimista en cuanto a la dotación presupuestaria que se destinara a tal efecto, lo que condicionara todo lo demás.

Antonio Ramos dijo...

Hola, Dunkerke.

Bueno, yo creo que hay que ir paso a paso. Yo me conformo que se haya reconocido su importancia al mismo nivel, por ejemplo, que la dependencia energética; lo cual es una pasada... Quizás los que nos dedicamos a esto, nos hubiera gustado que tuviera más protagonismo, bueno, yo creo que es humano, pero ya te digo, a mi ya me parece bien.

No obstante, coincido contigo en que las dudas están en la implementación real de la estrategia y en la dotación presupuestaria necesaria para poder llevarla adelante.

Aunque no debemos dudar de algo antes de que arranque y darle, al menos, el beneficio de la duda, estoy contigo en que habrá que estar pendiente...

Saludos y muchas gracias por tu comentario.

prubio dijo...

Hola Antonio,
por lo que he leido en alguna revista es inminente la salida del documento de Ciberseguridad en España. Imagino que es la adaptación del mismo documento que se ha lanzado a nivel europeo, y espero que sea más completo que el que comentábais en esta entrada.

saludos y felicidades por el blog, que seguiré a partir de ahora.
Pablo

Antonio Ramos dijo...

Hola, Pablo.

Parece que todavía le queda un poco porque los agentes implicados están buscando todos su sitio... Pero esperemos que salga pronto...

Y gracias por seguir el blog...

Antonio