Desde que se publicó en noviembre del año pasado, tenía en el "to do" este documento del Departamento de Seguridad Nacional de los EE.UU. (DHS) en el que se define la Estrategia de Ciberseguridad (pdf).
Aunque es un documento de 50 páginas, se queda en 25 sin los apéndices, por lo que es bastante asequible.
En la imagen adjunta podéis ver un pequeño mapa mental que he ido preparando mientras lo leía (si alguien lo quiere, no tiene más que pedírmelo).
Esta estrategia de ciberseguridad deriva directamente de la Estrategia de Seguridad Nacional publicada por el Presidente Obama (pdf) y del hecho de que proteger el ciberespacio sea una de las 5 áreas en las que se organiza la misión de la seguridad nacional.
Toda la estrategia parte de una visión que transcribo porque es bastante ilustrativa: "Nuestra visión es un ciberespacio que supone una infraestructura secura y resiliente que permite la innovación y la prosperidad y que protege por diseño la privacidad y otras libertades civiles. Una infraestructura en la que podemos usar el ciberespacio con confianza para avanzar en nuestros intereses económicos y mantener la seguridad nacional en todas las condiciones".
Esta visión se traduce en dos áreas de acción: Proteger nuestra Infraestructura de Información Crítica HOY y construir un ciber-ecosistema más fuerte para MAÑANA [hay que ver cómo me suena esto a los típicos objetivos que se establecen con TOC].
Cada área de acción conlleva una serie de metas, en total 8, repartidas a partes iguales entre las dos áreas:
- Proteger nuestra infraestructura de información crítica hoy:
- Reducir la exposición al ciber-riresgo
- Asegurar una respuesta prioritaria y la recuperación
- Mantener una conciencia compartida sobre la situación
- Mejorar la resiliencia
- Construir un ciber-ecosistema más fuera para mañana:
- Capacitar a los individuos y a las organizaciones para operar de manera segura
- Construir y utilizar protocolos, productos, servicios, configuraciones y arquitecturas más confiables
- Construir comunidades colaborativas
- Establecer procesos transparentes
Finalmente cada uno de estas metas se desarrolla en objetivos, generando un total de 20 que conllevan el desarrollo de toda una serie de competencias básicas que debe llevar a cabo el DHS.
Algunos aspectos que me gustaría destacar:
- Que desde el comienzo se reconoce que el objetivo de un ciberespacio más seguro es compartido y que el Gobierno, por si solo, no puede lograrlo.
- El respeto a la privacidad y los derechos civiles desde el propio enunciado de la visión.
- El equilibrio entre proteger lo de ahora y mejorar el futuro.
- La descripción detallada del rol del DHS que figura en el apéndice A del documento.
- El peso que tienen las infraestructuras críticas y su protección [¿será un preludio del peso que tendrá el CNPIC en España en el futuro?]
- Finalmente, que cuando lees el documento encuentras en muchos apartados la referencia a mecanismos ágiles de gestión (automatización, capacitación de los usuarios, propiedad compartida, rapidez de puesta en marcha...) que nos llevan a pensar que la agilidad y la seguridad cada vez van a estar más unidas [en lugar de opuestas, como piensan algunos].
Puedes seguirme en twitter.com/antonio_ramosga