Nos hallamos en un momento decisivo. Los profundos cambios geopolíticos, la proliferación de actores no-estatales con capacidades bélicas sofisticadas y la creciente dependencia tecnológica de nuestras sociedades, sitúan a nuestro país ante una situación de riesgo permanente. Si añadimos la beligerancia en el ciberespacio a esta explosiva mezcla, el resultado podría desencadenar en una “tormenta perfecta” de imprevisibles consecuencias.
En diciembre de 2013 el Gobierno aprobaba la Estrategia Nacional de Ciberseguridad y, un año después, hacía lo mismo con el Plan Nacional de Ciberseguridad derivado de la estrategia. La creación de un Sistema Nacional de Ciberseguridad, entendido éste como el conjunto de entidades, organismos y procedimientos que permitan la gestión de la seguridad de nuestro ciberespacio, se encontraba entre los objetivos principales de la estrategia. Sin embargo, las dificultades para abandonar el confort de lo estratégico para embarrarse en los niveles operativos y tácticos, donde realmente se libra la batalla por la ciberseguridad, están provocando que su dirección, control y gestión se haga, en muchos casos, desde la crisis y no desde el liderazgo.
A pesar de que la seguridad del ciberespacio es de carácter global, cualquier posible solución para cubrir los riesgos a los que está sometida es siempre parcial y local. En consecuencia, cuanto más segmentadas y distribuidas estén las soluciones que se implementen, éstas tendrán una mayor dificultad para acometer todos los retos a los que se enfrentan. Aunque evidente, este hecho no siempre se tiene en consideración a la hora de implementar los planes y programas relacionados con la ciberseguridad.
En los países y organizaciones internacionales más avanzados y con mayor inversión en Ciberseguridad –Estados Unidos, Reino Unido, Francia o la Alianza Atlántica, entre otros– este planteamiento se ha considerado desde sus fases iniciales. En primer lugar, se han desarrollado unas políticas nacionales acordes con el grado de ambición político, social y económico de cada uno de los países. En segundo lugar, se han desarrollado planes con objetivos realistas apoyados por presupuestos suficientes y estables. En tercer lugar, se han establecido grandes programas para ejecutar dichos planes y unas medidas de monitorización y auditoria que permitan evaluar su cumplimiento. Y, por último, se han implementado los diferentes proyectos que conforman cada uno de los programas definidos.
Apoyándose en un modelo centralizado de gobernanza del ciberespacio, estos actores han querido fomentar mecanismos inclusivos que permitan la integración de los múltiples agentes relacionados con la ciberseguridad nacional, evitando así esfuerzos disjuntos y racionalizando las inversiones realizadas. Del mismo modo, entre los objetivos principales de estos países se encuentra el apoyo a sus industrias nacionales para que se mantengan siempre a la vanguardia tecnológica y los grandes programas nacionales de ciberseguridad son uno de los mecanismos que posibilitan y facilitan esta tarea. De hecho, gracias a estos programas algunos países –como Francia o Reino Unido– están consiguiendo situar a sus empresas nacionales –grandes empresas y PYMES– del sector de la ciberseguridad como grandes proveedores de servicios y productos a nivel mundial.
España necesita disponer de una industria vanguardista en materia de ciberseguridad
Teniendo estos elementos en cuenta, ¿para cuándo el Programa Nacional de Ciberseguridad? No cabe duda de que España se encuentra en disposición de crearlo, pero antes deberá ejecutar un conjunto de acciones que permitan que este proyecto tenga éxito:
1. La gobernanza de la ciberseguridad nacional ha comenzado a consolidarse tras la decisión de acabar con el sistema de rotación que afectaba a su dirección y residenciar la presidencia del Consejo de Ciberseguridad en el Centro Nacional de Inteligencia. Finalizado el aterrizaje, la ciberseguridad debe pasar de su fase de gobernanza actual y dirigirse en el corto plazo hacia la construcción de una Política Nacional. Ello requiere dotar a la ciberseguridad de la misma estructura (dirección, sistema, control y comunicación), instrumentos (tecnológicos, humanos, presupuestarios y normativos), procesos (diseño, ejecución, evaluación y revisión de planes y estrategias) y funciones de la misma forma que cualquier otra política pública, peculiaridades aparte. Se considera que, aun disponiendo la ciberseguridad de algunos elementos propios de una política, todavía carece de otros que la permitan mostrarse como una función estatal diferenciada y segregada.
2. Creación de una Política Industrial en materia de ciberseguridad. España necesita disponer de una industria y un sector a la vanguardia en materia de ciberseguridad. Pretender construir esta industria con ciclos de producción a plazos de 10 o 15 años carece de sentido, por lo que su dinamización deberá reducir sensiblemente los procesos productivos. Del mismo modo, la adquisición de ciertas cibercapacidades no puede regirse desde la industria tradicional, ya que éstas requieren ser desarrolladas en unos exigentes ciclos y contar con recursos humanos altamente especializados y que, hoy por hoy, son insuficientes.
3. Incentivar la adopción de la ciberseguridad. Es necesario adoptar un Programa de Incentivos en Ciberseguridad que permita implementar un marco de buenas prácticas y cumplir con un exigente marco normativo en esta materia, lo que conlleva una importante aportación de recursos humanos y tecnológicos que en la actualidad no todos los actores involucrados en la ciberseguridad nacional tienen la capacidad de asumir.
4. Retener el talento nacional en materia de ciberseguridad. España cuenta con grandes profesionales en esta materia. Grandes empresas internacionales del sector han abierto sucursales en nuestro país atraídos por el talento nacional, aunque éste continúa siendo desaprovechado, tanto por la administración como por muchas empresas tradicionales.
En definitiva, España necesita disponer de un Programa Nacional de Ciberseguridad que permita gestionar la entrada de nuestro país en el mundo virtual. No obstante, antes será necesario generar todos aquellos medios necesarios para su correcta implantación, un camino que se antoja lento y difícil debido, en gran parte, a la aún limitada conciencia política y social sobre la importancia que tiene el ciberespacio para el correcto desarrollo social, económico y político de nuestro país.
***José Ramón Coz y Enrique Fojón, especialistas en ciberseguridad, son miembros del 'think tank' Thiber
***Ilustración: PEPO&CO