En la reunión del Consejo de Seguridad Nacional español celebrada esta mañana (5 de diciembre de 2013) se aprobó la Estrategia de Ciberseguridad Nacional, decisión que muchos veníamos demandando hace ya bastante tiempo, quizás demasiado dada la importancia del tema. Por esta razón, una vez que el documento ve oficialmente la luz no quiero dejar pasar ni un instante sin felicitar a los responsables de su puesta en acción así como para dedicar unas líneas anticipándome a un análisis en profundidad que la premura en publicar este post aconseja dejar para más adelante.
En primer lugar destacaré la necesidad y urgencia de llevar a buen puerto esta Estrategia. Todos los países de nuestro entorno disponen ya desde hace algunos años de una estrategia similar (por ejemplo, Alemania, Francia, el Reino Unido y los Estados Unidos desde el 2011). Incluso la Unión Europea presentó en febrero de este año su propia Estrategia de ciberseguridad acompañada de un paquete de medidas complementarias, entre ellas una propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI), instando a los Estados miembro a adoptar una estrategia de ciberseguridad con el compromiso de hacer frente de forma inequívoca a los desafíos que representan las crecientes amenazas a la seguridad en el ciberespacio (decisiones comentadas en mis posts del 7 y 23 de abril)
Sin embargo, en España, a pesar de que en la Estrategia de Seguridad Nacional de 2013 (de igual forma que su predecesora, la Estrategia Española de Seguridad de 2011) reconoce a la ciberseguridad como una de las líneas de acción estratégicas no existe una legislación concreta en esta materia, exceptuando algunas excepciones próximas al tema como el denominado Esquema Nacional de Seguridad (ENS) promulgado por un Real Decreto del año 2010 con por objeto de establecer la política de seguridad en la utilización de medios electrónicos en las Administraciones públicas.
Otro elemento a destacar respecto a la necesidad de una Estrategia de este tipo es la diversificación de competencias, compartidas y repartidas entre diferentes Ministerios, lo cual supone un cierto factor de riesgo. Entre otros se encargan de tareas relativas a la seguridad en el ciberespacio el Centro Nacional de Inteligencia, concretamente el Centro Criptológico Nacional (CCN), el Instituto Nacional de Tecnologías de la Comunicación (INTECO), que depende del Ministerio de Industria, el recién creado Mando de Ciberdefensa del Ministerio de Defensa, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior, el Grupo de Delitos Telemáticos de la Guardia Civil, la Unidad de Investigación de la Delincuencia en TIC de la Policía Nacional y la Agencia Española de Protección de Datos del Ministerio de Justicia.
Estas circunstancias conducen a considerar de vital importancia la aplicación práctica de uno de los principios fundamentales de cualquier estrategia de seguridad, nacional o conjunta, como es la autoridad y dirección al más alto nivel, es decir del Estado, responsable de la creación de la estructura de dirección y gestión de la ciberseguridad así como de la definición y puesta en práctica de las medidas a adoptar, tanto internamente como en lo que atañe a la política exterior, en general, y a las alianzas de las que se forma parte, en particular.
Este objetivo se alcanza con la aprobación por el Consejo de Seguridad Nacional de la Estrategia de Ciberseguridad donde además se recoge entre sus principios rectores el de “Liderazgo nacional y coordinación de esfuerzos” reconociendo que ante la complejidad de los desafíos del ciberespacio, además de un liderazgo nacional decidido se requiere la adecuada coordinación de todas las capacidades, recursos y competencias involucradas, asumiendo tales exigencias el Presidente del Gobierno quien dirigirá y supervisará la Política de Ciberseguridad Nacional en el marco del mencionado Consejo de Seguridad Nacional.
El documento recoge en sus cinco capítulos los mencionados principios rectores, los objetivos global y específicos, unas líneas de acción de la ciberseguridad nacional y la estructura orgánica a establecer, constituida por tres órganos: el ya existente Consejo de Seguridad Nacional y dos de nueva creación: el Comité Especializado de Ciberseguridad, que dará apoyo al anterior por medio de la dirección y coordinación de la Política de Seguridad Nacional en materia de ciberseguridad, así como fomentando la coordinación, cooperación y colaboración entre Administraciones Públicas y entre éstas y el sector privado y el Comité Especializado de Situación que, con apoyo del Centro de Situación del Departamento de Seguridad Nacional, gestionará las situaciones de crisis de ciberseguridad que por su dimensión o carácter transversal desborden las capacidades de respuesta de los mecanismos habituales.
La importancia, profundidad y amplitud de la recién aprobada Estrategia de Ciberseguridad merecen, como he indicado, un análisis riguroso, si bien de una rápida lectura pueden deducirse algunas cuestiones abiertas que considero un buen modelo para los debates a realizar en el marco del recientemente creado Foro de Cibereguridad (de cuya presentación oficial di razón en un post anterior) las cuales iré introduciendo en sucesivos artículos de esta bitácora evitando así alargar en exceso este.
Para finalizar recordaré que hace ya algunos meses hacía referencia a dos actitudes extremas que suelen adoptarse al hacer frente a estos temas: ciberhisteria o ciberindiferencia. A raíz de la publicación en junio de 2013 de documentos clasificados sobre varios programas de la Agencia Nacional de Seguridad estadounidense, que dio origen al todavía latente ”efecto Snowden”, se ha producido un cambio radical que ha conducido desde un aparente y relativo desinterés por el tema, en beneficio de otros acontecimientos más relevantes y mediáticos, hacia una situación de marcada ciberhisteria caracterizada principalmente por multitud de artículos, noticias, comentarios, etc., no siempre acertados o bien fundamentados, con la consiguiente creación de una cierta atmósfera de confusión y de sensación de inseguridad.
Solicitaba yo entonces la búsqueda del punto de equilibrio entre estos dos extremos, el cual, tratándose de la seguridad en el ciberespacio, debe encontrarse en base a la ciberinquietud que conduzca a la toma de decisiones y adopción de medidas de todo tipo y ámbito que ayuden a prevenir, mitigar y recuperarse de los efectos de ataques en este moderno escenario de riesgo.
Felicitemos pues a los responsables de la promulgación de la Estrategia de Ciberseguridad Nacional y felicitémonos también como ciudadanos, parte implicada e interesada, por esta decisión que viene a cubrir un vacío importante en materia de seguridad individual, nacional y colectiva.