Compartir

El rapto de Europa y la ciberseguridad

seguridad

Cuenta la leyenda que la belleza de Europa, hija de Argíope y Agenor (rey de Tiro) era tal, que mientras estaba cuidando el rebaño de su padre, para enamorarla, Zeus se transformó en un hermoso ejemplar de toro blanco, la raptó y la llevó a la isla de Creta dónde la hizo su reina. Cuando más tarde Zeus abandonó a Europa, éste le hizo tres regalos: Talos, un autómata de bronce; Lélape, un perro que nunca soltaba su presa, y una jabalina que nunca erraba. Si se me permite la licencia, y salvando las distancias, podríamos correlacionar en ellos los pilares básicos que la comisión europea está reflejando es su recién estrenada propuesta de directiva y estrategia de ciberseguridad: la inteligencia, la cooperación y la respuesta a incidentes.

El contenido de la nueva propuesta de directiva y estrategia de ciberseguridad puede consultarse principalmente en los siguientes documentos:

Con esta propuesta se pretende que los estados se planteen ciberestrategias de seguridad capaces de trasladar la garantía de los derechos fundamentales, la democracia y el imperio de la ley al ciberespacio y poder así proporcionar transparencia, imputabilidad y seguridad dentro y fuera del mismo.

La propuesta tiene cinco prioridades estratégicas: lograr la ciber-resiliencia, reducir el cibercrimen, desarrollar las capacidades de ciberdefensa, desarrollar los recursos industriales y tecnológicos necesarios, así como establecer y promocionar una política internacional coherente con los valores europeos.

Aunque, ya se sabe: más vale tarde que nunca. La implementación por parte de cada país de estas directrices debe traducirse en conseguir un nivel común de seguridad de la red y de la información (NIS) -Network and Information Security- mediante el establecimiento de una autoridad NIS nacional, un CERT (Computer Emergency Response Team), una estrategia y un plan NIS. Esto es, cada Estado Miembro debería procurarse las estructuras necesarias para tratar con la ciber-resiliencia, el cibercrimen y la ciberdefensa; aportando así capacidades para lograr un grado de seguridad homogéneo paneuropeo.

Estas tareas pueden ser más o menos complejas y costosas; pero sin duda resolubles. El obstáculo más difícil será propugnar la cooperación público-privada que se propone: centrada principalmente en la prevención, detección y gestión de incidentes de ciberseguridad. Esto puede resultar difícil por dos motivos principales. Por un lado, el coste de las medidas a implantar tanto de los operadores estratégicos o críticos implicados como del propio estado; a lo que se añade el impacto sobre los valores ciudadanos que afectarán sin duda a bienes intangibles: libertad, transparencia y confianza. Por otro, la falta de una metodología madura de trabajo y comunicación confiable, estrecha y dinámica, necesaria entre ambas partes público-privada.

A pesar que existen propuestas metodológicas de la mano de ENISA (guidebook on National cyber security strategies), sin embargo el escollo de base de esta complejidad estriba en dejar de lado la percepción reactiva de la seguridad y abrazar un estado preventivo de trabajo. Por tanto, debemos preguntarnos cómo abordaremos e incentivaremos esta cultura preventiva y cooperativa en el heterogéneo sector público-privado en el que la seguridad y la respuesta a incidentes siguen siendo vistas como un coste y son pocos los “magos” capaces de transformarlas en valor para sus organizaciones pasando de la estrategia de “viene el lobo” a la de las cifras y hechos.

Cierto  es que se han realizado avances y esfuerzos; pero no debemos olvidar que el objetivo y el problema vienen de la mano de la actual crisis económica, el replanteamiento de la propia Unión y la diferente distribución de la riqueza. Esto me hace recordar algunos temas que aumentarán su relevancia y en los que deberemos volcar más atención como el ciberespionaje industrial, las represalias a ciberataques y la sensibilización. Temas que consecuentemente deberían ser abordados entre las primeras tareas de la lista, en especial, por determinados actores y sectores estratégicos implicados, con especial inteligencia, tenacidad y rigor.

Es previsible que la directiva impulse la coordinación a nivel estratégico y de inteligencia, pero no se deberían olvidar los niveles táctico y operacional que también deberían madurar en el creciente tejido cibernético de las organizaciones. Esta madurez debería ser impulsada dentro de la organización con la sinergia y el apoyo de líneas maestras de actuación de las actividades de I+D, por ejemplo, dentro del Horizonte 2020, con el objetivo de afrontar el reto de la innovación, la independencia tecnológica y el desarrollo de productos de seguridad acordes con las necesidades europeas para el futuro inmediato.

No cabe duda que para lograr los objetivos marcados por esta propuesta habrá que pensar, y bastante, en cómo abordar de forma común, clara e interrelacionada una ciberestrategia europea que sea replicable en todos los ámbitos y niveles de las organizaciones (no sólo en el Estado) y que englobe desde los aspectos “microscópicos a los macroscópicos” de cada organización basándose en la defensa en profundidad, lo que debería permitirnos crear lo que podríamos llamar ciberburbujas de protección capaces de interconectarse (absorberse) entre sí para formar una malla entrelazada de protección global paneuropea que proteja a los ciudadanos de forma transparente.

Ya que esta visión particular aún queda lejos, estoy de acuerdo con la coherente posición de la comisión europea de desarrollar productos y servicios comunitarios (sin olvidar la cadena de suministro), controlar lo producido en terceros países y desarrollar el embrión de la estrategia de ciberdefensa – ciberataque; todo ello fundamentando en la necesidad de transparencia, estandarización, certificación, acreditación y evaluación de los productos y sistemas resultantes, con lo que ello significa para el desarrollo tecnológico europeo.

Resumiendo, con esta propuesta de directiva y el resto de iniciativas por venir la Unión Europea muestra la necesidad de hacer resilientes a los sistemas y las redes frente a disipaciones accidentales e intencionales y actualizar las competencias técnicas en toda la Unión. Al ser medidas iniciales se pretende lograr el nivel mínimo necesario para lograr la preparación adecuada y activar la cooperación basada en la confianza que necesita Europa. Sin embargo, serán necesarias más actuaciones, un cambio cultural y una mayor independencia tecnológica para evitar vernos abandonados a nuestra suerte con “regalos” no deseados como la pérdida de secretos, la paralización de la producción en determinados sectores industriales o la dependencia tecnológica.