La cadena de la ciberseguridad

La cadena de la ciberseguridad

EFE

1995, concretamente el día 4 de septiembre. Bill Gates visitaba España para presentar Windows 95. El Presidente de la compañía en aquella fecha, Cándido Velázquez, mantuvo un encuentro con el empresario tecnológico norteamericano en el cual le presentó el Servicio InfoVía, la primera plataforma de acceso a Internet que desplegó la operadora. A algunos les sorprendería la cara de extrañeza de algún fabricante cuando se les planteaba introducir mecanismos de ciberseguridad (entonces no se empleaba ese término) con el fin de evitar que un usuario pudiera deambular por los equipos internos de la plataforma. "Internet no es así", o algo similar, era la respuesta generalizada. Finalmente las medidas se introdujeron, aunque se superaron no pocas dificultades para su estabilización.

El ataque cibernético global sufrido ayer es un aviso. La medidas para la ciberseguridad siguen siendo insuficientes más de veinte años después. Probablemente, lo serán siempre.

Internet fue concebida como una red abierta basada en la confianza entre los elementos conectados. La tecnología base de la red de redes, que está presente también en las infraestructuras internas de empresas de cualquier tamaño, así como en nuestros hogares, siempre tuvo la ciberseguridad como un añadido. Sólo tras el inicio de su explotación comercial masiva a mediados de los 90, la protección de los elementos a ella conectados comenzó a ocupar un espacio relevante. Ya fue tarde. Estamos ante una inevitable carrera entre "buenos" y "malos" de enormes costes. De acuerdo con datos publicados por Forbes, el mercado de la ciberseguridad alcanzó los 75.000 millones de dólares en 2015 y se espera que llegue 170.000 millones de dólares en 2020. El mismo medio, publicaba la estimación de 2 trillones de dólares como el coste del cibercrimen en 2019.

Los poderes públicos han tratado de impulsar marcos legales y estrategias destinadas a promover la adopción de medidas de ciberseguridad en todo tipo de entornos, así como a establecer la cooperación como base de una defensa eficaz. Un ejemplo de ello es la Directiva de Seguridades de Redes y Sistemas de Información aprobada el 6 de julio de 2016 por el Parlamento Europeo. La normativa comunitaria obliga a los Estados miembros a fortalecer sus capacidades de protección cibernética (e.g estableciendo equipos de respuesta ante incidentes, designado una autoridad nacional responsable, ... ), incrementar la cooperación entre los estados de la Unión y la obligación de gestión de riesgos y reporte de incidentes a los operadores económicos esenciales (energía, transporte, financiero, transporte, agua, salud, digital).

En la imposición de obligaciones legales de ciberseguridad a las entidades y organizaciones, los gobiernos han de comenzar por sí mismos. En esta faceta, la Administración española empezó a cumplir con sus obligaciones en 2010, con la aprobación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica. La norma es aplicada por las Administraciones para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios electrónicos que gestionan en el ejercicio de sus competencias. Una mirada a los últimos Informes Nacionales del Estado de Seguridad (INES), nos muestra un progresivo compromiso con la ciberseguridad, pero que señalan aún el camino restante para alcanzar la excelencia que demanda la protección de servicios públicos y la custodia de los datos de los ciudadanos.

¿Por qué la carrera tecnológica no frena el cibercrimen? ¿Por qué las obligaciones legales a los operadores económicos y Administraciones públicas no son suficientes para que las medidas establecidas sean efectivas? ¿Por qué tenemos la impresión de una alta vulnerabilidad del mundo digital al que nos encaminamos a pasos agigantados? Como en otros muchos campos, la respuesta está en las personas y cómo nos organizamos.

Dotar a los trabajadores de competencias digitales es uno de los grandes retos del siglo XXI. Ayer mismo, el Presidente del Gobierno, en su discurso inaugural del Salón Internacional del Automóvil, reconocía que "la digitalización exige mejorar las competencias de los trabajadores en nuevas tecnologías". Sólo el 56% de los ciudadanos de la Unión y 53% de los españoles tienen competencias digitales básicas. Esta carencia de competencias digitales es utilizada por los cibercriminales como una de las principales vías para causar incidentes en las organizaciones, introduciendo software malicioso apoyándose en la ingeniería social dirigida al eslabón más débil de la cadena de la seguridad, el usuario.

En un escenario en el que las amenazas son crecientes y cada vez más sofisticadas, existe una asimetría entre los recursos humanos y presupuestarios dedicados a la protección de activos digitales y los utilizados por los interesados en explotar las vulnerabilidades tecnológicas, el riesgo va en aumento. Resulta paradójico que sea este uno de los campos en los que la robotización aporte señales de optimismo. Mientras tanto, buena parte de las respuestas a las amenazas de ciberseguridad radican en las estructuras organizativas. La única solución es abordar el reto desde un punto de vista integral, teniendo en cuenta, y por este orden, a las personas, los procesos y la tecnología.

El Reglamento General de Protección de Datos (RGPD), aprobado en 2016 y que comenzará a aplicarse en mayo de 2018, presenta a organizaciones públicas y privadas la oportunidad de revisar sus estructuras y redefinir los roles y responsabilidades. Los datos, como materia prima de la información y conocimiento, es el gran activo a explotar, pero también a proteger. La figura del Delegado de Protección de Datos (DPO), derivada de las obligaciones del reglamento, ha de nacer también con la responsabilidad sobre la estrategia de gobierno de los datos y la generación de valor para el negocio a partir de los mismos. La responsabilidad de la protección general de redes y servicios de información, tradicionalmente materializada en en la figura del Director de Seguridad (CISO), ha de converger necesariamente con el DPO, a ser posible, liderando una estructura independiente de la dedicada a la gestión y explotación global de las Tecnologías de la Información.

Dejando a un lado la posibilidad, remota, de incorporar de forma nativa la seguridad a la actual red, nos encontramos, por tanto, con una situación que debe ser afrontada a través de una aproximación multidisciplinar. Desde el desarrollo de soluciones tecnológicas basadas en la incorporación de la seguridad desde el diseño en las aplicaciones y dispositivos conectados, pasando por la imprescindible necesidad de formación y capacitación digital de los trabajadores, hasta la incorporación en las organizaciones de de los procedimientos y estructuras internas que ayuden a profesionalizar el tratamiento de las amenazas. Ninguna de estas vertientes es por sí suficiente, pero todas son necesarias. La cadena será tan débil como el más débil de sus eslabones.