Estrategia Nacional de Ciberseguridad

La Cuarta Revolución Industrial, la digital, nos ofrece innumerables beneficios y avances. Pero una parte importante de la sociedad sigue desconfiando de esta transformación digital.

Cada día vemos en las noticias nuevas ciberamenazas a las que tenemos que enfrentarnos. Desde actuaciones de desinformación en redes sociales hasta la financiación del terrorismo y el ciberespionaje, el mundo digital se va imponiendo al real.

También han surgido nuevas tecnologías como la Inteligencia Artificial, la robótica, el Big Data o el blockchain que marcan la actividad diaria de ciudadanos, empresas y entidades públicas. Con ellas aparecen nuevos métodos para obtener información, intercambiar datos o generar conocimiento.

Todo esto hace necesario el establecimiento de las medidas de ciberseguridad necesarias para protegernos frente a las nuevas amenazas.

Y así surge la Estrategia Nacional de Ciberseguridad, que analizamos a continuación.

¿En qué consiste la Estrategia Nacional de Ciberseguridad?

La Estrategia Nacional de Ciberseguridad, aprobada por el Consejo de Seguridad Nacional por Orden PCI/487/2019, de 26 de abril, pretende adaptar la ciberseguridad a los nuevos tiempos y amenazas.

En la actualidad, las principales actividades se realizan en el ciberespacio a través de nuevas tecnologías e infraestructuras. Y la protección de ese ciberespacio es fundamental para el desarrollo económico del país.

La Estrategia Nacional de Ciberseguridad de 2019, que actualiza la aprobada en 2017, pretende que los sistemas de información y comunicaciones sean utilizados de forma segura. A través de un aumento de los medios para detectar, prevenir y responder a ataques informáticos se intenta conseguir mayor seguridad y fiabilidad en el ciberespacio.

A través de nuevas reglas en materia de ciberseguridad se pretende hacer frente a los nuevos ataques y amenazas que surgen en la red. También se intenta conseguir una mayor seguridad en los servicios esenciales y en el sector público e impulsar una cultura de la ciberseguridad.

Evolución

La primera Estrategia Nacional de Ciberseguridad se aprobó en España en 2013. En ella se establecían las líneas generales y las directrices de actuación para enfrentar el desafío que la vulnerabilidad del ciberespacio supone para el país.

En 2014 se crea el Consejo Nacional de Ciberseguridad como órgano de apoyo al Consejo de Seguridad Nacional. Este órgano tiene atribuidas competencias de coordinación de los organismos nacionales de ciberseguridad y para elaborar el Plan Nacional de Ciberseguridad.

En el año 2015 se modifica el Esquema Nacional de Seguridad para garantizar la seguridad de los sistemas de información del sector público. Ese mismo año se aprueba también la Ley de Seguridad Nacional donde se considera la ciberseguridad como un aspecto de especial interés.

Por último, en 2017 se elabora una nueva Estrategia Nacional de Ciberseguridad donde ya se alude a las nuevas tendencias de digitalización de la sociedad y se entiende la ciberseguridad como un elemento propio y diferenciado.

Por otro lado, la aprobación del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que adapta a nuestro derecho la Directiva NIS de la UE, supuso un importante avance en la mejora de la ciberseguridad en nuestro país en todos los sectores estratégicos.

Contenido

El documento lo forman cinco capítulos:

  1. Ciberespacio como espacio común global
  2. Amenazas y desafíos en el ciberespacio
  3. Propósito, principios y objetivos para la ciberseguridad
  4. Líneas de acción y medidas
  5. La ciberseguridad en el Sistema de Seguridad Nacional

A continuación analizaremos cada uno de estos capítulos.

1. Ciberespacio como espacio común global

El ciberespacio es un espacio global común que se caracteriza por su falta de soberanía, la escasa jurisdicción, el fácil acceso y el anonimato de las acciones llevadas a cabo. Esto hace que este lugar ofrezca numerosas oportunidades pero también importantes riesgos para la seguridad.

A través del mismo se facilita la libre circulación de servicios, información e ideas. Con ello se impulsa el progreso económico y el emprendimiento al surgir nuevas posibilidad en cualquier sector de actividad.

Las nuevas tecnologías como el Big data, la Inteligencia artificial, la robótica o el blockchain son ya una realidad aunque aún queda mucho por descubrir. Sus efectos se extienden más allá del ámbito tecnológico a la ética y las relaciones personales.

El aumento de la conectividad y la mayor dependencia de las redes y dispositivos digitales ocasiona riesgos que hacen más difícil la adecuada protección de la información.

Infraestructura digital

El ciberespacio también se sustenta en elementos físicos que son los dispositivos y componentes utilizados para las conexiones y comunicaciones.

Estos elementos están expuestos a vulnerabilidades que afectan a su correcto funcionamiento y a acciones malintencionadas que ocasionan importantes problemas de seguridad.

En el diseño del hardware y software prevalecen los fines comerciales sobre criterios de seguridad lo que ocasiona mayores riesgos para la cadena de suministro.

Seguridad internacional en el ciberespacio

El mantenimiento de la seguridad en el ciberespacio es un objetivo prioritario de todos los gobiernos. Existen mecanismos de cooperación entre diferentes Estados en materia de ciberseguridad y la Carta de Naciones Unidas se considera un referente a la hora de evitar conflictos, colaborar y lograr un ciberespacio seguro.

Nuevo concepto de ciberespacio

La protección del ciberespacio es fundamental para garantizar la protección de los datos personales y la privacidad de los ciudadanos, la libertad de expresión y el acceso a una información auténtica y de calidad.

El sector privado tiene la propiedad de la mayoría de los activos digitales por lo que es esencial el impulso, apoyo e inversión en ciberseguridad. Con ello se garantiza el desarrollo económico y la seguridad del entorno digital.

En la actualidad se ha pasado de un modelo de ciberseguridad de carácter preventivo a otro que introduce elementos con más poder disuasorio. Y para ello es necesario potenciar las capacidades en ciberdefensa.

Por último, debe existir también una mayor inversión en ciberseguridad por parte del Gobierno y las empresas para formar especialistas en la materia y combatir las nuevas ciberamenazas que aparecen.

2. Amenazas y desafíos en el ciberespacio

Existe una diferenciación entre ciberamenazas y actuaciones en las que el ciberespacio es utilizado como medio para realizar actos ilícitos.

Ciberamenazas

Se consideran ciberamenazas las manipulaciones maliciosas de dispositivos tecnológicos. Las actuaciones son muy diversas y también sus motivaciones.

Para combatirlas es necesaria una ciberseguridad integral que abarque tanto al sector público como al privado y a toda la sociedad. Estas amenazas llevan la iniciativa por lo que es necesario incrementar las medidas de defensa impulsando la seguridad desde el diseño y por defecto, incluida en la creación de servicios y productos tecnológicos y en su actualización.

Actos que utilizan el ciberespacio para fines maliciosos

Las características del ciberespacio que hacen que sea una forma de progreso pueden usarse para fines maliciosos por el anonimato y la suplantación que facilita este medio.

Dentro de las actuaciones realizadas en el ciberespacio con fines maliciosos se encuentran el ciberespionaje y la cibercriminalidad.

El ciberespionaje en este medio tiene menos riesgos y es más rápido y económico que el tradicional. Es realizado principalmente por gobiernos. Cada vez existen más acciones dirigidas a atacar las vulnerabilidades de instituciones y Estados democráticos. Para ello utilizan ciberataques, acciones militares, medios de presión económica o manipulación de la información.

La cibercriminalidad es una de las amenazas más generalizadas y extendidas que afecta a ciudadanos, instituciones y empresas. En este término se incluyen todas las actuaciones ilícitas realizadas en Internet que afectan a dispositivos o sistemas informáticos y para las que se utilizan herramientas tecnológicas.

El uso de nuevos sistemas de transacciones económicas, la extorsión, el fraude y la falsificación de medios de pago son un desafío para la seguridad debido a su complejidad y sofisticación. Pueden usarse para evadir impuestos o para el blanqueo de capitales y producen importantes ingresos al crimen organizado que son usados en la financiación del terrorismo.

También cabe destacar el gran valor que tiene hoy en día la información digital que origina el uso con fines malintencionado de datos personales y la realización de campañas de desinformación para desestabilizar a la sociedad.

3. Propósito, principios y objetivos para la ciberseguridad

El propósito principal de esta Estrategia Nacional de Ciberseguridad de 2019 es establecer la directrices generales para alcanzar los objetivos fijados.

Para ello deben reforzarse las capacidades para afrontar las nuevas amenazas y se adoptarán medidas para garantizar la seguridad nacional.

Otro de los propósitos es impulsar la cultura de la ciberseguridad para que toda la sociedad conozca las amenazas a las que se enfrenta.

También se establece la necesidad de apoyar y fomentar la industria de la ciberseguridad en España, favoreciendo la investigación, el desarrollo y la innovación. Es esencial formar especialista en ciberseguridad ya que es uno de los perfiles más demandados e insuficientes en nuestro país.

Principios

Los principios en los que se basa la Estrategia Nacional de Ciberseguridad son:

  1. Unidad de acción: Cuando se produce un incidente de ciberseguridad que afecta a varios organismos es necesaria la colaboración entre ellos para que la respuesta sea más eficaz y rápida.
  2. Anticipación: los órganos especializados deben disponer de mecanismos de anticipación ante esas situaciones de crisis. Se deben favorecer las actuaciones preventivas sobre las reactivas. Con ello se reducirá el tiempo de respuesta y los efectos del incidente.
  3. Eficiencia: los sistemas de ciberseguridad deben ser de un alto nivel tecnológico pero también deben optimizarse para reducir costes. Para conseguir una mayor eficiencia es fundamental compartir la información, la unidad de acción y la integración de recursos.
  4. Resiliencia: esta es una característica necesaria en los sistemas e infraestructuras críticas. Deben reforzarse las redes de información y comunicaciones para evitar ciberamenazas.

Objetivos

El objetivo principal de esta Estrategia es garantizar un uso seguro de la red para proteger las libertades y derechos de los ciudadanos y promover el desarrollo socio económico.

Los objetivos específicos son los siguientes:

  1. Seguridad y resiliencia de las redes y sistemas de información y comunicaciones del las entidades públicas
  2. Uso fiable y seguro del ciberespacio frente al uso malicioso
  3. Protección de los ciudadanos y del sector empresarial y social
  4. Compromiso y cultura de ciberseguridad y fortalecimiento de las capacidades tecnológicas y humanas
  5. Seguridad internacional del ciberespacio

4. Líneas de acción y medidas

Para conseguir los objetivos indicados anteriormente se prevén las siguientes líneas de acción:

Fortalecer las capacidades frente a las nuevas amenazas

En este caso, las medidas a aplicar, entre otras, serán:

    • Fomentar la cooperación entre los centros especializados en investigar y luchar contra las nuevas amenazas.
    • Establecer estándares y nuevas prácticas en ciberseguridad.
    • Mejorar las capacidades para detectar y analizar las ciberamenazas.
    • Actualizar la normativa y procesos de respuesta a incidentes informáticos.

Garantizar la resiliencia y seguridad de los activos estratégicos en España

Para ello se prevén medidas como:

    • Potenciar y aumentar las capacidades del sector público para detectar, prevenir, responder y recuperarse en caso de sufrir un ciberataque.
    • Garantizar la aplicación efectiva del Esquema Nacional de Seguridad y el resto de normativa de protección de servicios esenciales e infraestructuras críticas.
    • Crear infraestructuras de ciberseguridad en CCAA y Entidades locales.
    • Desarrollar el Centro de Operaciones de Ciberseguridad de la Administración General del Estado.
    • Establecer listas de productos y servicios certificados y cualificados para las contrataciones del sector público.

Fortalecer las capacidades de investigación y lucha contra la cibercriminalidad para garantizar la seguridad y protección de los derechos y libertades

Las medidas previstas son:

    • Impulsar la participación y colaboración ciudadana.
    • Fortalecer la normativa para dar una respuesta eficaz a los ciberataques.
    • Trasladar a la jurisdicción penal aquellos incidentes de seguridad constitutivos de delito.
    • Fomentar el intercambio de experiencias, información y conocimientos entre los especialistas en la materia.
    • Reforzar la cooperación judicial y de la policía internacional.

Promover la ciberseguridad de empresas y ciudadanos

Las medidas que se establecen son:

  • Ofrecer un servicio público de ciberseguridad a empresas y ciudadanos que sea fácilmente accesible.
  • Fomentar la ciberseguridad entre autónomos y pymes.
  • Establecer sistemas de denuncia seguros y eficaces para empresas y particulares.
  • Impulsar la aplicación de estándares internacionales de ciberseguridad en las empresas.
  • Establecer sistemas de identificación electrónica y servicios electrónicos confiables.

Potenciar la industria española de ciberseguridad y la generación de talento

Para ello se prevén medidas como:

  • Crear programas de ciberseguridad para empresas, pymes y universidades y facilitar el acceso a ellos.
  • Aumentar las actividades para crear sistemas, servicios y productos de ciberseguridad.
  • Exigir determinados requisitos en materia de ciberseguridad a los servicios de información y comunicaciones.
  • Incluir perfiles profesionales de ciberseguridad en el sector público.
  • Impulsar y retener el talento en ciberseguridad.

Garantizar la ciberseguridad en el ámbito internacional

Las medidas previstas en este caso son:

  • Aumentar la participación de España en organismos y foros internacionales de ciberseguridad.
  • Intervenir en la creación de un ecosistema europeo seguro.
  • Impulsar la cooperación, el intercambio de experiencias y el dialogo entre países para luchar contra las ciberamenazas.
  • Firmar acuerdos internacionales sobre ciberseguridad.

Crear una cultura de ciberseguridad

Aquí se indican las siguientes medidas:

  • Aumentar las campañas de información a empresas y ciudadanos.
  • Crear planes de alfabetización digital en ciberseguridad.
  • Impulsar la formación en ciberseguridad en centros de enseñanza.
  • Conseguir que las empresas difundan la cultura de la ciberseguridad entre sus empleados.

5. La ciberseguridad en el Sistema de Seguridad Nacional

La estructura orgánica en materia de ciberseguridad se estableció en la Estrategia Nacional de Ciberseguridad de 2013 y en la Ley de Seguridad Nacional. En esta Estrategia de 2019 se complementa el nuevo organigrama de ciberseguridad nacional con las políticas de la UE.

Los órganos de ciberseguridad dentro del Sistema de Seguridad Nacional son los siguientes:

  • Consejo de Seguridad Nacional
  • Comité de Situación
  • Consejo Nacional de Ciberseguridad
  • Comisión Permanente de Ciberseguridad
  • Foro Nacional de Ciberseguridad
  • Autoridades públicas competentes y CSIRT de referencia.