La lucha por la supremacía tecnológica está acelerando los ciclos de innovación en muchos ámbitos, muy especialmente en el cibernético. Sin embargo, no se puede perder de vista que las tecnologías del futuro estarán operativas antes de que hayamos asimilado las que están operativas en la actualidad.
Hace años que muchos de nuestros socios y aliados comprendieron las catastróficas consecuencias del cortoplacismo cibernético. En 2014, muchos de estos países han potenciado y reorientado sus sistemas nacionales de ciberseguridad, incrementado de manera exponencial los recursos humanos, económicos y tecnológicos destinados a la seguridad y defensa de sus ciberespacios específicos, en detrimento de los que hasta ahora destinaban a la seguridad y defensa tradicionales.
En nuestro país, la aprobación de la Estrategia de Ciberseguridad Nacional, a finales de 2013, ha permitido poner en marcha el Consejo de Ciberseguridad Nacional, elaborar el Plan Nacional de Ciberseguridad y articular las acciones de los distintos actores con competencias en esta materia con el fin de construir un Sistema Nacional de Ciberseguridad. No obstante, existe la percepción de que algo no funciona como debiera; no parece que se haya terminado de entender las implicaciones del ciberespacio y nuestro horizonte de acción es más reactivo que prospectivo, lo que lastra nuestra preparación de cara al futuro.
Cada uno de los actores nacionales involucrados en la ciberseguridad tiene unas competencias concretas, lo que obliga que sus cibercapacidades deban desarrollarse de manera autónoma, en consonancia con las funciones que tienen encomendadas y de la necesaria integración con el resto de actores para dar forma y operatividad al Sistema Nacional de Ciberseguridad; debiéndose evitar que algunos actores asuman responsabilidades y funciones que no tienen asignadas, desvirtuando con ello el sistema.
Estamos en un momento que obliga a abandonar el confort de lo estratégico para embarrarse en los niveles operativos y tácticos, donde realmente se libra la batalla por la ciberseguridad. Sin embargo, antes es necesario lanzar políticas y planes factibles que proporcionen soluciones reales a los retos de una ciberseguridad que debe evolucionar a la continua transformación. Más allá de la pura retórica será necesario que el Gobierno, la Administración General del Estado, el sector privado y la ciudadanía comiencen a interiorizar la gestión del cambio como elemento esencial para la adaptación a este entorno. Precisamente, esta cultura de la gestión del cambio es lo que permite a algunos gobiernos y organizaciones seguir de cerca la evolución del ciberespacio y sus tecnologías. En este sentido, será necesario afrontar un conjunto de acciones que no deben demorarse:
- Autoridad Nacional en materia de Ciberseguridad. Resulta esencial el nombramiento de una Autoridad Nacional en materia de Ciberseguridad – lo que en otros países se ha denominado ciberzar – que dirija y gestione la ciberseguridad nacional, asesore al presidente del gobierno en esta materia y presida el Consejo de Ciberseguridad Nacional con carácter permanente.
- Política Industrial en materia de ciberseguridad. España necesita disponer de una industria y un sector potente en materia de ciberseguridad, debiendo escapar de la tentación de coger el atajo que supone cambiar el nombre a los productos y servicios de la tradicional industria de seguridad de la información por ciberseguridad. Pretender construir esta industria con ciclos de producción a plazos de 10 o 15 años carece de sentido, por lo que su dinamización deberá reducir los periodos de los procesos productivos de manera notable. Del mismo modo, la adquisición de cibercapacidades ofensivas no puede regirse desde la industria tradicional, ya que éstas requieren ser desarrolladas en unos exigentes ciclos y contar con recursos humanos altamente especializado y que hoy por hoy son insuficientes.
- Incentivar la adopción de la ciberseguridad. Es necesario adoptar un Programa de Incentivos en Ciberseguridad para implementar un marco de buenas prácticas de ciberseguridad, cumplir con un creciente marco de normativas en esta materia y hacer una gestión dinámica de sus ‘ciberriesgos’; lo que conlleva una importante aportación de recursos humanos y tecnológicos que no todos los actores involucrados pueden asumir.
- Ciber-voluntarios / Ciber-reservistas. Nuestro país necesita crear un programa nacional de ciber-voluntarios / ciber-reservistas de amplio espectro que en una primera fase se centre en tres grandes proyectos: influencia, concienciación y operación. Aplicar el ciber-voluntariado y el ciber-reservismo únicamente a la vertiente tecnológica o militar del ciberespacio sería un grave error estratégico, máxime cuando ha quedado demostrado que este ámbito es transversal a todos los sectores de la sociedad y nuestro nivel de madurez se encuentra todavía lejos del mínimo exigible.
En definitiva, solo el desarrollo de una sociedad digital capaz de proteger sus intereses en un mundo cada vez más dependiente de la tecnología, garantizará tanto su prosperidad como su seguridad. Esto requiere de una visión estratégica y la implementación de medidas urgentes capaces de resolver las necesidades actuales. Es necesario un mayor impulso político que permita consolidar las diferentes acciones iniciadas hace ya un año.
* Cuya denominación debería ser Estrategia Nacional de Ciberseguridad. Mientras la Seguridad Nacional es un concepto, definido por un expresión sustantiva, la Ciberseguridad es una función y el carácter de la estrategia que lo dirige es nacional (como adjetivo).