El Real Instituto Elcano, en colaboración con Thiber, acaba de lanzar un informe de situación mensual: Ciber elcano. No es la única fuente de información en español, ya que existen medios impresos como las revistas Red Seguridad y SIC y sitios web como el del Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Criptológico Nacional (CCN-CNI) donde se divulgan ampliamente las cuestiones de ciberseguridad. Pero su peculiaridad reside en que da prioridad a las cuestiones relacionadas con la gobernanza, gestión y política de la ciberseguridad. Trata, por tanto, de fomentar la cultura de ciberseguridad entre los decisores en los distintos niveles estatales, subestatales, empresariales, industriales, tecnológicos y universitarios, públicos y privados, implicados en la gestión de la ciberseguridad.
A diferencia de otras funciones públicas como la diplomacia, la seguridad y la defensa, la ciberseguridad carece de un marco de conocimiento preexistente y se construye –en España y fuera de ella– desde cero y mediante procesos de experimentación, acierto y error, y copia de las mejores prácticas conocidas. En las estanterías del conocimiento y en las academias de funcionarios no existen todavía materiales que faciliten el despegue y consolidación de esta nueva función estatal, vital para la seguridad y prosperidad de los españoles, como han reconocido las Estrategias de Seguridad Nacional.
La primera de ellas incluyó en 2011 las ciberamenazas y los ciberataques entre los riesgos principales para la seguridad nacional, al igual que la vigente aprobada en 2013. Desde entonces se ha trabajado deprisa para hacer hueco a la recién llegada entre las funciones tradicionales de gobierno. A la búsqueda de la gobernanza, se dispone ya de una primera visión –estrategia– de lo que debe ser la ciberseguridad y de una organización básica –sistema– encarga de desarrollar aquella visión. Del mismo modo, desde el punto de vista operativo nuestro país dispone de varios Centros de Respuesta ante Incidencias Informáticas (CERT) nacionales y autonómicos, un Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, una Dirección General de Tecnologías de la Información y Comunicación de la Administración General del Estado y una Oficina de Coordinación Cibernética en el Centro Nacional de Protección de Infraestructuras Críticas. Además, el gobierno parece haber identificado la necesidad de disponer de un sector e industria de ciberseguridad de primer nivel, tal y como refleja en el Plan de Confianza en el ámbito Digital. La gobernanza tiende a consolidarse tras decidir el Gobierno, a principios de 2015, acabar con el sistema de rotación que afectaba a la dirección de la ciberseguridad y residenciar la presidencia del Consejo de Ciberseguridad en el Centro Nacional de Inteligencia (CNI).
Finalizado el aterrizaje, la ciberseguridad debe pasar de su fase de gobernanza actual y dirigirse en el corto plazo hacia la construcción de una Política Nacional de Ciberseguridad. Construir una política supone dotar a la ciberseguridad de la misma estructura (dirección, sistema, control y comunicación), instrumentos (tecnológicos, humanos, presupuestarios y normativos), procesos (diseño, ejecución, evaluación y revisión de planes y estrategias) y funciones que cualquier otra política pública, peculiaridades aparte. Se considera que, aun disponiendo la ciberseguridad de algunos elementos propios de una política, todavía carece de otros que la permitan mostrarse como una función estatal diferenciada. Por mencionar algunos de mayor notoriedad, la ciberseguridad no dispondrá de un espacio propio mientras comparta liderazgo y recursos con terceros. La dirección única actual bajo el CNI ofrece mejores oportunidades de gobernanza y desarrollo a la ciberseguridad que la rotación anterior por los diferentes ministerios y agencias. Pero si la ciberseguridad crece en la medida que se espera, deberá alejarse en el futuro de la incubadora de inteligencia donde se encuentra para encontrar su propia autonomía entre las distintas culturas de seguridad vigentes. Además de una identidad diferenciada, toda Administración nueva necesita también recursos propios. La ciberseguridad no puede construirse a coste cero ni contra los recursos limitados de otros ministerios y agencias públicas. Más allá de las declaraciones de intención, los recursos asignados serán los que midan el nivel de ambición y coherencia de cada Gobierno. Y los recursos presupuestarios serán el menor de los problemas a los que se va a enfrentar la ciberseguridad, ya que otros recursos como los de personal capacitado o los tecnológicos van a ser mucho más complicados –y tampoco baratos– de encontrar.
También creemos que lo verdaderamente nacional debe ser la política y no tanto la ciberseguridad. Abogar por una Política Nacional de Ciberseguridad en lugar de una política de ciberseguridad nacional no es un capricho semántico porque el calificativo de nacional añade a la política la inclusión de todos los elementos de la nación –y no sólo de los gubernamentales– a la gestión de la ciberseguridad. La gobernanza actual debe abrirse a una política nacional que integre más actores y capacidades públicas y privadas. Hasta ahora se cuenta con el Foro Nacional de Confianza Digital para estudiar y proponer medidas de estímulo en favor de las Tecnologías de la Información y las Comunicaciones, incluidas la de ciberseguridad, pero debe ampliarse y profundizarse tanto a los ámbitos industriales, tecnológicos y educativos implicados en la ciberseguridad como a los sociales y políticos que deben participar en la supervisión y control de una política “nacional” de ciberseguridad.
Finalmente, nos parece que las funciones de la nueva política sujetas a la gobernanza actual –seguridad de la información, gestión de crisis, análisis de riesgos, defensa y explotación y la resiliencia– son adecuadas para afrontar la ciberseguridad desde la perspectiva de los riesgos. Pero la futura política deberá atender también a las oportunidades que abre la ciberseguridad a un mercado donde el volumen de negocio crece a ritmo de dos dígitos en los últimos años (se calcula que el mercado mundial va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 millones en 2020, una fecha en la que estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas). Más allá de los peligros, el ciberespacio ofrece oportunidades para crear un tejido industrial innovador, empleos de calidad y capacitación tecnológica. Una visión más amplia debería desarrollar instrumentos de demanda pública, definir prioridades en I+D+i, incentivar las inversiones y crear centros de excelencia, entre otros, para que en España se pase de consumir a producir ciberseguridad.
En definitiva, si la ciberseguridad es tan importante como se dice y si tiene el recorrido y trascendencia que se espera, es necesario progresar desde el modelo de gobernanza actual, entre la contingencia y la consolidación, a uno de política pública de mayor recorrido y más largo plazo. Desde el Real Instituto Elcano y desde THIBER pretendemos ayudar a la transición con este nuevo producto compartido Ciber elcano y animamos a quienes nos quieran acompañar en esta nueva tarea a suscribirse para recibirlo y a contribuir a su desarrollo.