Resulta fácil caer en la tentación de presuponer que la aprobación de la Estrategia de Ciberseguridad Nacional (en adelante, ECN) responde a un ejercicio de improvisación por parte de nuestro Gobierno tras la declaración de la Alianza Atlántica que el desarrollo de cibercapacidades constituía una responsabilidad nacional o los recientes episodios de ciberespionaje masivo, pero nada más lejos de la realidad. La ECN, aprobada el pasado jueves en Consejo de Ministros, a instancia del Consejo de Seguridad Nacional en su última reunión programada de 2013, lleva más de dos años en proceso de elaboración pero diferentes circunstancias, tales como el cambio de Gobierno en 2011 o la aprobación de la Estrategia de Seguridad Nacional, a mediados de este año, han retrasado su aprobación.
Con la aprobación de la ECN, España se convierte en el decimoctavo país europeo que dispone de una estrategia de este tipo. Aunque ésta supone un hito necesario para la construcción del Sistema Nacional de Ciberseguridad, la ECN no puede calificarse como novedosa ni en cuanto a sus propósitos ni tampoco a sus principios rectores, estando éstos alineados con la de la inmensa mayoría de nuestros aliados.
La recién aprobada ECN resulta inaccesible para la inmensa mayoría de los ciudadanos debido a la ausencia de un marco teórico que exponga la realidad e importancia estratégica del ciberespacio y su seguridad para el desarrollo social, económico, político y cultural de nuestra nación.
La ECN, como cualquier estrategia, debería establecer claramente los fines, los modos y los medios para lograr los objetivos de la ciberseguridad española en línea con la Estrategia Nacional de Seguridad, identificando así los objetivos que persigue, los medios con los que contará y priorizando las acciones para conseguir estos objetivos. Debería dar respuesta a tres cuestiones importantes: ¿Qué preocupa? (Riesgos-Amenazas), ¿Quién se preocupa? (Responsables) y ¿Cómo se responde a esa preocupación? (políticas públicas).
La definición de riesgos y amenazas es escasa, puesto que se limita a identificar – pero sin tratar su impacto, alcance, potencial, interrelación o prioridad– un conjunto de actos y actores globales que afectan a todas las naciones por igual pero se echa en falta un análisis más profundo de los riesgos y amenazas que afectan y puedan afectar a las capacidades cibernéticas nacionales.
La responsabilidad de la seguridad y de la defensa del ciberespacio nacional se encuentra muy fragmentada en el ámbito de la Administración General del Estado y de las autonomías. Tras la aprobación de la ECN la responsabilidad máxima recae en Presidencia del Gobierno, que a través del Consejo de Seguridad Nacional y apoyándose en su comité especializado en ciberseguridad, asistirá al Presidente del Gobierno en la dirección de la Política Nacional de Ciberseguridad, y en especial en el reforzamiento, coordinación y cooperación entre los diferentes actores, públicos y privados, obviándose el condicionante esencial de un enfoque integral como elemento clave para la construcción del Sistema Nacional de Ciberseguridad.
Se establecen muchas líneas de acción y acciones de carácter generalista, sin definir que las principales políticas deberían girar en torno a las siguientes características con el objetivo de crear una cultura de ciberseguridad y potenciar el triangulo Estado-Universidad-Empresa:
– La resiliencia de nuestro ciberespacio;
– La colaboración público–privada, con especial énfasis en la compartición de información.
– La educación y concienciación;
– El I+D+i;
– La potenciación y dinamización de la industria nacional de ciberseguridad, dentro y fuera de nuestro país;
– La incentivación económica del sector privado;
– La colaboración internacional.
Del mismo modo, la ECN no viene acompañada de la consiguiente dotación presupuestaria, sino que los presupuestos son los específicos de cada uno de los actores ya existentes, los cuales se han demostrado muy insuficientes para la adquisición y despliegue de capacidades, siendo necesarios planes específicos que permitan llevar a cabo una gestión eficiente y eficaz de los gastos relacionados con la ciberseguridad nacional. Tampoco se establece un plan de acción a corto-medio plazo, lo que supondrá un inconveniente a la hora de aplicar las provisiones de la Estrategia, con un cierto grado de garantía de éxito.
En definitiva, la ECN constituye el comienzo elegido para el inexorable proceso de construcción del Sistema Nacional de Ciberseguridad. Para ello, sera necesario contar con un decidido apoyo político, porque queda un ingente trabajo que hacer.