martes, 3 de diciembre de 2013

España continúa sin estrategia de ciberseguridad

  • La gran empresa española pide leyes armonizadas con EE.UU.

Artículo publicado originalmente en Estrella Digital.
El ciberespacio ha abierto a la empresa posibilidades no imaginadas de negocio, como operadores, prestación de servicios en la red y, de forma generalizada, en la bajada de costes operativos, especialmente en la relación con el cliente y en la gestión de la información; pero también ha abierto la puerta a la ciberdelincuencia. El sector público se ha incorporado más tardíamente al proceso pero hoy caminan juntos empresa y Administración: los ciberataques, dirigidos contra empresas privadas o Estados, comparten redes y procedimientos.
Actualmente conviven en el planeta 2.400 millones de internautas y 6.000 millones de teléfonos móviles. Dos datos que reflejan la interconexión entre personas y el acceso generalizado y a distancia a estas redes.
Espionaje industrial. Robo de identidad. Infraestructuras críticas vulnerables. Impunidad y ocultación del atacante. Suplantación de personalidad. Ataques a la propiedad intelectual. No disponibilidad de la información. La red tiene también un lado oscuro.
Para los escépticos se puede recordar que en 2006 un malware –software malicioso, término al parecer más preciso que el de virus informático que utiliza el común de los mortales- se introdujo en los sistemas de Metro de Madrid y provocó la interrupción de una línea del suburbano durante dos horas y media. Otro ejemplo es que la segunda entidad financiera del país registró en 2003 su primer ataque por fishing –suplantación de identidad- y hoy afronta como su principal reto en este ámbito los ataques a sus filiales norteamericanas procedentes supuestamente del terrorismo yihadista, según palabras del director de Seguridad de la Información del BBVA, Santiago Moral.
La ciberseguridad es por tanto una realidad hoy en la empresa con más de una década de trabajo a sus espaldas, que ha pasado de una actitud reactiva –respuesta a ataques- a una disposición proactiva de puertas adentro y en colaboración con la Administración, como se puso de manifiesto el pasado jueves en Madrid en un encuentro empresarial organizado por el grupo Atenea y la consultora Kreab & Gavin Anderson.
Francisco Martínez, secretario de Estado de Seguridad (Foto: Atenea).
Son muchas y espectaculares las cifras que se lanzan sobre pérdidas económicas causadas por ciberdelincuencia, ataques informáticos, interrupciones del servicio, cifras astronómicas e indemostrables porque se trata de estimaciones. Hay que distinguir entre incidentes y ataques informáticos, éstos organizados, con medios y finalidad económica o de otro tipo, distintos a un virus dando vueltas por la red.
En lo que coinciden la mayor parte de los actores es que el perfil del delito y del delincuente en la red se ha transformado, desde la actuación de un pirata informático normalmente aislado, el hácker que actuaba casi como un reto intelectual, a redes y ataques organizados con un fin económico o político.

Estrategia española de Ciberseguridad

A nivel nacional, el avance que todo el sector se encuentra esperando desde hace un semestre, cuando se anunció como inminente, es la Estrategia Española de Ciberseguridad.
A preguntas de Estrella Digital, el secretario de Estado de Seguridad, Francisco Martínez Vázquez, ha evitado comprometerse con una fecha sobre la esperada Estrategia, lo que hace muy improbable su anuncio en la reunión que el Consejo de Seguridad Nacional celebrará el jueves de esta misma semana en Moncloa. Sí habla Martínez de un trabajo intenso entre los diferentes ministerios implicados (Interior, Defensa, Industria, Presidencia –como coordinador y responsable del CNI-), señala que está “muy avanzado el grupo de trabajo, hay buenas perspectivas, no es habitual temas tan transversales como éste”.
Añade el secretario de Estado que “estamos muy cerca ya de encontrar un modelo para definir las prioridades, las líneas de actuación, la implicación del sector público y del sector privado en materia de ciberseguridad y, dentro del sector público, el papel que ha de jugar cada uno y su coordinación”.
Martínez sí hizo alusiones más concretas al trabajo que desarrollar el INTECO, el Instituto Nacional de Técnicas de Comunicación con sede en León, y su CERT, Centro de Respuesta a Incidentes, que tiene previsto crear a comienzos de 2014 una oficina de integración con las fuerzas de seguridad para aunar medidas técnicas y policiales.
A nivel europeo, la UE publicó el pasado mes de febrero una estrategia de ciberseguridad, acompañada de una propuesta de Directiva de la Comisión Europea sobre la seguridad de las redes y de la información, que insta a los países miembro a colaborar entre ellos, a adoptar una estrategia clara y coordinada en ciberseguridad y a contar con una autoridad competente.
En la jornada mencionada, representantes del mundo de la empresa y de la Administración pusieron de manifiesto su interés en trabajar conjuntamente, como hacen de hecho. La realidad dice que hoy la ciberdelincuencia utiliza las mismas redes y procedimientos para atacar una entidad financiera que un organismo gubernamental.
Sin embargo, y a pesar de los muchos avances recientes desde el sector público, la diferente implicación entre ambos mundos aún es grande. De los alrededor de 200.000 agentes de todos los cuerpos de seguridad del Estado –Policía, Guardia Civil y policías autonómicas- tan solo 200 se dedican a la ciberseguridad, un porcentaje mínimo y desajustado con la importancia hoy del ciberdelito.

Retos de futuro

    Internet de las cosas - Se calcula que existen 24.000 millones de dispositivos conectados a la red mundial de comunicaciones, lo que lleva a hablar del Internet de las cosas, que sucede al Internet de las personas. En esta nueva fase se pretende evitar los errores de seguridad cometidos en la primera.
    Armonización legislativa - La red no tiene fronteras, pero sí está regulada por legislaciones nacionales que entorpecen el trabajo de las empresas que operan con o en ella. Grandes multinacionales españolas como BBVA, Telefónica o Indra reclaman una armonización de la normativa de España y Europa con la de EE.UU., origen hoy ya de la mayor parte de las empresas de servicios en la red. “Navegamos la mayor parte del tiempo siguiendo legislación que no es nacional”, apuntó muy gráficamente el representante del BBVA. No existe un marco jurídico armonizado que regule el ciberespacio ni coordinación entre la UE y EE.UU.
    Cíber-riesgos – Algunos especialistas señalan que un peligro incluso mayor que los ciberataques es quedar fuera de la globalización. España ocupa hoy una posición de interés en este campo, es con Finlandia de los pocos países europeos que fabrica software en ciberseguridad. La normativa más favorable de EE.UU. promueve el traslado de empresas europeas hacia Silicon Valley.
    Prioridades para España – El director de Seguridad de la Información y Prevención del Fraude de Telefónica, Manuel Carpio, apunta a que los modestos recursos de los que dispone nuestro país deberían destinarse a I+D, sistemas que garanticen la identidad en la red, robótica para evitar que las máquinas se vuelvan contra las personas –máquinas controlando máquinas-, desarrollo de la criptografía; inteligencia y big data; y el factor humano, recuerda que a pesar de las toneladas de dólares invertidas en tecnología por la norteamericana NSA, sus problemas proceden de las filtraciones de un técnico como Edgard Snowden.
Maxwell Smart, Superagente 86.
Una conclusión de todo lo anterior parece ser que en la red todos los actores son interdependientes; y que las circunstancias económicas y tecnológicas obligan a todos los agentes a perder el miedo y compartir informaciones de seguridad, lo que va en contra de la tradición.
Cíber: prefijo de moda, utilizado dieciocho veces en este artículo, que “indica relación con redes informáticas”, según la RAE. Coinciden las fuentes en su origen etimológico del griego kybernetes, que significa el arte de pilotar un navío o, en sentido amplio, el arte de dirigir a los hombres o el arte de gobernar. El término “cibernética” fue usado primero en 1834 por el físico francés André Marie Ampère para referirse a los modos de gobierno (las maneras de “timonear”), y luego, en 1948 por el matemático Norbert Wiener, profesor del MIT en su obra Cibernética: o el control y comunicación en animales y máquinas. En 1982, el escritor norteamericano de ciencia ficción William Gibson separó la partícula “cyber” de “cybernetics” y formó la palabra “cyberspace” para denominar el espacio virtual creado por las redes informáticas. Ciberespacio se introdujo en 1989 al español con la traducción de su obra Neuromante.

Sugerencias



1 comentario:

  1. Las amenazas e incidentes en seguridad en la información están presentes en todos los sectores de todas las industrias. El malware, como un ejemplo en seguridad en la información, es capaz de extraer datos confidenciales desde un equipo infectado y mandarlas a otro para que sean utilizadas bajo esquemas delictivos. Debemos definir una estrategia de Ciberseguridad para vigilar, analizar y dar respuesta a incidentes que evolucionan continuamente presentándose de maneras cada vez más complejas y nocivas.

    ResponderEliminar