Redacción.
3 de octubre de 2018.
Octubre es el Mes Europeo de la Ciberseguridad, por iniciativa de la Agencia Europea de Seguridad de las Redes y de la Información (EINSA), y bajo ese marco la asociación de expertos en Ciberseguridad y Protección de Datos ISACA Madrid Chapter ha celebrado la conferencia Cibertodos, en la que se han expuesto y debatido aspectos como la ciberdefensa, la certificación en ciberseguridad, herramientas de análisis y simulación de ciber ataques, los niveles conseguidos de concienciación y la implicación política en esta materia.
Comenzó la jornada con la intervención de Enrique Cubeiro, Jefe del Estado Mayor del Mando Conjunto de Ciberdefensa (MCCD) , quien realizó un repaso del estado de la ciberseguridad tanto a nivel nacional como internacional, habló de conceptos como la guerra asimétrica, la guerra híbrida, y los esfuerzos que está realizando el mando conjunto de ciberseguridad de los Cuerpos y Fuerzas de la Seguridad del estado, y organismos afines, para tener bien organizada la defensa nacional en materia de sistemas.
Según este experto militar, España está en el nivel 8º en materia de ciberseguridad a nivel mundial, lo que considera un buen lugar, y para exponerlo gráficamente realizó una similitud con la situación que ocupa a nivel internacional la Selección Española de Fútbol.
Cubeiro reconoció que la situación económica actual no permite la dotación que sería idónea, pero a cambio los organismos oficiales implicados están realizando un esfuerzo para situarnos a un buen nivel para poder hacer frente a ciber ataques como el de Wanacry ocurrido en junio de 2017. Según confirmó, “aunque nos afectó, como al resto del mundo, España no ha sido de los países en los que tuvo más incidencia”.
Personas y herramientas certificadas
Sobre esquema europeo de certificaciones en Ciberseguridad expusieron sus argumentos Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN-CERT), Félix Barrio, Gerente de Talento, Industria y apoyo a la I+D+i en INCIBE, Borja Larrumbide, Head of Cybersecurity Regulations en BBVA, moderados por Andrés Ruiz Vázquez, Responsable de Operaciones, Área de Ciberseguridad del Departamento de Seguridad Nacional (DSN).
En relación a la nueva legislación internacional promovida por la Unión Europea, y que va a incidir en los niveles necesarios de la certificación tanto de productos como de personas que tengan que ver con la seguridad de instituciones y organismos claves a nivel nacional, se pusieron de manifiesto los aspectos positivos.
Entre ellos Javier Candau, del CCN, habló de su organismo de certificación que ya ha diseñado el Esquema de Certificación de Personas y el Esquema Nacional de Seguridad. Como aspecto negativo, comentó el temor de este organismo de que la legislación internacional se quede algo por debajo de lo que ya se ha trabajado en nuestro país.
En sectores como la banca, representado por Borja Larrumbide de BBVA, así como otros (indutriales, tecnológicos) están supeditados a otro tipo de legislación y que este esquema diseñado por el CCN puede ir en su contra, puesto que deben supeditarse a las normativas específicas para las multinacionales en materia de ciberseguridad.
Félix Barrio, de INCIBE, está favor de la regulación en materia de certificación, aunque reconoció que puede no haberse tenido en cuenta la opinión del tejido empresarial. “No obstante estos reglamento europeos (directiva NIS) sí que inciden en la adecuación de las infraestructuras críticas nacionales (empresas proveedoras de energía y servicios básicos para el ciudadano, como el agua, carburantes, comunicaciones, etc), en las que hay que garantizar que todos los productos que utilicen en materia de prevención de incidentes de seguridad o ciberseguridad estén debidamente certificados”.
La mesa mostró su consenso en que la regulación que se está implantando suponen un conjunto de medidas de protección por parte de la UE para garantizar que otros países, como EEUU, que ofrecen al mercado de la prevención y gestión de la ciberseguridad productos más baratos, pero que no garantizan realmente la seguridad de que cumplan los estándares impuestos por Europa en materia de Protección de datos y de derechos fundamentales relacionados con las nuevas tecnologías.
Tras la intervención de Luis Alonso Albir, desarrollador de la herramienta para el Análisis y Simulación Global de Ataques y Riesgos Dinámicos (ASGARD) y Ganador del RetoISACA 2018 y de Sandra Menasalvas, analista de inteligencia de Eulen Seguridad, mostrando la experiencia empresarial actual en la materia, Adelardo Sánchez, Knowledge Management Expert Digital Change y Jorge Uyá, Director de Operaciones de Innotec (Grupo Entelgy), analizaron qué es lo que no se está haciendo correctamente para concienciar en materia de ciberseguridad.
La política de la Ciberseguridad
La mesa redonda más esperada fue la protagonizada por los expertos en materia de ciberseguridad y nuevas tecnologías de los cuatro principales partidos políticos del arco parlamentario.
Así Ana Belén Vázquez (PP), Óscar Galeano (PSOE), Txema Guijarro (Unidos Podemos) y Luis Salvador (Ciudadanos) moderados por Moisés Barrio, Letrado del Consejo de Estado. Experto en Derecho Digital. Abogado-Árbitro y Consultor, explicaron que en materia de ciberseguridad y de los retos tecnológicos, normativos y presupuestarios que plantea, existía un inusitado consenso entre todas las formaciones políticas.
No obstante, tanto Galeano como Salvador mencionaron que ese consenso se veía alterado por los partidos nacionalistas, que suelen dar más importancia a sus necesidades territoriales que al bien común del Estado, en lo que se refiere a la labor de las Agencias de Seguridad implicadas a nivel nacional.
Al hilo del consenso existente, las cuatro formaciones se mostraron de acuerdo en la necesidad de establecer un marco común a actuación, al estilo del Pacto de Toledo en materia de Pensiones, que superara de verdad cualquier ideología.
Además de elevar la seguridad en las nuevas tecnologías y las redes sociales a cuestión de Estado (aunque reconocieron que la agenda política marcaba otros asuntos como prioritarios) los políticos veían en este aspecto de la actualidad empresarial como un más que notable “nicho de empleo, para el que, sin embargo, la Universidad y las Escuelas profesionales no tienen una respuesta adecuada en materia de formación de todos los profesionales que hacen falta”, según indicó Luis Salvador, quién reconoció la labor de entidades como Isaca Madrid en la labor de formación de estas especialidades.
Los partidos en el mundo ciber
Tanto Salvador como Txema Guijarro presumieron de pertenecer a partidos que han nacido y crecido en internet, y con las nuevas tecnologías, por lo que manifestaron que en eses sentido, en sus formaciones estaban no solo concienciados, si no también cubiertos en materia de ciberseguridad.
Guijarro explicó que desde el Parlamento se daban cuenta que nuestro país ha llegado con 9 meses de retraso en lo que se refiere a la legislación para aplicar la directiva europea NIS, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la UE (en vigor desde agosto de 2017, y con plazo hasta el pasado mayo para trasladarla a los diferentes ordenamientos jurídicos de los Estados miembros).
Recientemente se ha aprobado un Real Decreto Ley para desarrollarla y en el plazo de 30 días debe tramitarse mediante un proceso de legislación ordinaria “en el que Podemos quiere incluir elementos de regulación específica para proteger a los menores de 16 años, la protección de los trabajadores en los procesos de incapacidad temporal, y que la autoridad independiente que se creé para regular estas materias no sea nombrada directamente por el Gobierno, sino por la mayoría del Congreso”, explicó Txema Guijarro.
Luis Salvador mostro su preocupación de que el futuro de esta legislación no se viera afectado en contra del bien común necesario “por los interesas de los partidos nacionalistas, quienes siempre reclaman competencias de gestión, hasta en cuestiones tan universales como la que nos ocupa”.
Ana Belén Vázquez también aludió al consenso de los grupos parlamentarios que trabajan en la Comisión de Seguridad Nacional, y explicó que existe cierta dificultad de unir en un presupuesto común las necesidades de los diferentes actores institucionales “porque cada organismo implicado depende de un ministerio distinto (INCIBE al Ministerio de Industria y Energía, CNPI al de Interior, Mando Conjunto de Ciberdefensa al Mº de Defensa…).
Galeano, por su parte, hizo constar las diferencias en ese sentido con los países de nuestro entorno, como Reino Unido, donde existía dotación presupuestaria común para todos los organismos implicados en el desarrollo de esta materia, y reconoció que falta concienciación “mientras que por un lado no se valora los datos personales que cedemos en internet, hay zonas en nuestro país donde todavía no llega la red”.
En este sentido, Salvador indicó que desde su punto de vista, “la ciberseguridad no es un gasto, es una inversión”, y Guijarro aprovechó para poner en valor que el “la medida de nuestro éxito ha sido la falta de crítica por todos los aquellos procesos de participación digital que han llevado a cabo, de manera constante en su partido.
