El Gobierno español ha puesto en marcha la denominada Estrategia Nacional de Ciberseguridad, una iniciativa que busca garantizar la seguridad de ciudadanos, empresas y organizaciones públicas en el entorno online. En este artíulo vemos en qué consiste este proyecto, cuáles son sus objetivos y sus principales líneas de actuación.
¿Qué es la Estrategia Nacional de Ciberseguridad?
El pasado 30 de abril se publicó en el BOE la Estrategia Nacional de Ciberseguridad 2019. Con ella se pretende garantizar la seguridad, las infraestructuras y la tecnología que integran el ciberespacio, puesto que su vulneración es uno de los principales problemas existentes en la actualidad.
Con el avance de las nuevas tecnologías, la ciberdelincuencia es uno de los principales riesgos para la seguridad, cuyas víctimas pueden ser tanto ciudadanos como empresas u organizaciones públicas.
Con esta Estrategia Nacional de Ciberseguridad se establece la posición de nuestro país frente a un nuevo concepto de Ciberseguridad. Esta nueva Ciberseguridad se extiende más allá de la protección del patrimonio tecnológico, afectando también al ámbito económico, político y social.
Propósito de la Estrategia Nacional de Ciberseguridad
La Estrategia Nacional de Ciberseguridad se aprueba con el fin de garantizar un uso seguro de los sistemas de información y comunicaciones. Para ello se incrementan las medidas de prevención, detección y respuesta a ciberataques para asegurar un ciberespacio seguro y fiable.
En este texto se establecen las directrices generales de ciberseguridad para hacer frente a las nuevas ciberamenazas y ataques al ciberespacio. En especial, se pretende garantizar la seguridad del sector público y de los servicios esenciales. Y fomentar una cultura de la ciberseguridad para que todos conozcan los riesgos a los que se enfrentan.
Para alcanzar estos propósitos la Estrategia de Ciberseguridad Nacional 2019 se apoya en una serie de pilares:
- Reforzar las capacidades para hacer frente a las amenazas, en especial en el sector público y los organismos encargados de prestar servicios esenciales.
- Fomentar una cultura de la ciberseguridad que contribuya a crear una sociedad más consciente de los desafíos y amenazas a las que se enfrenta.
- Apoyar e impulsar la industria española de la seguridad a través de iniciativas que promuevan la investigación, innovación y desarrollo académico en este campo.
- Cooperar para el cumplimiento del Derecho internacional y el respeto de los derechos recogidos en la Constitución y en la Carta de Naciones Unidas.
Principios de la Estrategia de Ciberseguridad Nacional 2019
Los principios que rigen la Estrategia de Ciberseguridad Nacional son los siguientes.
Unidad de acción
Debe existir una coordinación entre los distintos agentes implicados en un ciberataque para proporcionar una respuesta inmediata y eficaz. Para ello es necesario preparar a los distintos sectores para conseguir esa colaboración.
Desde el Gobierno señalan que la gestión centralizada de las amenazas para la ciberseguridad favorece una visión global de la situación y los riesgos, además de permitir un uso más eficaz de los recursos disponibles.
Anticipación
Ya dice el refrán que es mejor prevenir que lamentar. Por eso lo principal es establecer actuaciones preventivas como sistemas eficaces y medios para compartir la información en tiempo real. Con ello se reduce el tiempo de respuesta al ataque y los efectos del mismo.
En este sentido, la Estrategia Nacional de Ciberseguridad 2019 otorga prioridad a las acciones preventivas sobre las reactivas. Para ello es necesario disponer de los mecanismos adecuados para obtener información en tiempo real que permitan reducir los tiempos de respuesta.
Eficiencia
Para combatir los ciberataques es necesario establecer sistemas con un gran nivel tecnológico cuya adquisición y desarrollo supone un alto coste y su mantenimiento una elevada complejidad. El Estado debe desarrollar acciones dirigidas a la optimización y eficiencia de los recursos de ciberseguridad.
Resilencia
La resilencia se refiere a la capacidad de las infraestructuras y sistemas críticos para sobreponerse a las situaciones adversas. Existe una obligación del Estado de asegurar la disponibilidad de los sistemas esenciales mejorando su protección frente a ciberataques.
Objetivos de la Estrategia de Ciberseguridad Nacional 2019
Dentro de los objetivos de la Estrategia Nacional de Ciberseguridad destaca un objetivo general, Seguridad y resilencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales, y varios objetivos específicos.
Seguridad y resilencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales
Para garantizar la información que manejan los servicios esenciales del Estado deben establecerse medidas que garanticen un marco nacional integrado y coherente. Con ese marco se crearán servicios más eficientes y seguros.
Se aplicarán medidas de seguridad que mejoren la capacidad de prevención, detección y respuesta ante un ciberataque, se reforzará la coordinación y se adaptará la legislación.
Es necesario establecer medidas que eviten el ciberespionaje y garanticen la disponibilidad de los servicios esenciales del Estado.
El sector público, junto con los operadores de servicios esenciales, ha de involucrarse activamente en los procesos de mejora continua de sus sistemas de comunicación y ciberseguridad.
Del mismo modo, en aplicación de la responsabilidad compartida, el sector público ha de trabajar conjuntamente con las empresas que gestionan estos sistemas, promoviendo un entorno colaborativo que facilite la coordinación y cooperación efectiva.
Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso
La lucha contra el cibercrimen debe tener en cuenta el ciberespacio en tres ámbitos:
- Como objetivo directo de hechos delictivos
- Medio clave para la comisión de los delitos
- Objeto directo de investigación de cualquier hecho ilícito.
Es importante reforzar la cooperación judicial y policial, nacional e internacional, y proporcionar formación y suficientes recursos a los organismos competentes para investigar el cibercrimen. También es esencial la colaboración ciudadana en este ámbito.
Protección del ecosistema empresarial y social y de los ciudadanos
Todas las organizaciones y ciudadanos tienen derecho a usar el ciberespacio de forma segura. Por ello el Estado debe aplicar las medidas de ciberseguridad que garanticen esa seguridad y protejan a los más débiles.
Aparte de las medidas de seguridad que implanten los profesionales y empresas para garantizar la protección de la información que manejan, es necesario que el Estado establezca unas medidas generales de ciberseguridad que serán de obligado cumplimiento. Por su parte, los ciudadanos deben también hacer un uso responsable de la red.
Compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecnológicas
Para garantizar unas adecuadas medidas de ciberseguridad, el Estado debe contar con los recursos tanto humanos como técnicos adecuados y una normativa clara y concisa. Debe fomentarse una cultura de la ciberseguridad para lo cual se realizarán acciones de comunicación en los medios y de formación e información a ciudadanos y empresas.
Es importante que exista una adecuada oferta formativa para profesionales en ciberseguridad ya que es uno de los perfiles más demandados actualmente por las empresas.
También se garantizará la protección de la propiedad intelectual e industrial y del patrimonio tecnológico para asegurar el desarrollo digital de España.
Seguridad del ciberespacio en el ámbito internacional
Se pretende crear un marco para la cooperación y la prevención internacional de ciberdelitos con el que se creará un ciberespacio más seguro, plural y fiable.
A través de la colaboración internacional se aumentará la confianza en Internet, en el desarrollo de nuevas tecnologías y en la transformación digital. Con ello se pretende llegar al mercado único digital.
Líneas de actuación propuestas por el Sistema Nacional de Ciberseguridad
Para cumplir los objetivos previstos, el Sistema Nacional de Seguridad prevé las siguientes líneas de actuación:
Fortalecer la capacidad de respuesta ante las ciberamenazas
- Ampliación de las capacidades de análisis y detección de ciberamenazas
- Potenciar la colaboración de los centros de investigación
- Creación y difusión de estándares en materia de ciberseguridad
- Desarrollar normas, procesos e instrucciones para actuar frente a las amenazas del ciberespacio
- Potenciar las capacidades de los servicios de ciberdefensa y ciberinteligencia
- Promover la participación de empresas en iniciativas y plataformas para el intercambio de información
- Apoyar los desarrollos de la red CSIRT
- Impulsar el desarrollo de plataformas para la notificación e intercambio de información
- Implantar medidas de ciberdefensa activa en el sector púbico
Asegurar la resilencia y la seguridad de los servicios esenciales en nuestro país
- Fortalecer estas capacidades en las administraciones públicas y en empresas de interés estratégico
- Fomentar el desarrollo de normativas relativas a infraestructuras críticas
- Asegurar el cumplimiento y armonización de la normativa sobre infraestructuras críticas
- Potenciar la creación de infraestructuras de ciberseguridad en las Comunidades Autónomas, autoridades locales y entidades vinculadas
- Desarrollar el Centro de Operaciones de Ciberseguridad Nacional del Estado
- Implementar infraestructuras, sistemas de información y servicios de telecomunicaciones horizontales comunes
- Impulsar el desarrollo de un sistema de medida general para analizar las distintas variables relacionadas con la seguridad
- Elaborar catálogos de productos certificados
- Reforzar la seguridad de los sistemas que manejan información clasificada
- Promover las evaluaciones de ciberseguridad
- Asegurar la protección de infraestructuras de I+D
Reforzar las capacidad de la investigación y persecución de la cibercriminalidad
- Reforzar el marco jurídico sobre ciberseguridad
- Fomentar la colaboración y participación ciudadana
- Reforzar las acciones encaminadas a perseguir y actuar penalmente frente a la ciberdelincuencia
- Fomentar el traslado de los incidentes de ciberseguridad a los órganos competentes de jurisdicción penal
- Procurar a los profesionales del sector jurídico un mejor acceso a los recursos materiales que permitan una aplicación más eficaz de la normativa
- Impulsar la cooperación y coordinación de los órganos jurídicos en relación a la ciberseguridad
- Facilitar la cooperación judicial y policial
Impulsar la ciberseguridad de ciudadanos y empresas
- Ofrecer a ciudadanos empresas un servicio integrado de ciberseguridad eficaz y de calidad
- Impulsar las políticas de ciberseguridad entre pymes y autónomos
- Garantizar la privacidad o promover el respeto de la identidad digital
- Crear mecanismos ágiles para el ejercicio de denuncias
- Estimular la cooperación entre entidades públicas y privadas
- Impulsar la implantación de estándares sobre ciberseguridad en el ámbito empresarial
- Facilitar la implantación de instrumentos fiables de identificación electrónica
- Promover la creación de un Foro Nacional de Ciberseguridad
Potenciar la industria española de ciberseguridad
- Impulsar programas de I+D+I relacionados con la seguridad digital
- Incentivar la inversión, la innovación, la internacionalización y la transferencia tecnológica
- Favorecer el desarrollo nacional de productos y servicios relacionados con la ciberseguridad
- Aumentar la exigencia sobre ciberseguridad en los servicios de las Tecnologías de la Información
- Fomentar el desarrollo de capacidad de ciberseguridad a través de la cooperación entre entidades educativas y de formación
- Promover la inclusión de profesionales relacionados con la ciberseguridad en puestos de trabajo del sector público
- Detectar, fomentar y retener el talento
Contribuir a la ciberseguridad del espacio en el ámbito internacional
- Reforzar la presencia de España en organizaciones, conferencias o foros internacionales sobre ciberseguridad
- Promover el consenso en la aplicación del Derecho internacional y e respeto a la Carta de las Naciones Unidas
- Participar activamente con el resto de países de la Unión Europea en el desarrollo de un ecosistema europeo seguro
- Fomentar la cooperación y el diálogo bilateral con otros países miembros de la UE
- Promover el desarrollo de terceros países para cumplir con las obligaciones del desarrollo sostenible
- Desarrollar una conciencia global sobre las amenazas híbridas
Promover la cultura de la ciberseguridad
- Desarrollar campañas para concienciar a ciudadanos y empresas
- Impulsar iniciativas de alfabetización digital
- Fomentar la cultura de la ciberseguridad como una buena práctica empresarial
- Promover un espíritu crítico en pos de la información veraz y de calidad
- Concienciar a los directivos de organizaciones para facilitar los recursos necesarios y promover acciones de ciberseguridad
- Fomentar la formación en ciberseguridad en los centros de enseñanza
- Buscar la cooperación de los medios de comunicación para lograr un mayor alcance en las campañas de difusión
La ciberseguridad en el Sistema de Seguridad Nacional
La Estrategia Nacional Ciberseguridad 2019 también define los componentes que deben formar parte de esta estrategia y la forma en que deben integrarse en el Sistema de Seguridad Nacional.
El Consejo de Seguridad Nacional
Es el órgano al que corresponde asistir a la figura del presidente del gobierno para ejercer sus funciones de dirección de la política nacional de seguridad. Actúa a través del Departamento de Seguridad Nacional, como enlace para favorecer la cooperación internacional.
El Comité de Situación
Es el órgano encargado de la gestión de las crisis, en colaboración como el Departamento de Seguridad Nacional. Debe actuar en consonancia con las políticas estratégicas determinadas por el Consejos de Seguridad Nacional.
El Consejo Nacional de Ciberseguridad
Presta apoyo al Consejo Nacional de Seguridad. Entre sus funciones está reforzar la cooperación en materia de ciberseguridad entre administraciones públicas, analizar casos para facilitar la toma de decisiones por parte del Consejo, estudiar y proponer iniciativas de ciberseguridad en el ámbito nacional e internacional o realizar evaluaciones de riesgos y amenazas, entre otras.
La Comisión Permanente de Ciberseguridad
Este órgano cumple la función de facilitar la cooperación entre Ministerios en el ámbito de la ciberseguridad. Le corresponde la obligación de asistir al Consejos acerca de las valoraciones técnicas y operativas en cuanto a riesgos y amenazas para la ciberseguridad. Está presidido por el Departamento de Seguridad Nacional.
El Foro Nacional de Ciberseguridad
Se encarga de crear y potenciar sinergias entre los ámbitos público y privado en materia de ciberseguridad. Especialmente se centra en la generación de conocimientos respecto a las oportunidades y amenazas a la seguridad en el ciberespacio.
Las Autoridades públicas competentes y los CSIRT de referencia nacionales
La estructura estratégica se compleTa con las autoridades públicas de ciberseguridad y los CSIRT o Equipos de Respuesta ante Incidencias Informáticas.
Amenazas y desafíos en el ciberespacio
En el texto se define el cibercrimen como el conjunto de actividades ilegales que se realizan en el ciberespacio y que tienen la finalidad de afectar a sistemas informáticos u otros bienes jurídicos, siempre que se usen herramientas tecnológicas para desarrollar y ejecutar esas actividades.
El uso de las criptomonedas como nuevo sistema de transacción económica y financiera para comercializar bienes o prestar servicios ilegales, las extorsiones, los fraudes y falsificaciones de sistemas de pago son un importante desafío para la seguridad debido a su complejidad. Estas nuevas técnicas de cibercrimen hacen que su seguimiento sea más difícil.
Dentro de las amenazas a las que está expuesto el ciberespacio se distingue entre las ciberamenazas y las actuaciones que utilizan el ciberespacio para fines maliciosos.
Ciberamenazas
Estas se definen como cualquier manipulación maliciosa que tiene por objeto elementos tecnológicos. Afectan a diversos tipos de acciones con diferentes motivaciones. Pueden afectar a cualquier sector por lo que la protección frente a esas ciberamenazas debe abarcar tanto a Administraciones públicas como al sector privado y a la sociedad en general. Esos ciberataques a empresas son cada vez más sofisticados y su ámbito de afectación es cada vez más amplio.
Para garantizar la seguridad de los sistemas de información y las redes deben reforzarse las medidas de prevención, detección y respuesta a incidentes de seguridad y garantizar la seguridad por diseño y por defecto en la creacción, actualización y uso de servicios y productos tecnológicos.
Actuaciones que utilizan el ciberespacio para fines maliciosos
El desarrollo digital hace que surjan nuevos negocios y actividades que deben regularse ya que pueden afectar el ejercicio de los derechos y libertades y constituir una amenaza para la Seguridad Nacional.
Esas nuevas tecnologías pueden ser usadas con fines maliciosos por las grandes facilidades que existen para la suplantación o el anonimato.
Cualquier persona puede tener una capacidad de influencia impensable en otra época, gracias a la revolución de Internet. Los movimientos sociales han adquirido una importancia estratégica debido a la digitalización de la sociedad.
Dentro de esas acciones maliciosas que usan el ciberespacio están:
- Ciberespionaje: este método es mucho más rápido y con menores riesgos que el espionaje tradicional debido al anonimato. Esto se realiza principalmente por organismos de inteligencia y militares que poseen sofisticados recursos e infraestructuras y amplios conocimientos. También están aumentando las llamadas amenazas híbridas que constituyen un ataque a las vulnerabilidades de las instituciones y estados democráticos a través de distintos medios como acciones militares tradicionales, ciberataques, operaciones de manipulación de la información, o elementos de presión económica.
- Cibercriminalidad: aquí hablamos de ciberterrorismo, ciberdelitos o hacktivismo.
- Los ciberdelincuentes actúan bajo esquemas de crimen organizado y pretenden usar técnicas para crear modelos de negocio lucrativo y de bajo riesgo, por la difícil localización de sus acciones.
- Los grupos terroristas usan las debilidades del ciberespacio para realizar ciberataques o efectuar acciones de radicalización de personas y grupos, divulgación de técnicas y herramientas para la comisión de atentados, y de reclutamiento, adiestramiento o propaganda.
- Los grupos hacktivistas realizan ciberataques por motivos ideológicos y pretenden efectuar ataques con un gran impacto social o mediático.
Escribe aquí tu comentario