Ciberseguridad española: ¡cuidado, que vienen los nuestros!

¿Sería razonable que el conocimiento técnico y los medios tecnológicos necesarios para que el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas ejecutara sus misiones estuvieran en manos de otro ministerio que no fuera el de Defensa? Creo que no. ¿Lo sería que las capacidades tecnológicas asociadas a un Cert enfocado a la detección e investigación de ilícitos y ciberdelitos (afecten o no a infraestructuras críticas, campo privativo del CNPIC) por quienes han de hacerlo a efectos policiales, es decir, las Fuerzas y Cuerpos de Seguridad del Estado –y particularmente sus grupos especializados–, estuvieran en manos de un ministerio que no fuera el de Interior? Cabalmente creo que no. Y por eso, el denominado Cert de Seguridad de Industria, que al parecer tomó carta de naturaleza el día 21 de octubre en la ciudad de León, semeja un apaño al que se ha llegado por falta de presupuesto de la Secretaría de Estado de Interior para tener medios propios adecuados, algo que de ser cierto el Gobierno debería remediar.

José de la Peña Múñoz
Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Lo que viene pasando desde hace años es que el Inteco, aquél sorprendente constructo de la época del presidente Zapatero –que ni siquiera en su nacimiento estuvo enfocado en exclusiva a la ciberseguridad–, pese a sobrevivir años sin rumbo cierto ha crecido, de tal suerte que hoy es, gracias a la pericia de sus gestores, una empresa pública estatal con perspectiva presupuestaria envidiable. Y con pasta, a todo se le encuentra sentido, máxime si el Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Víctor Calvo-Sotelo, manifiesta públicamente su apuesta institucional. Da confianza.

Y es un hecho cierto que debe potenciarse. Pero por coherencia (y las estrategias han de ser coherentes, y no producto de una coyuntural falta de money mezclada con gotitas de herencia histórica) algunas capacidades públicas ubicadas en la AGE (dejemos aparte las comunidades autónomas) deben estar gobernadas y operadas por el ministerio que tenga las potestades. Hay que dar a Interior lo que es de Interior, aunque algunos de sus altos cargos del pasado no apostaran por dedicar la atención debida a la lucha contra el ciberdelito. Y hay que dar a la SETSI lo que es de la SETSI en el pleno ejercicio de sus potestades, porque además de ser visionaria (no olvidemos que los servicios de alerta temprana estuvieron gestionados en origen por Red.es), está en el meollo de las TIC (sector estratégico con infraestructuras críticas), de la innovación, de la mejora de la competitividad, de la promoción de emprendedores en su ámbito competencial y dispone de capacidades normativas en terrenos esenciales. Y tiene un Cert.

La pieza esencial que falta es la que concierne al Centro Criptológico Nacional-CCN, que tiene competencias en, entre otros frentes, el ámbito de las administraciones públicas, las empresas estratégicas, certificaciones (tempest, criptológica, funcional-CC), acreditación de sistemas, elaboración de guías y atribuciones en materia de información clasificada y secreto legal. No se puede entender la legislación y normativas españolas sobre ciberseguridad sin estudiar la labor del CCN. Dispone del CCN-CERT, que viene haciendo desde hace años una labor ejemplar y discreta. ¿Ve alguien coherente suprimirlo o cercenarlo? Yo no. Todo lo contrario, hay que dotarlo con generosidad. Máxime como vienen los tiempos, en los que ningún “amigo” nos va a regalar ventajas en el ciberespacio.

La papeleta no es fácil de solucionar. Por eso, el Departamento de Seguridad Nacional está llamado a jugar un papel determinante en el diseño de un modelo competencial con futuro en la Ciberseguridad. La pública y la privada.

Documento en PDF