Sin dinero no hay ciberseguridad
En marzo de 2019 el Tribunal de Cuentas de la UniĆ³n Europea emitiĆ³ un muy oportuno documento informativo, intitulado āDesafĆos de una polĆtica eficaz de ciberseguridad en la UEā. El trabajo de campo se realizĆ³ entre abril y diciembre del aƱo pasado. Y los resultados no pueden ser mĆ”s desalentadores, porque de ellos se deduce que la UE y sus Estados miembros estĆ”n construyendo su ciberseguridad sin tener una idea mensurable de en quĆ© consiste y en quĆ© debiera consistir, algo que, por otra parte, a nadie extraƱa, porque las decisiones de alto nivel en esta y otras materias las toman los polĆticos. Ā”Ah, quĆ© serĆa si la ciberinseguridad diera y quitara votos! (No piense el lector que estoy dĆ”ndole ideas al CIS; aunque todo se andarĆ”).
Pero volvamos al Tribunal de Cuentas de la UE. Entre las deficiencias encontradas (a las que se refiere educadamente como desafĆos), hay varias que no tienen desperdicio: la primera, enmarcada en el objetivo de la construcciĆ³n de un marco polĆtico y legislativo, no es otra que disponer de una evaluaciĆ³n y rendiciĆ³n de cuentas verdaderamente significativas. Vamos, que se han hecho las cosas a ojo de buen cubero, cada uno a su leal saber y entender, sin objetivo definido, sin supervisiĆ³n y sin mediciĆ³n de resultados.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Hasta aquĆ pareciera que toda la Europa comunitaria se ha contagiado del tĆ³pico modo de proceder mediterrĆ”neo. Pero al avanzar en la lectura del documento, la sospecha se desvanece, convirtiĆ©ndose enā¦ Ā”certeza!
Y es que en el epĆgrafe dedicado a financiaciĆ³n y gasto, el Tribunal ha identificado los siguientes desafĆos: primero, adecuar los niveles de inversiĆ³n a los objetivos (aumentar la inversiĆ³n, incrementar su impacto); segundo, tener una visiĆ³n clara del gasto presupuestario de la UE (gasto identificable en ciberseguridad; otros gastos en ciberseguridad no identificables como especĆficos, perspectivas de futuro); y tercero, dotar de recursos suficientes a las agencias de la UE (en esencia ENISA, EC3 de Europol y CERT-UE).
Sin duda, es en este Ćŗltimo punto, el de financiaciĆ³n y gasto, en el que jurarĆa que los expertos del Tribunal de Cuentas han tenido que contenerse y no lanzar un exabrupto. Resulta que no han podido conocer la inversiĆ³n y gasto en los paĆses, que algunas iniciativas de cofinanciaciĆ³n comunitaria no se han ejecutado, que otras, por ejemplo de ENISA, estuvieron infradotadas, y que se desconoce si algunos proyectos ejecutados han tenido retorno.
EspaƱa
AquĆ no hay quien sepa lo que se invierte en ciberseguridad (a efectos globales y en detalle) ni en la AGE, ni en las Comunidades AutĆ³nomas ni en los Ayuntamientos. Tampoco en el sector privado. (La revista SIC lleva haciendo estimaciones indicativas desde hace aƱos, pero sometidas a una no despreciable incertidumbre). Hay confusiĆ³n, ademĆ”s, en lo que se debe entender a efectos contables por ciberseguridad. Y, en ocasiones, el gasto en medidas tĆ©cnicas de protecciĆ³n se embebe en el entorno operativo, desvaneciĆ©ndose la posibilidad de contabilizarlo de modo especĆfico.
Ya no se trata de saber si se estĆ” invirtiendo y gastando mucho o poco, sino de cuĆ”nto. El Estado no lo sabe. Si quiere saberlo, urge fijar partidas contables exhaustivas para la ciberseguridad, a fin de que tengan reflejo en los prĆ³ximos Presupuestos. Y asĆ todos veremos cuĆ”nto cae, a quiĆ©nes y para quĆ©.
