Compartir es de sabios

En 1998, el presidente de los Estados Unidos, Bill Clinton, firmó la directiva presidencial 63, en la que llamaba al sector público y al privado a compartir información sobre amenazas y vulnerabilidades, tanto físicas como digitales, para proteger las infraestructuras críticas de EE.UU. Acuñaba en esa directiva el término de “Information Sharing and Analysis Center” (centro de análisis y de compartición de información), conocido por las siglas ISAC. En 1999 se creó el ISAC para servicios financieros (FS-ISAC). Actualmente, el FS-ISAC reúne a miembros de más de 70 países y ofrece servicios de inteligencia, eventos y formación en ciberseguridad.

En España, la Línea de Acción 4 de la Estrategia Nacional de Ciberseguridad 2019, orientada a impulsar la ciberseguridad de ciudadanos y empresas, menciona que “... la ciberseguridad es una responsabilidad compartida con los actores privados…” y alude a la “necesaria cooperación para la seguridad común”. En esta línea, en julio de 2020 se crea el Foro Nacional de Ciberseguridad, liderado por el Consejo de Seguridad Nacional.

Recientemente, este foro ha publicado tres trabajos de investigación con valiosa información. En especial, quiero destacar, por un lado, los objetivos y las conclusiones sobre la cultura de la ciberseguridad en España, y por otro, las propuestas para la industria e investigación españolas en ciberseguridad. Es más, el pasado 9 de marzo, el propio presidente del Gobierno anunció el nuevo Plan Nacional de Ciberseguridad. La relevancia de la ciberseguridad sigue creciendo. Desde esta humilde columna, quería compartir una visión y algunas propuestas, muy prácticas, para que tanto la administración española como el sector privado, puedan beneficiarse de esta colaboración entre sectores. Compartir información no puede limitarse a compartir un formulario a rellenar por cada miembro del foro cada vez que sufra un incidente, ni a una reunión multitudinaria y altamente politizada cada trimestre. Compartir, hoy en día, con las actuales amenazas geopolíticas, está cerca de la visión de antaño de los tres mosqueteros: “uno para todos y todos para uno”. ¿Suena infantil? Bien, no está muy alejada del artículo 5 del tratado de Washington de la OTAN. “Enseña lo que sabes hacer bien y mejora aún más mientras lo enseñas”. Esta sería la expresión que añadiría a la visión de los mosqueteros para la ciberseguridad en España.

Concretamente, en relación a los ciberincidentes, una posible forma de dividir en trocitos esa colaboración sería tratar la prevención, la reacción y la preparación de modo enfocado y pasito a pasito. Comenzando con la prevención, la inteligencia sobre posibles amenazas es esencial. Las fuentes de la administración y las del sector privado, en especial las de las grandes empresas, suelen ser complementarias. Las pequeñas y medianas empresas apenas tienen acceso efectivo a esta inteligencia. Necesitamos un modo sencillo, atractivo y altamente configurable de hacer llegar a todos los partícipes, administraciones y sector privado, pymes incluidas, información práctica sobre qué deben proteger, por qué y cómo.

En relación a la reacción, es esencial transmitir la importancia de realizar simulacros. Los equipos de respuesta frente a incidentes de aquellas empresas con mejores recursos y amplia experiencia, generalmente en las multinacionales del sector privado, podrían encontrar algo de tiempo para compartir conocimiento con las pequeñas empresas con las que trabajan día a día, sus proveedores, y con las administraciones con las que interactúan. Recordemos que actualmente los incidentes más inesperados, y devastadores, en grandes empresas, proceden de su cadena de valor y no de sus propias redes. “Si les hacemos más seguros, nos hacemos más seguros nosotros también”.

Finalmente, con respecto a la preparación, ¿podemos imaginar posibilidades de rotación de profesionales especializados en la detección y respuesta a incidentes, de modo ágil y voluntario, entre pymes, grandes corporaciones y administración? ¿o manuales de reacción frente a típicos ataques de ransomware, ya seguidos con éxito en producción, que puedan ser compartidos, y enseñados, entre los integrantes del foro?

Como ven, son puntos prácticos que pueden colocarnos, como país, en una posición más resiliente que la actual. Como decía una gran amiga, “no esperemos a que caiga un avión comercial para poner radares en todas las aeronaves.”

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×