Plan Nacional de Ciberseguridad: menos secretitos
La sociedad ha empezado a metabolizar la presencia informativa diaria de ciberataques. LlegarĆ” un momento en que su detección y efectos dejen de tener interĆ©s en la conformación periodĆstica de la actualidad, como en cierto modo pasa con los accidentes de trĆ”fico.
Pero las personas fĆsicas y las jurĆdicas seguirĆ”n siendo ciberatacadas mientras asĆ se les pueda sacar la pasta āya directa ya indirectamenteā o conseguir alguna ventaja.
Digo esto porque nos encontramos hoy en una especie de cambio de fase en el contexto de la ādigitalizaciónā, en la que ya no se demoniza a la empresa que sufre un ciberataque por presuponer automĆ”ticamente que sus gestores no han hecho los deberes, al menos los legalmente exigibles. Precisamente, uno de estos deberes exigibles es, en lĆneas generales, el de denunciar, notificar y, en determinadas circunstancias, comunicar el hecho tambiĆ©n a los que se hayan podido ver afectados.

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Sin embargo, la superficie de ataque no hace sino crecer y la dificultad de desenmaraƱar eventos que afectan a varios sectores y a las cadenas de suministro resulta francamente compleja.
Ante esta situación, que viene produciĆ©ndose desde hace tiempo, algunas organizaciones de cierto porte, especialmente privadas, se han quejado de la escasa ciberprotección que brinda el Estado a la sociedad. Es mĆ”s, algunos empiezan a estar hartos de los pocos resultados que dan las denuncias, hecho que, desde luego no es culpa de las policĆas ni de los tribunales, sino de todo el sistema en su conjunto. Y tambiĆ©n hay quien, con razón, se queja de las exigencias de cumplimiento al sector privado y de la calamitosa situación de la gestión de la ciberseguridad en las administraciones pĆŗblicas, que no es culpa de esos servidores pĆŗblicos y contratados que llevan intentando desde hace aƱos que la cosa mejore, sino de la cuestionable calidad de la clase polĆtica que nos viene gobernando desde hace mĆ”s de una dĆ©cada.
Frente a esto, nos encontramos hoy con un Plan de Choque antiPutin, en cuyo contexto se ha aprobado un Plan Nacional de Ciberseguridad con nadie sabe quĆ© nĆŗmero y naturaleza de actuaciones, dotado con 1.000 millones de euros y cuyo contenido es de difusión limitada. Al tiempo, se ha publicado un Real Decreto-ley, el 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Lo curioso de esta pieza, sin duda necesaria, es que casi todo lo que pudiera ser polĆ©mico lo declara confidencial, y todo lo que interesa de verdad lo fĆa al desarrollo de un Esquema Nacional de Seguridad de redes y servicios 5G, que se publicarĆ” en forma de Real Decreto. Recordemos que todavĆa no ha visto la luz el Real Decreto del ānuevoā Esquema Nacional de Seguridad, el ENS. La cosa va de esquemas.
Menos lobos
En el mundo de hoy, en el que la ciberseguridad de un paĆs es la de usted, la mĆa, la de la vecina del quinto, la de la panaderĆa, la del Ibex, la de un pequeƱo ayuntamiento⦠no se puede ir montando una Ciberseguridad Nacional de perĆmetro desmesurado y sobre la base de lo secreto, lo confidencial, lo reservado, lo restringido⦠cuando a los demĆ”s se les pide transparencia, denuncia, notificación e inspecciones. No va con los tiempos. En fin, hasta el patriotismo evoluciona.
Los ciberataques son cosa seria; pero estĆ”n dejando de ser percibidos asĆ socialmente. TenĆa que pasar. Y para sentir la cotidianeidad de este fenómeno, nada mejor que leerse la Sentencia 37/2022, de 14 de marzo del presente, de la Sala de lo Social de la Audiencia Nacional sobre la petición de ERTE por fuerza mayor que solicitó Ilunion tras haber sufrido una infección motivada por un ransomware de la familia Ryuk. La demanda la ganó la compaƱĆa y la perdió el Ministerio de Trabajo y EconomĆa Social. Pero eso, con ser importante, no es lo que quiero destacar aquĆ. Lo que interesa es cómo se especifican los hechos probados (entre otros la existencia del ciberataque), los actores que se mencionan en la sentencia (clientes y proveedores), el papel que juega el estado de madurez de la gestión de ciberseguridad de la organización afectada y la activación de una póliza de seguros ante el hecho acontecido. Sinceramente, el texto es de obligada lectura para un profesional de la ciberseguridad.