Duelo al amanecer en la (ciber)Seguridad Nacional
Para que un Estado nación pueda emprender la hercúlea tarea de defender la porción de ciberespacio que considere suya, tiene que organizarse y dedicar medios humanos y materiales. Si acierta con la organización por la que opte en cada momento y va destinando medios humanos y materiales atinadamente, lo razonable es que esa defensa se vaya acercando a la excelencia, concepto ajeno al espacio-tiempo al que todo Management Team anhela llevar a su empresa, y que, desgraciadamente, es tan escurridizo como la Integral Management a la que aspiran los tradicionalistas de la safety/security, esos magníficos expertos que se encuentran en la pubertad digital.
Como decíamos: hay que organizarse, o mejor, hay que ponerse de acuerdo en qué tipo de desorganización de la ciberseguridad es la más estable, la más conveniente, la que menos afecte a lo ya establecido... Y así, la mayoría de países hemos empezado a integrar como hemos podido esta faceta creciente de lo digital y ciberfísico en el ámbito civil y en el de la defensa militar.
En la UE, los “hermanos” de la privacidad se dieron cuenta de que las directivas las trasponían los estados miembros con asombrosa creatividad. En consecuencia, enfocaron la cuestión con una ley (el RGPD) para darnos pautas más precisas con las que equivocarnos en lo mismo. Pero en la conflictiva ciberseguridad, el vestido sigue siendo una directiva, la NIS1, y, casi ya en tiempo de descuento la NIS2, con el añadido de haber considerado pertinente diferenciar en otra directiva la resiliencia de las entidades críticas y de haber concebido una ley especial para el sector financiero, DORA, que trata sectorialmente (clientes y proveedores) la resiliencia operativa y, en su contexto, el control y mejora de la ciberseguridad efectiva. (Otras normas europeas relacionadas las dejaremos para una posterior entrega).
Enfrentamiento
Lo cierto es que tenemos que trasponer la NIS2 a la legislación española, hecho que nos da la oportunidad de mejorar algunos estratos del modelo de gobernanza de la ciberseguridad española, que emana estratégicamente de la Seguridad Nacional. Esta “mejora” lleva enfrentando a algunos actores estatales desde hace años. Hoy, el asunto es ya de público enfrentamiento entre dos posiciones aparentemente irreconciliables, la de aunar en un centro coordinador con poderes la gestión de todos los sabores de la (ciber) Seguridad Nacional, o la de mantener el modelo actual suprimiendo ineficiencias y duplicidades.
El CCN se manifiesta a favor de lo primero. INCIBE (que ha cambiado de forma jurídica), defiende lo segundo. El DSN, el MAEC, el MCCE y la OCC-SES no se posicionan públicamente. Pero todos entienden que hay espacio para la mejora.
Por tanto, lector, esta es hoy la España de la ciberseguridad que pudiera mejorarse: una orquesta sinfónica sin director en la que los esforzados músicos gestionan su papel en la partitura. Y, de cuando en cuando, se juntan colegiadamente en el Consejo Nacional de Ciberseguridad, “órgano de apoyo” al Consejo de Seguridad Nacional.
A un servidor, que lleva años en esto, le entristece ver trabajar como leones y avanzar en sus cometidos a los servidores públicos de la (ciber)Seguridad Nacional con tensiones más allá de las atribuibles a la sobrecarga de tareas, tanto en la ciberprotección como en el apoyo a la lucha judicial y policial contra la delincuencia. Claro que sí.
Pero más me entristece que la ciberseguridad sea ya pura política. Nuestro Gobierno debería de tomar decisiones ante la NIS2 y una ENCS con un lustro de vida. Y los partidos políticos deberían de alcanzar consensos. Al fin y al cabo, el dinero no garantiza una organización mejor.