Duelo al amanecer en la (ciber)Seguridad Nacional
Para que un Estado naciĆ³n pueda emprender la hercĆŗlea tarea de defender la porciĆ³n de ciberespacio que considere suya, tiene que organizarse y dedicar medios humanos y materiales. Si acierta con la organizaciĆ³n por la que opte en cada momento y va destinando medios humanos y materiales atinadamente, lo razonable es que esa defensa se vaya acercando a la excelencia, concepto ajeno al espacio-tiempo al que todo Management Team anhela llevar a su empresa, y que, desgraciadamente, es tan escurridizo como la Integral Management a la que aspiran los tradicionalistas de la safety/security, esos magnĆficos expertos que se encuentran en la pubertad digital.
Como decĆamos: hay que organizarse, o mejor, hay que ponerse de acuerdo en quĆ© tipo de desorganizaciĆ³n de la ciberseguridad es la mĆ”s estable, la mĆ”s conveniente, la que menos afecte a lo ya establecido... Y asĆ, la mayorĆa de paĆses hemos empezado a integrar como hemos podido esta faceta creciente de lo digital y ciberfĆsico en el Ć”mbito civil y en el de la defensa militar.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
En la UE, los āhermanosā de la privacidad se dieron cuenta de que las directivas las trasponĆan los estados miembros con asombrosa creatividad. En consecuencia, enfocaron la cuestiĆ³n con una ley (el RGPD) para darnos pautas mĆ”s precisas con las que equivocarnos en lo mismo. Pero en la conflictiva ciberseguridad, el vestido sigue siendo una directiva, la NIS1, y, casi ya en tiempo de descuento la NIS2, con el aƱadido de haber considerado pertinente diferenciar en otra directiva la resiliencia de las entidades crĆticas y de haber concebido una ley especial para el sector financiero, DORA, que trata sectorialmente (clientes y proveedores) la resiliencia operativa y, en su contexto, el control y mejora de la ciberseguridad efectiva. (Otras normas europeas relacionadas las dejaremos para una posterior entrega).
Enfrentamiento
Lo cierto es que tenemos que trasponer la NIS2 a la legislaciĆ³n espaƱola, hecho que nos da la oportunidad de mejorar algunos estratos del modelo de gobernanza de la ciberseguridad espaƱola, que emana estratĆ©gicamente de la Seguridad Nacional. Esta āmejoraā lleva enfrentando a algunos actores estatales desde hace aƱos. Hoy, el asunto es ya de pĆŗblico enfrentamiento entre dos posiciones aparentemente irreconciliables, la de aunar en un centro coordinador con poderes la gestiĆ³n de todos los sabores de la (ciber) Seguridad Nacional, o la de mantener el modelo actual suprimiendo ineficiencias y duplicidades.
El CCN se manifiesta a favor de lo primero. INCIBE (que ha cambiado de forma jurĆdica), defiende lo segundo. El DSN, el MAEC, el MCCE y la OCC-SES no se posicionan pĆŗblicamente. Pero todos entienden que hay espacio para la mejora.
Por tanto, lector, esta es hoy la EspaƱa de la ciberseguridad que pudiera mejorarse: una orquesta sinfĆ³nica sin director en la que los esforzados mĆŗsicos gestionan su papel en la partitura. Y, de cuando en cuando, se juntan colegiadamente en el Consejo Nacional de Ciberseguridad, āĆ³rgano de apoyoā al Consejo de Seguridad Nacional.
A un servidor, que lleva aƱos en esto, le entristece ver trabajar como leones y avanzar en sus cometidos a los servidores pĆŗblicos de la (ciber)Seguridad Nacional con tensiones mĆ”s allĆ” de las atribuibles a la sobrecarga de tareas, tanto en la ciberprotecciĆ³n como en el apoyo a la lucha judicial y policial contra la delincuencia. Claro que sĆ.
Pero mĆ”s me entristece que la ciberseguridad sea ya pura polĆtica. Nuestro Gobierno deberĆa de tomar decisiones ante la NIS2 y una ENCS con un lustro de vida. Y los partidos polĆticos deberĆan de alcanzar consensos. Al fin y al cabo, el dinero no garantiza una organizaciĆ³n mejor.
