sábado, 25 de julio de 2009

La ciberseguridad española, sin orden ni concierto

Tenía pendiente comentar una noticia de esta semana donde el Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), una organización privada y sin ánimo de lucro fundada por Panda Security, S21Sec, Hispasec Sistemas y Secuware anuncia que apoya la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red.

Esta noticia ha sido recogida en un amplio reportaje por El País en el artículo ¿Quién cuida de la ciberseguridad española?

Lo triste de todo esto es que las miras cortoplazistas de la política siempre nos hacen llegar tarde a todo. Mucho cambio de modelo productivo e incentivar el I+D+i, pero quitando las palabras bonitas de la retórica política, luego por detrás como siempre no hay acciones de calado. España vive del Turismo, pero parece que esta filosofía está impregnada en otros sectores. Se hacen las cosas para la galería, para el escaparate y el qué dirán sin creer en la necesidad de hacer las cosas bien por la propia responsabilidad y los beneficios de la mejora continua. Todo tiene una mira en el corto plazo y aquellas reformas estructurales necesarias para asegurar que a largo plazo no tendremos problemas, siempre quedan postergadas.

Y esto mismo es lo que parece ocurrir en la ciberseguridad. Se desarrollan actividades en la operativa y como mucho en la táctica, pero hay poco de estrategia, poco de diseño y definición de objetivos que garanticen que a largo plazo estaremos en el lugar adecuado. En este país parece que siempre tiene que pasar algo gordo, con daños muy cuantiosos o que supongan un escándalo político para que se decidan tomar cartas en el asunto.

Han tenido que ser las empresas nacionales más relevantes en materia de seguridad las que han avisado a la clase política de que este tren de la ciberseguridad no se puede perder. El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) ha presentado una moción en el Senado que contiene tres vías de actuación principales:
1. Impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.
2. Definir un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención.
3. Implantar en INTECO un laboratorio de certificación de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión Europea.

Seguro que en la plantilla de algún ministerio hay algunos funcionarios que tienen entre sus atribuciones estar pensando en este tipo de cosas, pero como en el sector público no hay objetivos ni rendimiento de cuentas, el no hacer nada pasa absolutamente desapercibido. Antes era el Ministerio de Administraciones Públicas quien lideraba, a través del Consejo Superior de Informática, todos estos temas. En sus años más productivos, vieron la luz la metodología MAGERIT, el documento de Criterios de Seguridad, Normalización y Conservación de la Información y algunas otras cosas relacionadas con la normalización de la seguridad en las tecnologías de la información. Sin embargo, llevamos ya más de cinco años en el dique seco, a excepción de los esfuerzos del INTECO por concienciar de la relevancia que tendrá la seguridad de la información en el futuro.

De nuevo son los sectores privados más estratégicos los que están haciendo bien los deberes. La Directiva sobre infraestructuras críticas pone ciertos puntos sobre las ies en esta materia y fuerza a empezar a reflexionar sobre la importancia que tiene garantizar que ciertas infraestructuras funcionarán en la peores circunstancias. Muchas de estas cosas ya se ponen de manifiesto en la situación actual. La crisis hace que se agudice el ingenio, pero de los "buenos" y de los "malos". En este post ya hice referencia a la Directiva Europea 2008/114/CE de "infraestructuras críticas europeas" (ICE) .

Y que nadie se confunda. Hablar de ciberseguridad no es sólo plantearse hipótesis remotas y fantasiosas por si en algún momento un grupo de hackers decide darse una excursión por nuestros sistemas informáticos, hablar de seguridad es plantearse qué ocurriría si por desgracia un fin de semana se le prende fuego a un CPD de una administración pública o si tenemos una oleada de virus informáticos que afectan al parque de PC de las ventanillas de atención al ciudadano. Son cosas más terrenales y mundanas que normalmente no se tienen resueltas.

Y lo que más me cabrea de todo esto es que además, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP) fuerza a las Administraciones Públicas a trabajar con las tecnologías de la información para dar servicio al ciudadano. En su redacción aparecen de forma continua los tres términos que son pilares de la seguridad de la información: confidencialidad, integridad y disponibilidad.

Sin embargo, parece que entendemos por "Administración electrónica" dejar de tener los folletos en papel para ponerlos a disposición del ciudadano en una Web y que sea éste el pringao que tenga que gastar en tinta y papel para hacer lo mismo que antes pero con documentación electrónica. Lo que podría ser la mejor oportunidad que ha tenido la Administración Pública por revisar la "BURRO-cracia" que hace lentos, caros e improductivos muchos de los servicios de la Administración Pública, parece que puede quedar en colgar en Webs formularios electrónicos.

Y como ejemplos de esta desastrosa situación en este nuevo área de conocimiento, además de los estudios oficiales que se realizan al respecto, valgan tres aspectos que pueden ser representativos de lo dicho:
  • Continuidad de negocio: En toda mi trayectoria profesional y ya llevo unos añitos, todavía no he visto ningún organismo público (Ni entidad local, ni regional ni nacional) y pequeña o mediana empresa que tenga al menos diseñado y probado qué haría si su CPD se fuera a tomar viento. Cosas que parece que son imposibles pero que no se pueden improvisar si un día el incidente se presenta. Lo que ocurre es que en la estrategia cortoplazista, estar preparado para contingencias graves no encaja y es mejor meter la cabeza bajo tierra para poder seguir durmiendo tranquilo.

  • Cumplimiento de la legislación en materia de protección de datos: La situación tanto de Administraciones Públicas como de empresas al respecto es también desalentadora. Se entiende como agresión una legislación que intenta que la información sea correctamente tratada y adecuadamente protegida. Sólo es necesario ver los informes del INTECO respecto al grado de cumplimiento tanto de Administraciones Públicas como de Empresas para ver que es una ley que en general todo el mundo se pasa por el forro. Las empresas algo menos porque tienen la temida amenaza de la sanción, lo que hace por costes que se planteen hacer algo al respecto.

  • Seguridad de la información en Universidades: Son pocas las carreras que han introducido el nuevo panorama normativo en sus asignaturas. Es raro ver en los planes de estudio temarios para dar a conocer las buenas prácticas en la gestión de las tecnologías de información representadas por normas como ISO 20.000, ISO 27.000 o los estándares de mercado como ITIL o COBIT. Las empresas que nos dedicamos a la seguridad de la información nos las vemos y nos las deseamos para encontrar candidatos ya formados que incorporar a nuestros proyectos, lo que hace que el rendimiento de los nuevos empleados no supere el 25% en el primer año. En las titulaciones se enseñan aspectos tecnológicos concretos como criptorgrafía y protocolos de seguridad pero no se dota de los conocimientos necesarios en la capa de gestión, en la manera o forma de afrontar los problemas y de estructuras las tareas.


Quizás no me ha salido un post muy estructurado pero ha sido bastante terapéutico, como una sesión de psicólogo, para describir lo triste del panorama actual y que esperemos que la clase política solucione pronto. Esperemos que no sólo entiendan que la solución pasa por gastar dinero. Es necesario desarrollar reglamentación en muchas de las leyes ya redactadas y sobre todo, asignar competencias y responsabilidades respecto a la seguridad de la información. La figura del Responsable de Seguridad de una Organización debe ser un puesto relevante, como lo puede ser el Director de RR.HH o el Financiero. Quizás la única justificación a este estado de ánimo se deba al resultado de ver cómo las empresas que se han adherido al proyecto de subvención del INTECO para la norma ISO 27001 se han tomado el tema y a las últimas auditorías del R.D. 1720/2007 que he realizado. No se si estoy muy pesimista pero podéis dar vuestra opinión al respecto a través de los comentarios por si es una sensación personal o algo generalizado.

4 comentarios:

Joseba Enjuto dijo...

Buenas tardes,

Para variar, hoy no estoy de acuerdo con el post. Sí que es cierto que se podrían hacer mejor las cosas, pero no creo que haya falta de estrategia. Al menos, si atendemos a iniciativas como el Esquema Nacional de Seguridad, que avanza lento pero seguro, y que espero que dentro de ya no demasiado tiempo pueda dar muy buenas noticias al sector.

Javier Cao Avellaneda dijo...

Ojalá pudiera ser optimistas, pero mucho me temo que si para elaborar el R.D. 1720/2007 han pasado 9 años, el desarrollo del Esquema Nacional de Seguridad puede llegar demasiado tarde.
En seguridad sabemos que las cosas cambian de un día para otro y el tiempo es un factor crítico. Las buenas intenciones estan muy bien pero ya vamos necesitando hechos y sobre todo, regulación.

Anónimo dijo...

Pues la verdad es que yo también soy pesimista , pero no por tanto lio de siglas, y demás sino por dos motivos:

Todo esto que ha salido en prensa al fin y al cabo es una iniciativa privada de empresas privadas, que precisamente varias tienen como cliente a INTECO, ¿Donde está las iniciativas a nivel de gobierno ? reales.


Cada vez hay una mayor descordinación a nivel públicos, varias CCAA crean sus "CSIRT", o similar para estar al mismo "nivel" competencial que otras iniciativas de nivel del gobierno central, vamos a acabar teniendo equipos de seguridad hasta del ayuntamiento de Lepe.

Anónimo dijo...

Hola javier,

Me interesa el tema y la verdad es que estoy de acuerdo contigo. Te popongo que leas el siguiente articulo, didactico y que dice las cosas claras, a mi entender

http://www.realinstitutoelcano.org/wps/portal/rielcano/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari102-2010

Buen Trabajo!

 
;