Blog del CCI

domingo, 5 de octubre de 2014

Donde dije digo, digo Diego (España en el panorama internacional de la Ciberseguridad Industrial)

Los que me conocen o han asistido a alguna de mis presentaciones sobre Ciberseguridad Industrial en los últimos años, saben que tradicionalmente, basándome en las referencias públicas existentes, análisis, documentos e informes,   venía siendo bastante pesimista en cuanto al estado de nuestro país en este ámbito respecto a otros países de nuestro entorno (Europa) o a grandes potencias como Estados Unidos, Japón o determinados países de Oriente Medio.  Muchos recordarán alguna presentación argumentando cómo nos quedaba un mínimo de 5 años para llegar al nivel de algunos países de Europa como Holanda o Reino Unido y probablemente más de una década para ponernos al nivel de Estados Unidos.

En los últimos tiempos he tenido la fortuna de poder compartir impresiones, proyectos y experiencias con organizaciones industriales, infraestructuras críticas, organismos públicos y gobiernos de prácticamente todas las regiones del mundo, y por tanto conocer de primera mano el estado real de avance de la Ciberseguridad Industrial a nivel internacional. Por ello, hace tiempo que tenía en mi “debe” el escribir un artículo como este retomando el discurso que tantas veces esgrimí en mis presentaciones, basado en las referencias públicas existentes, análisis, documentos, informes, etc. incluyendo además información y percepciones procedentes de la observación directa de la realidad  en todas estas regiones y en la fulgurosa evolución que nacional e internacionalmente ha tenido esta disciplina.

Debo adelantar para tranquilidad de todos (nuestra especialmente), que el escenario real no es tan pesimista como el que inicialmente defendía, llegando en algunos casos incluso a ser el   totalmente opuesto, es decir: sí, en algunos ámbitos estamos por delante (¡!).

La primera justificación de este cambio viene de que tradicionalmente siempre nos hemos comparado con otros países de forma general, cuando realmente los avances, madurez, ritmo y características son muy distintos entre dos entornos muy distintos:tan diferentes como el público y el privado.

Incluyo en el entorno público a los efectos de  este artículo a las iniciativas gubernamentales, organismos públicos, programas, estrategias, regulaciones y marcos de trabajo que marcan la línea a seguir en los mercados nacionales. Es aquí donde nos encontramos, desgraciadamente a una mayor distancia de otros países más avanzados en el ámbito de la ciberseguridad en general, y en la ciberseguridad industrial de forma más concreta.

En este entorno nos encontramos internacionalmente con sistemas de ciberseguridad nacional maduros, dotados de un respaldo político y económico indiscutible y con definiciones de roles y responsabilidades claras en países como Estados Unidos, Reino Unido o Holanda, entre otros, que llevan más de una década trabajando y colaborando activamente en estos temas. Esto en algunos casos se traduce en estrategias de ciberseguridad nacionales también maduras que van avanzando incluso en distintas versiones con distintos objetivos, indicadores de seguimiento y asignación de recursos, como es el caso por ejemplo de la versión 2 de la estrategia de ciberseguridad nacional de Holanda, con el lema “de la concienciación a la capacidad” (“from awareness to capability”). Estos avances suelen evidenciarse también ante la existencia de iniciativas y organismos gubernamentales totalmente focalizados en la materia (como podría ser el caso los ICS-CERT, US-CERT o el Idaho National Laboratory de Estados Unidos) que en muchos casos desarrollan como parte de su actividad, marcos de trabajo de referencia común (sectoriales o no) para el mercado, hojas de ruta que marcan el camino a seguir con indicadores claros de control y seguimiento o regulaciones que buscan conseguir unas líneas base de cumplimiento de medidas de seguridad que garanticen la adecuada protección de infraestructuras y organizaciones, habitualmente focalizadas inicialmente en la protección de infraestructuras críticas, pero extendidas posteriormente a otros ámbitos de actividad.

En el entorno público de nuestro país ha habido un cambio de ritmo importante en lo que a la  ciberseguridad se refiere en los dos últimos años.  Basta con revisar el panorama que tenemos en la actualidad respecto al que teníamos hace unos años. Contamos ya con una Estrategia de Seguridad Nacional que identifica el ciberespacio como un ámbito más de actuación, una Estrategia de Ciberseguridad Nacional que define el sistema nacional de ciberseguridad, objetivos y sus actores, además de organismos con un foco de actividad importante en estos ámbitos (CNPIC, INTECO, CCN, Mando Conjunto de Ciberdefensa, Departamento de Seguridad Nacional…).

No debemos dejar de mencionar la existencia de una regulación en el ámbito de la privacidad que es referente a nivel internacional (nuestra famosa LOPD), o de la Ley de Protección de Infraestructuras Críticas, también referente para la mayoría de los países latinoamericanos. Y sin duda esa gran oportunidad que en estos momentos está abierta en el área de la ciberseguridad, que es la nueva Ley de Seguridad Privada (y su futuro reglamento).

Es un hecho que el ritmo y los tiempos de cambio en cualquier país en lo que a aspectos regulatorios, iniciativas y organismos gubernamentales o estrategias se refiere son mucho más lentos que en el ámbito privado y por tanto,  cualquier creación o modificación de estos puntos, supone ya no meses, sino años de desarrollo en la parte pública, y otro tanto en la adopción y maduración de la parte privada.

En definitiva, concluiría la comparativa en el entorno público confirmando las sospechas que enunciaba en algunas presentaciones: estamos a varios años de distancia (entre 5 y 10, al menos) de otros países líderes en este ámbito. Nos queda mucho por hacer y mucho esfuerzo, trabajo y respaldo por delante. Sin embargo, mi opinión es que la tendencia ha cambiado en los últimos dos años y creo que estamos en el camino adecuado. Las bases están sentadas, comienza a existir interés y respaldo (económico, político, etc.), y si seguimos así deberíamos ver como mes a mes y año a año, esa distancia con los líderes internacionales irá disminuyendo. Y en cualquier caso no debemos olvidar ni desaprovechar la oportunidad que supone el que de forma general seamos una referencia para otra (gran) parte del escenario internacional: Latinoamérica. Haríamos flaco favor a nuestro tejido industrial y empresarial si no aprovechásemos esa oportunidad (el mundo no solo es Estados Unidos, Reino Unido, Alemania o Holanda…).

¿Y que hay del entorno privado? (entendiendo por entorno privado a las organizaciones industriales, infraestructuras críticas o usuarios finales en el ámbito de la ciberseguridad industrial). Aquí es donde vienen noticias aún más satisfactorias. He de decir, que me he sorprendido muy gratamente en estos dos últimos años a medida que he ido conociendo de forma directa el estado de la protección, proyectos e iniciativas en ciberseguridad industrial de estas organizaciones internacionalmente. Puedo adelantar que la conclusión general es que las organizaciones españolas no tienen nada que envidiar en cuanto a su madurez en ciberseguridad, protección, tecnologías y proyectos a otras organizaciones similares  en los países ya mencionados anteriormente en el ámbito público e incluso, en algunos casos el nivel es aún mejor.
Pero de nuevo, no generalicemos y distingamos básicamente entre las grandes organizaciones industriales e infraestructuras críticas y las organizaciones industriales medianas y pequeñas. En este último caso (las más pequeñas), la realidad es que el estado de protección  y nivel de madurez en estos temas es realmente bajo (y claramente insuficiente), pero no distinto del nivel que este mismo tipo de organizaciones tiene en otros países como Estados Unidos, Alemania, Francia, Holanda o Reino Unido entre otros (recordemos aquí el refrán “mal de muchos, consuelo de tontos”, y no caigamos en esa tentación: debemos impulsar e incentivar de forma enérgica el avance en este ámbito).

En cuanto al otro grupo, las grandes organizaciones e infraestructuras críticas, podemos asegurar que su estado de protección, avances tecnológicos y nivel de madurez es similar al de cualquier organización de ese tipo a nivel internacional. Incluso contamos con ejemplos premiados internacionalmente (sin ir más lejos, el prestigioso SANS Institute estadounidense premió el año  pasado a Iberdrola por su actividad en el ámbito de la Ciberseguridad Industrial) y otros de referencia en algunos sectores (especialmente en el energético). Aquí no hay distancia alguna con el sector privado en otros países (no nos acomodemos, e intentemos continuar avanzando y superarlos).

Pero hay un aspecto del que, por la parte que nos toca, estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial. En este ámbito, debo dejar de lado, por unas líneas, la humildad obligada, y compartir de qué manera el Centro de Ciberseguridad Industrial (CCI) y sus actividades se han convertido en un referente a nivel internacional, no solo en Europa, sino en Estados Unidos, Latinoamérica, Oriente Medio o Asia. La pregunta a la que más veces debemos responder es si somos una iniciativa gubernamental. El hecho de no serlo, y de haber surgido del propio sector privado con una representación total de todos los actores involucrados, hace que todos y cada uno de los países con los que colaboramos, vean la iniciativa como una referencia a seguir de forma local, lo que sinceramente, nos enorgullece: hay al menos un ámbito de actividad en el que estamos siendo líderes internacionales y eso no es gracias únicamente al propio CCI, sino precisamente al soporte, participación y avance de todo el ecosistema de actores involucrados (en este caso, privados y públicos).

Debo por tanto retractarme: no estamos tan atrás, al menos no en todos los ámbitos. Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea de avance marcada, que debemos aprovechar como país (y como industria) para avanzar en el posicionamiento internacional en la ciberseguridad (industrial).

En cualquier caso, no caigamos en la autocomplacencia. Tenemos en común con el resto de países la falta de solución aún a grandes retos no conseguidos internacionalmente: la compartición de información entre organizaciones (públicas y privadas), la estructuración del reporte de incidentes de ciberseguridad, los modelos de gobierno de la ciberseguridad  de la Smart Grid, la llegada de las tecnologías inteligentes (Smart Grid, Smart Cities, Smart Homes…) y la Internet de las Cosas. Retos que a su vez son oportunidades. Tenemos dos opciones: continuar lamentándonos de nuestra situación en algunos ámbitos, o emplear ese tiempo y esfuerzo en avanzar y posicionarnos en esos ámbitos donde aún no hay líderes claros.  Yo tengo clara cuál es la opción que he elegido, ¿y tú?

(Artículo publicado originalmente en la Revista Red Seguridad: www.redseguridad.com)

No hay comentarios :

Publicar un comentario