El Consejo de Seguridad Nacional aprobó el pasado mes de abril una nueva Estrategia Nacional de Ciberseguridad (ENC) para este año. A continuación analizamos en qué consiste y cómo afectará a las Administraciones Públicas.
La relación entre las Administraciones Públicas y los ciudadanos ha experimentado un cambio sustancial, motivado principalmente por un nuevo canal de comunicación y gestión, el digital; y un nuevo entorno, el ciberespacio. En este contexto que tantos beneficios ha generado en términos de comodidad para el ciudadano y ahorro de tiempo y costes para los entes públicos, se hace necesario redoblar los esfuerzos en seguridad y protección ya que Internet no siempre es un lugar seguro. Para confirmarlo, a las cifras nos remitimos: en 2018 se registraron 34.000 ciberincidentes en entidades del sector público y empresas de interés estratégico.
El Consejo Nacional de Ciberseguridad es el órgano de apoyo al Consejo de Seguridad Nacional. Entre sus cometidos destaca el refuerzo de las relaciones de cooperación entre las Administraciones Públicas en materia de ciberseguridad. En este sentido, cabe señalar que la implementación de una nueva estrategia, publicada en el BOE como Orden PCI/487/2019, cuenta con el consenso de las diferentes comunidades autónomas. En este artículo analizamos en qué consiste la Estrategia Nacional de Ciberseguridad 2019 y cómo afectará a las entidades públicas.
Objetivos de la Administración en materia de ciberseguridad
Esta nueva estrategia se ha desarrollado en función de las previsiones de la Estrategia de Seguridad Nacional de 2017, siempre dentro del ámbito de la ciberseguridad. Además, supone una actualización de la Estrategia de 2013, que fue la primera que se aprobó en nuestro país. Todas coinciden en que las Administraciones Públicas tienen la obligación de velar por la seguridad digital del ciudadano. Estos son algunos de los objetivos fijados para las entidades públicas en este ámbito:
- Convertirse en un referente de actuación en la gestión de la ciberseguridad. Los organismos deben estar en constante proceso de mejora en lo que se refiere a la protección de las amenazas que puedan surgir. Entre las medidas que pueden aplicar destaca la implementación de nuevas soluciones y el aumento de las capacidades de prevención, detección y respuesta a ciberataques.
- Contacto permanente con las gestoras de los Sistemas de Tecnologías de la Información y Comunicaciones. En este sentido, resulta interesante que ambas partes compartan la responsabilidad y el conocimiento, de forma que la cooperación entre ellas sirva para mejorar la ciberseguridad.
- Lucha contra la cibercriminalidad. Es imprescindible que haya una perfecta coordinación policial y judicial para reforzar la lucha contra los cibercriminales. La orden legislativa establece tres ámbitos distintos: el ciberespacio como objetivo directo de los ataques; el ciberespacio como medio para la ejecución de los mismos; y el ciberespacio como objeto de investigación de cualquier hecho ilegal.
- Impulsar la cultura de ciberseguridad. En un escenario puramente digital es indispensable tener un elevado grado de compromiso y concienciación. Las Administraciones Públicas deben ser un estandarte, difundiendo la cultura de ciberseguridad, acercando la información a los ciudadanos y propiciando encuentros entre las empresas, entidades y civiles para ofrecer toda la información necesaria relativa a esta materia.
- Garantizar la ciberseguridad a nivel internacional. Las entidades que trabajen en consonancia con otros países deben fomentar la estabilidad del ciberespacio y mantenerse en contacto con las Administraciones internacionales. Solo así se obtendrán los consensos necesarios para crear un ciberentorno seguro.
Nuevas implicaciones de la ENC para la Administración
La protección contra la ciberdelincuencia es una competencia que afecta no solo a las Administraciones Públicas, sino también a las empresas y a la sociedad. Y es que la ciberseguridad atañe a todos los ámbitos sociales y civiles: economía, tecnología, defensa, soberanía, derechos fundamentales, etc. Consecuentemente, es necesario fortalecer todos los sistemas de comunicaciones e información de la Administración.
Una de las proposiciones de la nueva orden legislativa aboga por realizar evaluaciones de comprobación. De esta manera, los organismos colectivos pueden testar si el control que ejercen en ciberseguridad sobre las áreas que puedan afectar a la seguridad nacional es lo suficientemente exhaustivo.
Otra de las iniciativas nuevas en esta Estrategia Nacional de Ciberseguridad es la creación del Foro Nacional de Ciberseguridad. Se trata de un espacio de colaboración pública y privada. Diferentes expertos, miembros de la sociedad civil, asociaciones, empresas y organismos sin ánimo de lucro formarán parte del mismo. El objetivo principal de este foro es crear sinergias entre las Administraciones y el sector privado. Especialmente en lo que se refiere a las amenazas y oportunidades de la seguridad dentro del entorno cibernético.
Las comunidades autónomas también se protegen
Si bien la nueva estrategia establece un marco de actuación nacional, lo cierto es que las propias comunidades autónomas también están impulsando iniciativas que persiguen el mismo objetivo: proteger a Administración y ciudadano.
Una de las más activas en este campo es Andalucía. La Junta ha puesto en marcha su Plan de Seguridad y Confianza Digital Andalucía 2020, que pretende la adquisición de buenas prácticas en ciberseguridad en la administración andaluza, además de implementar una cultura de confianza y seguridad en el entorno digital. Como ves, son objetivos muy similares a los de la estrategia nacional. Actualmente, la Consejería de Empleo ha formado a aproximadamente 3.000 personas.
Otra comunidad que está implantando proyectos propios es el País Vasco. En este caso, ha creado el Centro Vasco de Ciberseguridad, una entidad que busca, por un lado, dinamizar el sector empresarial de la ciberseguridad y posicionar a la región como un referente internacional en este ámbito; por otro, fomentar una cultura de seguridad digital en la ciudadanía vasca.
Además de su vertiente estrictamente empresarial, con este centro se pretende dar respuesta a los ciberataques que puedan sufrir la Administración y los ciudadanos vascos. De hecho, colabora continuamente con la Ertzaintza, cuerpo policial que dispone de su propio espacio en el centro para luchar contra los ciberdelincuentes.
Un proyecto “diferente” es el de Castilla y León, que a través del Instituto para la Competitividad Empresarial ha lanzado una iniciativa de Compra Pública Innovadora, incentivando a las empresas para que creen y desarrollen soluciones tecnológicas de ciberseguridad que, en una etapa posterior, puedan ser adquiridas por la Administración para proteger sus activos digitales.
Como ves, hoy en día las Administraciones Públicas son también responsables de velar por la ciberseguridad de los ciudadanos. Asimismo, deben establecer un marco de cooperación internacional en este ámbito que permita que todos los países remen en una única dirección. Solo así se garantizará la máxima seguridad y resiliencia en un entorno cada vez más dominado por la digitalización.
