Qué es el Esquema Nacional de Seguridad y cómo protege nuestro ciberespacio

Pretender que la ciberguerra que se vive actualmente se circunscribe únicamente a Estados Unidos y Rusia, junto a sus países satélite, es simplemente perder de vista el sentido común.

Pese a que estos polos se llevan la atención mediática, lo cierto es que no hay país, industria o mercado que se libre de las ciberamenazas y que no esté expuesto al incremento de los ataques informáticos que se está produciendo en los últimos años.

España no es ajena a esa tendencia: somos uno de los países europeos que más ciberamenazas avanzadas recibe, nos hemos visto afectados por campañas globales como WannaCry y se prevé que el año 2017 acabe con más de 26.500 ciberincidentes de diversos tipos en las administraciones del sector público y empresas de interés estratégico patrias.

Leer más: Reino Unido no encuentra nuevos espías porque Google y Facebook pagan cinco veces más

Por ello, nuestro país se ha armado con profesionales, instituciones (desde la divulgación, con el INCIBE, hasta la gestión en alta escala, con el CCN-CERT) y planes de prevención y respuesta a estos ciberataques.

Cuando se trata de proteger los sistemas de información más elementales de la AAPP, aquello que mantiene la maquinaria pública funcionando, nos hemos de remitir siempre al Esquema Nacional de Seguridad en el Ámbito de la Administración Electrónica.

Esta norma, regulada mediante el Real Decreto 3/2010 del ocho de enero y actualizada mediante el RD 951/2015, articula cómo España ha de actuar ante delitos exclusivamente relacionados con los ordenadores y sistemas de información, en particular los ataques contra los sistemas de información.

Como explica Luis Jiménez, subdirector del Centro Criptológico Nacional, bajo este paraguas se engloban actividades como “el acceso ilegal a un sistema de información, la interferencia ilegal en los sistemas de información, la interferencia ilegal en los datos, la interceptación ilegal de datos informáticos o el abuso de los dispositivos mediante la producción, distribución, obtención para su utilización, importación u otra forma de puesta a disposición o posesión de dispositivos para el uso indebido de los sistemas informáticos”.

Teniendo en cuenta este objeto de actividad, la Estrategia Nacional de Seguridad plantea nada menos que un total de 75 medidas de seguridad, agrupadas a su vez en tres grandes marcos: organizativo, operacional y de protección.

Este último es el que más medidas contempla, unas 40, que se centran en proteger activos concretos con planteamientos específicos que van desde las aplicaciones hasta las infraestructuras e instalaciones, pasando por la gestión del personal o las comunicaciones.

Por encima encontramos el plano operacional, donde se plantean 31 medidas para la planificación, el control de acceso, la monitorización de los sistemas o aquellas herramientas necesarias para garantizar la continuidad de todos los servicios públicos, pase lo que pase en caso de ataque.

Leer más: Así es como un antivirus puede convertirse en una herramienta de espionaje

Todo ello contemplado en el marco superior, el organizativo, donde se distinguen cuatro pilares fundamentales: política, normativa y procedimientos de seguridad, así como los procesos de autorización necesarios para garantizar la protección de España en la arena cibernética.

¿Por qué es necesario desarrollar todo este Esquema de Seguridad Nacional? La respuesta, para Luis Jiménez, está clara y responde a varios factores estructurales y coyunturales.

“Primero, encontramos una notable falta de concienciación y desconocimiento del riesgo. También nos enfrentamos a este desafío con sistemas con vulnerabilidades, escasas configuraciones de seguridad y seguridad reactiva, lo cual los convierte en objetivos blandos. Por no contar con el poco personal de seguridad y escasa vigilancia o la ausencia de herramientas que faciliten investigación”.

Añade el experto además que “la mayor superficie de exposición (redes sociales, movilidad y servicios en nube) o la no comunicación de incidentes y la falta de colaboración para compartir información” son otros detalles clave que obligan a establecer esta clase de esquemas para impulsar la cultura de ciberseguridad.

Leer más: Así es cómo podría surgir una ciberguerra con Corea del Norte, según un experto en ciberseguridad

Y nunca debemos perder de vista la necesidad de invertir más y más en proteger los activos digitales, el nuevo oro de la sociedad de la información. “Debemos invertir en ciberseguridad al menos una cantidad equivalente que en seguridad física”, comenta públicamente Jiménez.

El Centro Criptológico Nacional, eje vertebrador

En todo este proceso, el Centro Criptológico Nacional juega un papel clave.

Luis Jiménez, su subdirector, lo resume así: “Nuestra labor es fortalecer y posibilitar que haya más personas formadas y conscientes de los riesgos asociados al uso de las nuevas tecnologías, que se establezcan políticas y procedimientos de seguridad escritos, conocidos y puestos en práctica por todos los escalones de la organización y fomentar el uso de tecnología segura, contrastada y verificada, correctamente implementada y configurada”.

Además, a través de su CERT, el Centro Criptológico Nacional también tiene como misión detectar, notificar, responder y aprender de cualquier incidente de ciberseguridad que afecte a los organismos públicos y empresas de interés estratégico para el país.

En este proceso, realizado siempre en la más absoluta confidencialidad entre ambas partes, el CCN-CERT brinda apoyo técnico y operativo, tanto en las etapas de detección, como reacción, contención y eliminación.