Dando continuidad al post donde informaba sobre la aprobación de la Estrategia de Ciberseguridad Nacional dedicaré este a exponer algunas de las cuestiones abiertas que se deducen de su análisis, anticipando que esta vez me limitaré a presentarlas y razonarlas pues, tal y como adelanté, mi intención es proponerlas como contribución a los debates a realizar en el marco del Foro de Cibereguridad del Clúster de Seguridad donde personas y entidades interesadas en este importante tema de la seguridad en el ciberespacio podrán deducir conclusiones y recomendaciones más relevantes que las mías.
La primera cuestión que identifico y me suscita algún interrogante es la referente a la determinación del organismo o persona que ejercerá como responsable español en materia de ciberseguridad. Es fácil colegir que este asunto no es ajeno a una cierta polémica o controversia entre los diferentes actores involucrados dado que, al estar las competencias repartidas entre ministerios diferentes, no parece que admitan de buen grado la existencia de un único actor que integre, dirija y coordine al resto de ellos.
Del análisis de las diferentes informaciones oficiales proporcionadas podría confirmarse esta especulación, al menos en parte. Personalmente no llego a alcanzar cuál es la solución adoptada; incluso después de una lectura detallada de algunas interpretaciones de la Estrategia realizadas por profesionales de prestigio no parece que tampoco ellos hayan llegado a deducirla. Por una parte en su texto se indica que para dar una respuesta conjunta bajo los principios que sustentan el Sistema de Seguridad Nacional se contará en el Consejo de Seguridad Nacional (CSN) con una estructura orgánica de la ciberseguridad compuesta por dos Comités de apoyo al presidente del Gobierno y al Consejo, denominados Comité Especializado de Ciberseguridad y Comité Especializado de Situación.
Sin embargo, en la referencia oficial de la reunión del Consejo de Seguridad Nacional del 5 de diciembre de 2013, donde se aprobó la Estrategia de Ciberseguridad, se indica que este ha decidido crear dos órganos colegiados, también de apoyo al presidente del Gobierno y al propio Consejo, para la puesta en marcha de las nuevas Estrategias (en referencia a la de Ciberseguridad y Seguridad Marítima aprobadas en la misma fecha). Estos nuevos órganos, que contribuirán a mejorar la prevención y respuesta ante los riesgos y amenazas a la seguridad nacional en sus ámbitos respectivos, tendrán la denominación de Consejo de Ciberseguridad Nacional y Consejo de Seguridad Marítima Nacional.
Asimismo se informa de la decisión de crear un tercer órgano colegiado dependiente del Consejo de Seguridad Nacional, que facilitará la dirección político-estratégica de aquellas situaciones de crisis que por su carácter transversal o su dimensión desborden las capacidades de los departamentos y organismos responsables. Este tercer órgano recibirá la denominación de Comité de Situación y será único para todos los ámbitos de la Seguridad Nacional.
Leyendo ambos textos las preguntas surgen obligadas: ¿Existirá un Consejo de Ciberseguridad Nacional y un Comité Especializado de Ciberseguridad? ¿En caso afirmativo, estando ambos bajo la misma dependencia orgánica, del CSN, cuál será la relación o dependencia entre ellos? ¿El Comité de Situación que se cita en los dos documentos es el mismo o son dos diferentes? y otras similares.
Otro elemento que parece confirmar la especulación expuesta anteriormente se concluye de lo publicado en la referencia de la reunión del CSN. Allí se afirma que la presidencia de los Consejos de Ciberseguridad Nacional y de Seguridad Marítima Nacional será rotatoria, con un nivel de representación de Secretario de Estado o Subsecretario, y tendrá periodicidad anual. En el caso del primero la presidencia rotará entre representantes de los Ministerios de la Presidencia, Interior, Industria, Energía y Turismo, Defensa y de Asuntos Exteriores y de Cooperación.
Otro aspecto a destacar es el relativo a la ejecución de la estrategia mediante un adecuado apoyo económico. Dado que en el documento no se hace referencia a ninguna dotación específica queda la duda de si se asignará posteriormente o dependerá de las aportaciones de los diversos organismos implicados. Este asunto no es menor pues es difícil suponer que la implantación de la estrategia sea la adecuada si va a depender exclusivamente de los recursos aportados por los diferentes actores, sobre todo en una época como la actual de reducciones drásticas en la asignación de dotaciones presupuestarias. Existen numerosos ejemplos de casos similares donde, como indica Enrique Fojón, se ha comprobado ser insuficientes para la adquisición y despliegue de capacidades, demandando dotaciones específicas que permitan llevar a cabo la gestión eficiente y eficaz de los recursos económicos dedicados a la ciberseguridad nacional.
No son de menor importancia los aspectos legislativos y normativos. Dado que una de las características principales del ciberespacio es la inexistencia de fronteras se estima necesario armonizar esta Estrategia de ciberseguridad con el resto de ellas, no solamente las nacionales sino también las de los organismos y alianzas de las que se forma parte. En este sentido entre los objetivos mencionados en el Capítulo 3º, así como en las líneas de acción, se señala que para afrontar adecuadamente las amenazas es imprescindible el fortalecimiento de la cooperación judicial y policial internacional, articulando los instrumentos adecuados de colaboración e intercambio de información y la armonización de las legislaciones nacionales, la implantación de la Estrategia de Ciberseguridad de la UE y el impulso de una política internacional en el ciberespacio con el desarrollo y mantenimiento de una regulación sólida y eficaz.
Otras cuestiones a abordar que considero igualmente de la mayor importancia y están parcialmente recogidas en la Estrategia son las referentes a la colaboración publico privada, el impulso al desarrollo industrial y refuerzo del sistema de I+D+i en materia de ciberseguridad o la promoción de una verdadera cultura de ciberseguridad en particular lo concerniente a la utilización responsable de las modernas tecnologías, aplicaciones y servicios disponibles en la actualidad.
En definitiva, la elogiada aprobación de la Estrategia Nacional de Ciberseguridad plantea un buen número de cuestiones cuya respuesta no debe demorarse por mucho tiempo, pues entre los riesgos que no deben asumirse se encuentra el asociado a que un retraso en la implementación de la Estrategia convierta a esta en un simple documento de principios o en una declaración de intenciones.
Esta y otras interrogantes las plantearemos para su debate en el Foro de Ciberseguridad con objeto de contribuir a que la Estrategia recientemente aprobada sea la base de una seguridad global en el ciberespacio que integre todos los ámbitos de la sociedad de la información donde vivimos y desarrollamos nuestras actividades.