Diferentes instituciones nacionales como INCIBE, CCN, DSN o CNPIC participaron en la mesa redonda institucional celebrada el pasado miércoles en el DES 2018, mesa que fue moderada por Gianluca D´Antonio Chairman of ISMS Forum.

Durante la segunda sesión del DES 2018 tuvo lugar una de las mesas más prometedoras: El mapa de España en Ciberseguridad. Esta mesa redonda estuvo compuesta por Mar López, Jefa de Ciberseguridad del Departamento de Seguridad Nacional (DSN), Rafael Pedrera,  Jefe de la Sección de Prospectiva de la OCC de CNPIC,  Luís Jiménez del Centro Criptológico Nacional (CCN) y Marcos Gómez Subdirector Servicios de Ciberseguridad en INCIBE. La moderación de la misma corrió de la mano de Gianluca D´Antonio Chairman of ISMS Forum y CIO of Grupo FCC.

En esta sesión, además de dibujar cómo es el escenario en materia de Cyberseguridad actual en España y los retos actuales, igualmente se pusieron encima de la mesa las iniciativas de valor público-privadas que se están llevando a cabo conjuntamente en la industria (canales de interlocución, soporte, etc.). Igualmente se analizaron los retos que presenta esta colaboración a futuro y cómo se puede fortalecer estas relaciones entre sector público y privado.

Una de las conclusiones a las que llegamos tras esta mesa institucional en materia de seguridad es que la regulación en ciberseguridad es débil en España y tenemos que seguir avanzando a nivel de gobernanza. Pero no sólo a nivel español sino también a nivel europeo.

¿Qué podemos hacer para hacer frente a todos estos retos en el mundo de la ciberseguridad?

«Compartir información. No estamos pensando en correos electrónicos sino en automatizar el proceso de compartir información, hacer un proceso de compartimiento en tiempo real para poder tomar decisiones más rápidas. Para materializar eso tenemos tres herramientas: Lucia, TReyes y Carmen«, dijo Luis Jiménez del Centro Criptográfico Nacional

«Hemos lanzado unas normativas, unas guías de productos cualificados, para que fabricantes puedan cualificar sus productos. Hemos empezado este año y la respuesta por fabricantes ha sido tremenda, todos quieren esa cualificación o certificación de sus producto«, concluyó Jiménez.

Por su parte, Rafael Pedrera de CNPIC dijo que «hasta ahora llevamos la coordinación de respuesta de incidentes tanto a infraestructuras públicas como privadas.  Actualmente hacemos una coordinación con el INCIBE Y CNN  automatizada y en tiempo real, mediante la cual los tecnicos pueden tener la información en tiempo real y tomar las decisiones más rápidas. Todo esto se está implementando«.

Marcos Gómez de INCIBE alegó que «el futuro ya está aquí. Todos contamos con capacidades operativas y técnicas y todos creo que nos estamos centrando en el mismo reto, es decir, en compartir toda la información de manera mucho más rápida. Nuestras herramientas están dirigidas al sector privado, todos van a estar cubiertos con buenas herramientas». 

Mar López de DSN dijo que «hay que seguir avanzando a nivel europeo e internacional. Seguir avanzando en la aplicación de la directiva NIS con esos puntos únicos de contacto…etc. Por supuesto avanzar en la Estrategia Nacional de Ciberseguridad la cual debemos de actualizar según la directiva NIS».

¿Qué es la Estrategia Nacional de Ciberseguridad y cuándo verá la luz?

La Estrategia de Ciberseguridad Nacional es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía. Para el logro de sus objetivos, la Estrategia crea una estructura orgánica que se integra en el marco del Sistema de Seguridad Nacional. Esta estructura servirá para articular la acción única del Estado conforme a unos principios compartidos por los actores concernidos y en un marco institucional adecuado.

En cuanto a cuándo verá la luz, Mar López de DSN dijo que «estamos trabajando en ello pero no puedo decirte fecha. Esperemos que sea este año». 

¿Qué rol pueden jugar los actores privados en mejorar este mapa de ciberseguridad?

Marcos Gómez de INCIBE aseguró que «los proveedores de seguridad son fundamentales. Nosotros gran parte del servicio lo ponemos en su mano y confiamos siempre en que sus productos son muy buenos. Creemos que hay que hacer un esquema de confianza en el que el ciudadano sepa que es un sistema más seguro. Creo que hay que seguir trabajando en la parte de detección, es fundamental. Al final el propio afectado no le interesa tanto saber qué ataque ha sido sino que se lo resuelvan muy rápido y pueda seguir con su vida normal».

Por su parte, Luís Jiménez de CCN aclaró que  «en el sector privado hay que diferenciar las grandes empresas de las pequeñas. Las grandes empresas hacen años que se han tomado ya en serio el tema de la ciberseguridad, y esta rama ocupa un puesto importante dentro de la propia organización. A estas empresas les pediría que fueran más transparentes a la hora de compartir información . Hay algunas más transparentes y otras más opacas. Creo que entre ellas deben de confiar más, además de con la administración pública. 

«Las PYMES están muy alejadas de la mano de Dios en términos de ciberseguridad»

Jiménes continuó hablando sobre las pymes de las cuales dijo que «están muy alejadas de la mano de dios en términos de seguridad. Las pymes se ponen a trabajar cuando hay una norma de por medio como puede ser la nueva normativa GDPR. Las pymes tienen que asumir su responsabilizad en el ámbito de la ciberseguridad, una responsabilidad que debe de ser compartida con el Estado ya que también es responsabilidad del Estado velar para que las pymes sean más seguras. Pero realmente debe de existir más compromiso por parte de estas pequeñas y medianas empresas». 

Marcos Gómez de INCIBE continuó diciendo que «las pymes son el grueso empresarial de España. Su dependencia es baja en la actualidad. En los últimos años se ha trabajado la generación de herramientas que están basadas en retos, en gamificación para que obtengan habilidades más rápidamente. Pero la clave está en que siguen siendo reactivos«.

Rafael Pedrera de CNPIC participó en este interesante debate de la mesa institucional y alegró que «sobre el tema de cómo mejorar las capacidades, decir que estamos incidiendo en lo que es compartir información. Nuestro papel es crear ese lazo de confianza con los operadores críticos ya que muchos de los ciberataques más sofisticados van dirigidos a ellos. Si conseguimos que la información de esos ciberataques sean compartidos con todos, todos ganamos«.

¿Qué estamos haciendo para concienciar a los jóvenes sobre los riesgos a nivel de ciberseguridad?

«Reconozco que es una asignatura pendiente»

Mar López  reconoció que «es una asignatura pendiente que llevamos arrastrando desde el año 2013. En la parte educativa, la propuesta que se hizo desde el Consejo era la inclusión en el modelo educativo de la cibersegurdad. Reconozco que es una asignatura pendiente. En la formación para el empleo si se ha avanzado más pero en las fases de educación iniciales no. Una asignatura que tendremos que trasladarla a la nueva estrategia y que es algo de futuro y que tenemos que ir a por ella. Sobre todo para concienciar a los millenials de que todo no vale en el mundo ciber». 

El contrapunto lo dio Marcos Gómez de INCIBE quien aseguró que «un dato positivo que hay que poner dentro de la mesa, es que las empresas están ofreciendo a sus empleados formación corporativa en términos de seguridad y que se lo puedan llevar también a casa y lo puedan practicar con la familia. Quizas todas estas nuevas iniciativas hayan que reforzarlas en la nueva estrategia«.