Por Félix Arteaga, investigador principal de seguridad y defensa del Real Instituto Elcano.
La ciberseguridad entró en las agendas públicas y privadas con el nuevo Siglo de la mano de la globalización, a medida que la economía y los servicios se instalaban en el ciberespacio. A diferencia de otras políticas públicas o empresariales, la ciberseguridad carecía de un marco de conocimiento preexistente y los responsables políticos, empresariales y de la Administración han tenido que improvisar su asimilación mediante procesos de experimentación, acierto y error, y copia de las mejores prácticas conocidas.
Las estrategias de ciberseguridad responden a la preocupación inicial de los gobiernos por prevenir los riesgos que planteaba el nuevo dominio tecnológico. A partir de 2000 se prodigaron las estrategias de ciberseguridad y, desde entonces, casi todos los países avanzados disponen de una. Su estructura es similar y contienen, entre otros, una evaluación de riesgos, los centros de detección de incidentes y los procedimientos de comunicación de los mismos, los instrumentos de cooperación internacional y público-privados, así como los planes de protección, contingencia, ejercicios y fomento de la cultura de seguridad. Las estrategias más maduras atienden los aspectos presupuestarios, los tecnológicos de investigación y desarrollo, los recursos de formación y talento que se precisan y la necesaria protección de la privacidad.
España aprobó su Estrategia de Ciberseguridad Nacional en 2013, entrando en un club que ya tenía en Europa 15 miembros. Cumple con casi todos los requisitos de madurez fundamentales salvo la disponibilidad presupuestaria, ya que no se habilitan partidas específicas para atenderla. Tampoco contempla el establecimiento de un sistema de gobernanza autónomo, sino uno provisional basado en la coordinación de todos los principales agentes de la Administración. La madurez de la Estrategia española aparece bien evaluada por metodologías de análisis como la del Cyber Readiness Index del Potomac Institute que valora las estrategias y su forma de abordar la respuesta a los incidentes y crisis, los ciberdelitos, el intercambio de información, el comercio y la cooperación internacional y la investigación y el desarrollo. Desde el punto de vista interno, los Informes anuales de Seguridad Nacional de 2014 y 2015 describen los avances del Plan de desarrollo en los capítulos dedicados a la seguridad digital: protección de infraestructuras y servicios críticos, lucha contra la delincuencia cibernética y protección de los derechos fundamentales incluida la protección de datos.
En todo caso, la Estrategia ha cumplido sus objetivos básicos de advertir y prevenir los riesgos asociados al ciberespacio. España dispone ya de un entramado de normas, procedimientos y sistemas de respuesta homologables a los de nuestro entorno en proceso de consolidación y ampliación. También cuenta desde 2015 con nueve planes derivados para el desarrollo de la ciberseguridad en diversos ámbitos. Desde la perspectiva de riesgo se están afrontando razonablemente la seguridad de la información, el análisis de riesgos, la defensa y explotación o la resiliencia. Dispone de varios Centros de Respuesta ante Incidencias Informáticas (CERT) nacionales y autonómicos, incluido el Centro Criptológico Nacional, un Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, una Dirección General de Tecnologías de la Información y Comunicación de la Administración General del Estado o una Oficina de Coordinación Cibernética en el Centro Nacional de Protección de Infraestructuras Críticas.
Sin embargo, y una vez pasada la fase inicial del aprendizaje, la reflexión sobre la seguridad se orienta a complementar el enfoque de riesgos que primaba en las estrategias (seguridad digital) con otro donde primen las oportunidades (economía digital). La seguridad digital es un instrumento para llevar al fin de la sociedad digital y tanto el instrumento como el fin van acompañados de oportunidades de negocio que no estaban incluidas en las estrategias de ciberseguridad. La sociedad digital permite el florecimiento de un mercado que crece a ritmo de dos dígitos en los últimos años. Se estima que el mercado mundial de la economía digital va a pasar de los 68.000 millones de dólares en 2013 a los 120.000 en 2020, una fecha en la que estarán interconectados 6.000 millones de usuarios y 25.000 millones de máquinas. De este mercado se benefician tanto las empresas ligadas a las tecnologías de información y comunicaciones como a las que las utilizan para distribuir sus productos (contenidos) digitales de información, entretenimiento o cultura.
Según Forbes, con datos de Gartner, el gasto mundial en el subsector de la seguridad digital alcanzó en 2015 los 75.000 millones de dólares y se podría duplicar en 2020 creciendo a casi el 10% anual. De ellos, casi una tercera parte correspondería a la cuota europea de mercado: unos 20.000 millones de euros que crece al 8% anual, lo que abre una ventana de oportunidad al mercado europeo de ciberseguridad digital a repartir entre los sectores de análisis, inteligencia, móviles y la nube. El problema es si de esa ventana se aprovechará la industria europea y española, o continuaremos siendo consumidores de seguridad y clientes de quienes han visto una oportunidad en el mercado. En ese sentido, la Comisión, en su Estrategia Europea de Ciberseguridad, estima que la consecución del mercado digital único aportaría unos 500 billones de euros anuales al PIB europeo en 2020, unos 1.000 euros por ciudadano, y un 4% de incremento del PIB. También estima que los principales suministradores TIC se encuentran fuera de la UE y corre el riesgo de que su ciberseguridad dependa de ellos, por lo que no queda otra que acelerar el mercado único o la estandarización entre otros incentivos.
Las políticas siguen a las estrategias y, por lo tanto, unas estrategias centradas en los aspectos de riesgo conducen, necesariamente a unas políticas de seguridad digital, exclusivamente centrada en los aspectos negativos. Las políticas actuales de ciberseguridad derivadas de las estrategias vigentes han dotado a las sociedades avanzadas, en mayor o menor medida, de estructuras de gestión (dirección, sistema, control, comunicación), instrumentos (tecnológicos, humanos, presupuestarios, normativos) y procesos (diseño, ejecución, evaluación y revisión de planes y estrategias). Pero no han atendido de la misma forma a los aspectos de oportunidad, en la medida que raramente contemplan las líneas de acción que llevan a aprovecharlas. Sólo países con tradición estratégica como el Reino Unido o Francia han desarrollado sus programas nacionales de ciberseguridad con un enfoque más amplio de riesgos y oportunidades que incluye partidas presupuestarias destinadas a apoyar la industria, la investigación y desarrollo, la capacitación de sus recursos humanos, la implantación de centros de excelencia y la diplomacia comercial para fomentar la exportación.
Más allá de favorecer la competitividad de sus industrias en el mercado mundial, lo que las políticas tratan es de potenciar la reputación digital de un país que favorezca la confianza de sus sociedades en la economía digital. Según el Índice de la Economía y la Sociedad Digitales (DESI en sus siglas inglesas) que elabora la Comisión Europea; España todavía se encuentra por debajo de la media europea y ocupa el puesto número 15 entre los 28 Estados miembros de la UE en 2016. Mientras unos indicadores como los de la conectividad o la integración de la tecnología digital se mantienen en la media europea e, incluso, otros indicadores como los de progresos en los servicios públicos digitales o el capital humano progresan por encima de ella, persiste el retraso en el uso de internet (aunque uno de los objetivos de la Agenda Digital de 2013 era el de aumentar la alfabetización digital, solo el 45 % de las personas de entre 16 y 74 años de edad tienen competencias digitales básicas).
Por eso las políticas de ciberseguridad deberán atender tanto a los aspectos de seguridad como los de economía digital. Las políticas precisan desarrollar un ecosistema donde la demanda y la oferta no se afronten exclusivamente desde la perspectiva de riesgo. El ciberespacio presenta la oportunidad de mantener o crear tejidos industrial innovadores, empleos de calidad y capacitación tecnológica. España dispone de una base industrial
competitiva. Según el Informe anual del sector TIC y de los Contenidos (TICC) en España de 2015 del Observatorio Nacional de las Telecomunicaciones y la Sociedad de la Información (ONTSI), en 2014 la facturación TICC rozó los 90.000 millones de euros, 427.348 empleos y 30.797 empresas que aporta el 4,4% del Producto Interior Bruto del país. (42.779 millones de euros). Según otro estudio del mismo ONTSI sobre la Caracterización del Subsector y el Mercado de la Ciberseguridad 2015, la oferta de la ciberseguridad contaba en 2014 con 533 empresas, daba a 5.808 personas y facturaba 598,2 millones de euros con una inversión de 79 millones (la oferta se concentra en un 15% de las 533 que factura el 50%) y prevé un incremento del gasto en torno al 11% para los próximos cinco años.
Los dividendos de la seguridad digital no serán de utilidad si no sirven para potenciar la economía digital. Por la misma razón, las estrategias de ciberseguridad deberían reconducirse a políticas más amplias que articulen políticas públicas de seguridad y economía digital. Nuevamente, esa articulación transversal precisa un modelo de gobernanza interministerial que no pueden satisfacerse desde la dispersión actual de culturas y enfoques de ciberseguridad que existen en los departamentos de Industria, Comercio, Interior, Defensa e Inteligencia, entre otros. Llega el momento de apoyarse en los avances realizados con las ciberestrategias para ganar el futuro de las ciberpolíticas.
[box bg=»#» color=»#» border=»#» radius=»0″]Sobre el autor: Félix Arteaga es investigador principal del Real Instituto Elcano y profesor del Instituto Universitario General Gutiérrez Mellado de la Universidad Nacional de Educación a Distancia (UNED). Doctor en Relaciones Internacionales y licenciado en Ciencias Políticas por la Universidad Complutense de Madrid. Licenciado en Derecho por la UNED, Oficial de la Escala Superior de las Fuerzas Armadas (reserva) y diplomado en Gestión de la Seguridad Nacional por la National Defense University de Washington.
Ha sido profesor asociado de la Universidad Carlos III de Madrid e impartido clases de postgrado en las universidades Autónoma y Complutense de Madrid. Ha sido investigador principal del Instituto de Cuestiones Internacionales y de los institutos Duque de Ahumada y de Seguridad Interior de la Guardia Civil. Becario de la OTAN, la UEO y FPI del Ministerio de Educación.
Entre 1999 y 2001 fue director del Programa de Reforma del Sector de la Seguridad de la Comisión Europea en Paraguay. Áreas de investigación: incluyen distintos aspectos de la seguridad y la defensa internacional. En los últimos años ha investigado en política de defensa, seguridad internacional, seguridad europea, seguridad nacional, misiones internacionales y gestión internacional de crisis.
Su investigación actual se orienta a evaluar el impacto de la globalización sobre las cuestiones anteriores, los cambios en la cultura estratégica de líderes y opiniones públicas y la adaptación de las políticas de seguridad y defensa ante los nuevos retos para la gobernanza y estabilidad de las sociedades avanzadas. Las conclusiones de sus investigaciones pueden encontrarse en la web del Real Instituto Elcano
Publicaciones destacadas: La Defensa que viene. Criterios para la reestructuración de la Defensa en España (Elcano Policy Paper 3/2013), El planeamiento estratégico de seguridad y defensa en España (co-autor E. Fojón, IUGGM, Madrid, 2006), Guía de investigación sobre paz, seguridad y defensa (compilador, IUGGM, Madrid, 2006) y La identidad europea de seguridad y defensa (Biblioteca Nueva, Madrid, 1999). [/box]