15 febrero 2010

Ciberguerra de andar por casa

Es más que probable que cualquier persona "de a pie" que oiga hablar de "ciberguerra" piense automáticamente en películas de Hollywood (por el momento es un género ausente de los Goya, visto lo visto) y en robots asesinos que quieren acabar con la humanidad, más o menos. La verdad es que los conflictos bélicos a día de hoy se perciben como algo más propio del mundo real que del virtual, y en muchos casos los estereotipos de la ciencia-ficción no hacen más que distorsionar la pequeña percepción que del tema pueda tener el común de los mortales.

En estos entornos, artículos como el que me he encontrado hoy (Ciberguerra: los nuevos conflictos armados), conciso y de carácter más bien generalista, me parecen muy apropiados para ayudar a que todo el mundo pueda llegar a conocer un poco más de cerca temas a los que países como Estados Unidos dan la suficiente importancia como para nombrar a un coordinador nacional de ciberseguridad. En el artículo se definen 4 aspectos básicos sobre los que incidir a nivel social, como son:
  • La ciberguerra es una realidad: Existe, en nuestro mundo, en la actualidad.
  • Las ciberarmas se dirigen a infraestructuras críticas: A través de internet se puede atacar a ordenadores que controlan las infraestructuras de los países (energía, comunicaciones, suministros esenciales, etc.), siendo posible conseguir efectos directos a nivel físico sobre la población.
  • La ciberguerra es indefinida: No sólo los posibles atacantes son difusos, sino que los organismos con responsabilidad para hacer frente a esos ataques tampoco tienen suficientemente definidas sus ámbitos y formas de actuación.
  • El sector privado es el que corre más riesgo: Existe una gran cantidad de posibles objetivos que no son de propiedad estatal, y por tanto los recursos de defensa ante estos posibles ataques son igualmente privados, sin el argumento de "seguridad nacional" para reforzar las inversiones en medidas de protección.

En definitiva, y centrando el foco en el último punto, el artículo viene a recordar no sólo que los ataques electrónicos son reales, sino que los objetivos pueden ser más cercanos de lo que nos imaginamos. Y es precisamente en este ámbito cercano, en el de las empresas con las que lidiamos día a día, en el que se puede perder la perspectiva. Luz, agua, teléfono, gas... ¿De cuántas compañías depende nuestro bienestar diario? Sin necesidad de que los atacantes accedan a los sistemas centrales de estas compañías... ¿Cuándo perjuicio nos puede causar algo tan básico como que un ataque nos dé de baja de todos estos servicios? Y no hace falta que pensemos en ciberguerras entre países, las "ciberdisputas" a nivel doméstico son tan simples como pasar al mundo de Internet las riñas clásicas entre vecinos. ¿Estamos preparados para lidiar nuestras propias ciberguerras de andar por casa? Puede ser un buen momento para ir pensando en ello...

01 febrero 2010

Novedades en el Esquema Nacional de Seguridad

Aunque el Real Decreto 3/2010 ha sido bastante "fiel" al borrador que se había publicado, creo que es importante destacar algunos de los cambios que se han producido en su versión definitiva, y no tanto por su magnitud como por las implicaciones de fondo que se pueden deducir de dichos cambios. Los cambios que a mí más me han llamado la atención son los siguientes:
  • Se ha modificado el artículo 10 casi por completo, de forma que en la redacción definitiva del principio básico relativo a la seguridad como función diferenciada quedan mucho más claras las responsabilidades específicas y los roles en materia de seguridad de la información.
  • Se introducen varias "coletillas" en distintos artículos encaminadas a explicitar la garantía de derechos, tanto de las empresas prestadoras de servicios de seguridad (art. 15) como de las personas (art. 23).
  • Se refuerza el concepto de "mínimos ampliables" que tiene el ENS, tal y como se puede ver en la nueva redacción del artículo 27.
  • Habrá que prestar atención a los movimientos que pueda haber entre los juristas en relación a la redacción definitiva del artículo 30, ya que especifica mucho más claramente que en el borrador la posibilidad de excluir ciertos sistemas de información del alcance del ENS (habiendo excluido ya los sistemas que tratan secretos oficiales). Aunque a mí personalmente me parece una redacción que difícilmente puede dar lugar a "fisuras" en el cumplimiento del ENS, ya conocemos la capacidad de reinterpretación que tienen los abogados...
  • El capítulo relativo a la auditoría de la seguridad tiene algunas modificaciones que amplían y detallan más los requisitos asociados a la misma, dando claras muestras de que este va a ser un elemento de suma importancia en el cumplimiento del ENS.
  • Se ha eliminado el detalle del procedimiento de actualización del ENS que figuraba en el borrador, de modo que se aligera la tramitación de dichas actualizaciones, facilitándose su mantenimiento actualizado.
  • El cambio más significativo, desde mi punto de vista, se ha producido en el capítulo 10. En la versión final del ENS se ha eliminado la obligación de clasificar expresamente la información en base a su nivel de confidencialidad, lo cual me temo que resta bastante enjundia al resultado final. Soy consciente de la gran dificultad real que suponía su cumplimiento, y de que hubiera sido complejo "ponerle el cascabel al gato", pero era una de las obligaciones más valientes y de mayor efectividad que tenían los anteriores borradores, y me da pena que haya sido eliminada de este punto. Es cierto que dicha medida se puede identificar en el Anexo I del ENS, pero su redacción definitiva ha perdido muchos enteros desde el punto de vista de la eficacia que se puede conseguir con ella.
  • La redacción definitiva del ENS referencia como título habilitante la propia Constitución, en lugar de la Ley 11/2007, lo que supone una "elevación" de los argumentos esgrimidos para el cumplimiento del mismo.

Hay algún que otro cambio más en la redacción final, pero estos son los que me han parecido más llamativos. ¿Qué pensais vosotros? ¿Creéis que hay algún otro cambio que merezca la pena destacar?