Seguritecnia 399

SEGURITECNIA Julio - Agosto 2013 55 Colaboran constantemente lanzamos al Gobierno, que es la ciberseguridad”, manifestó. Cuatro amenazas esenciales Son cuatro las amenazas esenciales que destaca el CCN. La primera, el ciberespio- naje. “Ya está en el ámbito público y, de hecho, se están dando reuniones bilate- rales entre Estados Unidos y China -ase- guró el especialista-. Y por la facilidad del ataque, por lo sigiloso y por la dificultad de atribución de dichos ataques, las em- presas que manejan propiedad intelec- tual se convierten en interés constante de ataque”. Candau matizó que, entre es- tas compañías no solo están los opera- dores de infraestructuras críticas y las ad- ministraciones públicas, sino también las organizaciones y empresas que el CNI considera estratégicas. El ciberespionaje se lleva a cabo, entre otras técnicas, por medio de amenazas persistentes avanzadas ( Advanced Per- sistent Threat -APT-), que el CCN-CNI considera tienen un nivel de peligrosi- dad muy alto o crítico. Candau recono- ció que son reiteradas y que estos ata- ques han aumentado en las adminis- traciones públicas durante este año: “En 2011 tuvimos 93; en 2012, 223; y en 2013, vamos por 450 (a fecha de 5 de junio)”. Las otras tres amenazas que des- taca este organismo son: el ciberdelito y el cibercrimen, los ataques de grupos hacktivistas, tipo Anonymous o subsidi- arios; y el ciberterrorismo como ataque a infraestructuras críticas. Otro aspecto que preocupa es la es- tructura de seguridad dentro de la Ad- ministración y dentro de las empresas que, en ocasiones, es “bastante escasa”, tal y como afirma Candau: “Se sigue disociando seguridad lógica y segu- ridad física; al final, los recursos están divididos y no se hace bien una ges- críticas y servicios esenciales- que co- rresponden a tres de los doce objetivos y líneas de acción estratégicas: ciberse- guridad, contrainteligencia y protección de las infraestrcutras críticas. Recoge, por tanto, todas las líneas que cubrirá el borrador de la EECS”. Recursos, ejecución y liderazgo Si bien para Candau, el marco estra- tégico es importante, sin duda la llave está en “cómo se ejecuta y cómo se efectúa” esta línea de acción: “Lo impor- tante es el impulso, los recursos y quién lo va a liderar”. Por su parte, Antonio Alcolea, vocal asesor en la SETSI, defendió que el obje- tivo del Ministerio de Industria es “con- tribuir desde la perspectiva de la socie- dad civil a la ESN” y, sobre todo, desde “una estrategia que pueda reforzar la colaboración público-privada”. Este ex- perto apuntó hacia el mismo sentido que López Gil: “El borrador de la EECS sí necesita una revisión para que haya un alineamiento adecuado y que también esté acorde con el mercado. Un mo- delo de Gobernanza común, que debe marcar el CSN”. Y añadió que, mientras se espera dicho replanteamiento, en el Ministerio de Industria “se está avan- zando en el desarrollo de la Agenda Di- gital, porque la sociedad y la industria demandan respuestas”. Con el fin de plasmar el panorama que presentan los nuevos riesgos a em- presas, organismos, ciudadanos y Esta- dos, el impacto económico que supo- nen y el grado de preocupación por la ciberseguridad, Javier Candau extrajo algunos de los datos más relevantes del estudio «Ciberamenazas 2012 y Tenden- cias 2013», elaborado por el CCN-CERT y publicado en el mes de junio. “Este in- forme constata una preocupación que Representantes del CSN Con este nuevo escenario en el que se plantea la Seguridad del país de manera Global, el Seg 2 no podía dejar pasar la oportunidad de invitar a algunos de los actores más implicados en el desarrollo -y en el liderazgo- de estas estrategias nacionales de seguridad y ciberseguri- dad. Así pues, tres de los organismos re- presentados en el Consejo de Seguri- dad Nacional (CSN), como son Departa- mento de Seguridad Nacional (DSN) de Presidencia de Gobierno, Centro Crip- tológico Nacional (CCN) del Centro Na- cional de Inteligencia (CNI) y Secreta- ría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) del Ministerio de Industria, Ener- gía y Turismo, debatieron seria y pro- fundamente sobre estas directrices, res- pondiendo a candentes cuestiones que lanzó el moderador Miguel Rego, direc- tor de ERS-IT de Deloitte. Para María del Mar López Gil, jefa del Área de Ciberseguridad del DSN, “la de- cisión de aprobación de una Estrate- gia Nacional de Ciberseguridad -de la que existe un borrador desde agosto/ octubre [el primero que se difundió de la Estrategia Española de Ciberseguri- dad (EECS) data de abril de 2012]- ahora tiene que darse dentro del nuevo Con- sejo de Seguridad Nacional (CSN), y tras aparecer otros documentos como la nueva ESN, habrá que reajustarlo y ver cómo se lleva a cabo”. López Gil explicó que el DSN susti- tuyó en julio de 2012 al antiguo De- partamento de Infraestructura y Segui- miento para Situaciones de Crisis (DISC), del que hereda el personal, presupuesto y sede física (el búnker construido en el subsuelo del complejo de La Moncloa). Tal y como recordó Rego, en ese bo- rrador de la EECS, tanto el CCN-CNI como el Ministerio de Industria han par- ticipado y han estado muy implicados. Así pues, Javier Candau, jefe del Área de Ciberseguridad del CCN-CNI, co- mentó de qué manera está relacionada la ESN con lo que podría ser la EECS: “En la ESN se recogen tres amenazas fun- damentales -ciberamenazas, espionaje y vulnerabilidad de las infraestructuras María del Mar López Gil: “La decisión de aprobación de una Estrategia Nacional de Ciberseguridad ahora tiene que darse dentro del nuevo CSN”