En el ámbito de la Administración Electrónica en España, el Esquema Nacional de Seguridad (ENS) es la normativa que establece la política a seguir en la utilización de medios electrónicos. Ante el impulso que está experimentando la digitalización de las empresas, y las necesidades de los organismos a la hora de seguir la normativa, se han llevado a cabo una serie de mejoras en este Esquema.
Sobre ellas, así como sobre el actual panorama de la ciberseguridad nos habla en esta entrevista con Bit Life media Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN-CERT).
Bit Life media (BLm): ¿Cuáles son las necesidades que os han transmitido las organizaciones y que se han tenido en cuenta para incorporar los cambios que contempla el nuevo Esquema Nacional de Seguridad (ENS)?
Pablo López (PL): Fundamentalmente son dificultades, no una necesidad concreta. Les plantamos la adecuación a la normativa, y ellos nos trasladaron las dificultades que tienen para llevarla a cabo por falta de recursos, de nivel madurez, de apoyo de la dirección… Una serie de dificultades que tienen los organismos por su propia idiosincrasia y lo que hacemos es trabajar con ellos para conocer de primera mano cuáles son esas necesidades y tratar de aterrizarlas a algo que les pueda ayudar.
Por ejemplo, cuando hay una falta de procedimientos, lo que hacemos es moderar procedimientos para que luego los hagan suyos. También les damos herramientas, una funcionalidad adaptada a lo que ellos necesitan, y que sea soportable en el tiempo. En función de lo que nos dicen, vemos cómo les podemos ayudar.
BLm: ¿Cuáles serían, a grandes rasgos, las principales mejoras que contempla ahora el ENS?
PL: Entre las grandes mejoras destaca la capacidad de adaptación al medio, ya que ha sido un salto cualitativo. El antiguo Real Decreto decía que, ‘a fuego, tienes que cumplir estas medidas’, pero hoy en día ‘a fuego’ ya no existe nada, tienes que hacerlo en función de una adaptación al medio, adecuación, superficie de exposición de la amenaza, y de ser suficientemente disuasorio.
BLm: En este sentido, ¿considera que hay falta de formación en este campo en España?
PL: Creo que no, lo que hay es que saber transmitirlo y que lo hagan suyo. Es decir, la formación existe, pero hay que introducirla para que al final no lo veas como algo que no va conmigo, sino que es algo que sea tuyo. Ese es . Yo lo conozco, sé que existe el problema, que existen unas herramientas, pero tengo que interiorizarlo para generar una especie de instinto de supervivencia. De esto habla todo el mundo, pero lo que nos hace falta es entrenar.
BLm: ¿Estáis detectando que la escasez de profesionales de la que tanto se habla en el sector de la ciberseguridad está afectando a que estas implementaciones vayan más más deprisa?
PL: Más que escasez se trata de un mercado que está un poco convulso. ¿Realmente hay escasez? Tienes profesionales, están formados, hace falta la búsqueda de talento, pero yo creo que, más que escasez, es convulsión. Ahora se demandan estos profesionales, la oferta es grande y los precios que se pagan también, lo que al final genera una dinámica que quizás no sea más la adecuada. Por lo tanto, más que de escasez, hablaría de dinámica de mercado y el problema es centrar el tiro con los recursos que tenemos y que podemos resolver a medio plazo porque ese cambio cultural se está dando porque ya se empieza a ver el ENS como algo normal que te ayuda a mejorar.
Estamos en ese punto de inflexión, de salto cualitativo y crecer, y creo que se está haciendo.
«El problema es centrar el tiro con los recursos que tenemos y que podemos resolver a medio plazo, porque ese cambio cultural se está dando»
BLm: ¿La clave está, quizás, en la personalización, en el hecho de que cada uno se lo pueda llevar a su terreno?
PL: Más que personalización es interiorización de las cosas. Al final todos nos movemos por lo mismo y, si a lo que te dedicas te motiva, es cuando realmente lo desarrollas.
BLm: En la ponencia que ha realizado en el marco de las XVI Jornadas STIC CCN-CERT y IV Jornadas de Ciberdefensa ESPDEF-CERT, ha comentado que la ciberseguridad ya no es cosa de ingenieros, sino de gestores, ¿en qué sentido?
PL: El mayor problema ahora mismo es tener un hacker ético, es decir, los recursos los tienes, las funcionalidades también, pero el reto es gestionarlo y priorizar: qué hago primero cómo lo hago y, sobre todo, optimizar tus recursos. Hoy en día lo tienes todo, antes necesitaban a alguien muy experto, ahora no. Ahora tienes expertos, tienes talento. Antes hacían faltan tecnologías que no tenías, ahora tienes todas las tecnologías del mundo, por lo que el reto es seleccionar cada una, priorizar y adaptarla a la situación, y eso es gestión.
Con ello no quiero decir que ya no es cosa de ingenieros, porque lógicamente también lo es, pero también hay esa parte de gestión puesto que el incidente ya no es algo local y concreto y tenemos que estar preparados.
BLm: ¿Consideras que Administraciones Públicas y empresas privadas y usuarios están evolucionando en el ámbito de la ciberseguridad a velocidades diferentes?
PL: Creo que no. Todo depende de los recursos que tengamos cada uno. Es verdad que aquí el músculo te lo dan las empresas privadas por lo que, si tú tienes un estado de alerta en la empresa privada, no te quepa la menor duda de que se replicará en la administración. Pero algo importante que tiene que saber la administración es que debe tener criterio para saber qué tiene que pedir para que la empresa privada le dé la respuesta.
Ahora mismo podemos decir que estamos al mismo nivel.
BLm: ¿Y cuál es la situación de la Administración Pública actualmente? ¿Va a tener algún impacto en ella factores como la ciberguerra derivada del conflicto entre Rusia y Ucrania?
PL: Lo que provocan estas situaciones es que se eleva el nivel de alerta. Con estas cosas lo que hacemos muchas veces es crear alarma, y ciberseguridad es todo lo contrario, es generar confianza. Lo que hay que hacer es prestar más atención porque estamos en una situación de crisis, pero no tienes por qué generar más alarma. Eso sí, tienes que saber lo que está pasando y prepararte, que es lo que se está haciendo. Tenemos capacidades para incrementar nuestros niveles de vigilancia y monitorización y estamos más al tanto.
«Lo que hacemos muchas veces es crear alarma, y la ciberseguridad es todo lo contrario: es generar confianza»
BLm: Hoy en día se hace mucho foco en la prevención más que en ser reactivos. ¿Estamos bien posicionados en este sentido en España?
PL: Hay dos maneras de gestionar los problemas: una de ellas es evitarlos y resolverlo. Pero hay gente que se encuentre más cómoda en el ruido, y otros, que yo soy más partidario, es que, una vez que tienes el problema, lo podrás resolver o no, pero lo mismo no lo resuelves y entonces mueres. Soy más partidario de poner orden y evitar el problema.
Hay que dejar de ser reactivos para ser proactivos, pero eso no quiere decir que la prevención sea mejor que la monitorización y respuesta. Tienes que buscar un equilibrio teniendo en cuenta todo el contexto. Y lo estamos haciendo porque el Esquema Nacional de Seguridad contribuye con toda la red nacional de SOCs para intercambiar información. Queda un largo camino por recorrer, pero se están poniendo las bases para intentar no caer en manos de la amenaza.
BLm: Después de las últimas mejoras acometidas, ¿en qué estáis trabajando para seguir avanzando en el Esquema Nacional de Seguridad?
PL: El nuevo ENS se publicó en mayo de 2022, pero realmente hemos trabajando en la redacción del nuevo esquema desde hace un año, y en lo que había que incorporar, desde dos años antes. Trabajamos para que la futura norma diera respuesta a las necesidades durante meses, viendo qué problemas tenían tanto de procedimiento, como a nivel tecnológico, etc., y viendo cómo la norma había que actualizarla para que estas entidades tuvieran una que fuera viable, pragmática y posibilista.
Trabajamos de la mano con las entidades que tienen más dificultades, que son las que te dan luz de cómo las medidas hay que adaptarlas para que esto tenga sentido y con una mejora continua. De esta forma estás en el día a día de lo que siempre hemos estado, en la gestión de incidentes. Pero, por otro lado, también algo que hemos hecho ir a las entidades de la mano. Y lo hacemos con las empresas, fomentando la cooperación público-privada. Tenemos un equipo interno muy bueno, pero también de empresas. Nosotros solos no podríamos haber hecho esto nunca.
