Desde la óptica de la seguridad, el signo de nuestro tiempo es la preponderancia de la amenaza ciber que impacta sobre los fundamentos de nuestra existencia, construida hoy en torno a la digitalización. Nada tiene de extraño que la ciberseguridad sea el centro de la atención y los esfuerzos por mejorarla monopolicen nuestra energía.
En este momento histórico se está procediendo a la transposición de las directivas CER y NIS 2, que imponen una fuerte armonización en su aplicación; pero cabe preguntarse si lo que hay que armonizar es la concepción de la seguridad misma en su vertiente más colaborativa, tratando de alcanzar esa seguridad 360 grados que algunos venimos reclamando varias décadas.
Es evidente que Europa, en vista de los limitados avances comunes logrados con las directivas PIC y NIS, ha querido incrementar el nivel de seguridad de la Unión. Pero en España nuestras infraestructuras críticas ya gozan de un alto nivel de seguridad y el Sistema PIC es un referente en Europa. Ciertamente hay que avanzar en ciberseguridad, pero manteniendo una perfecta armonización entre las normas de transposición para asegurar la resiliencia de todas las entidades de interés. ¿Y qué mejor armonización que una ley única para ambas?
La seguridad requiere una visión amplia y debe ser construida sobre unos principios básicos, como el rigor y la vocación de servicio al interés general. A partir de ahí, la respuesta a las necesidades de protección se articulará en cada momento con la capacidad de adaptación que requieran las circunstancias, disponiendo los recursos en función de los riesgos y mejorando las capacidades técnicas y humanas para ofrecer las mejores soluciones. La compartimentación en silos de la respuesta es un error estratégico.
Suma de fuerzas
En definitiva, la suma de este conjunto de esfuerzos es el eje en torno al que gira la seguridad 360 grados. La diversidad de amenazas requiere una fuerte especialización de quienes han de hacerles frente, pero sus interdependencias son tan grandes y los límites funcionales tan difusos, que solo pueden aspirar al éxito si actúan coordinadamente.
Existe una corriente de opinión donde la ciberseguridad ocupa hoy todo el espectro de la seguridad, dado que por el ciberespacio corren las principales amenazas, de forma que simplemente protegiéndonos frente a las ciberamenazas podremos alcanzar los niveles de seguridad requeridos por la sociedad moderna. Pero, francamente, me parece un exceso seguir manteniendo una dicotomía entre seguridad física y ciberseguridad.
Esta dicotomía conduce a situaciones como que nadie se haya ocupado de la ciberseguridad de los millones de elementos de seguridad electrónica conectados (cámaras, detectores, controles de accesos…) ni de la amenaza que supone para la ciberseguridad las tareas de mantenimiento de estos dispositivos sin ninguna medida de ciberseguridad. Y es que la ciberseguridad es mucho más que una norma o un conjunto de normas en torno a ciertas habilidades tecnológicas. Es una actitud de permanente atención a cerrar brechas en la protección de aquello que consideramos fundamental. Es un gran avance que el Foro Nacional de Ciberseguridad esté abordando un proyecto en esta dirección: una guía para una seguridad física cibersegura.
Necesitamos un gran ejército que se afane en sostener este escudo porque, aunque los enemigos son variados en su procedencia y en sus métodos, se unen en la intención de causar daño. Así pues, no importa cuál sea el vector de ataque, este ejército debe actuar sumando sus esfuerzos. Como decía Concepción Arenal, “las fuerzas que se asocian para el bien no se suman, se multiplican”.
