Cultura de ciberseguridad

El pasado mes de diciembre se celebraron las XIII Jornadas STIC CCN-CERT organizadas por el Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN) siendo hoy en día uno de los eventos de referencia nacional –sino el mayor– en cuestiones de ciberseguridad. Bajo el lema “Comunidad y confianza. Bases de nuestra Ciberseguridad”, estas jornadas contaron con la asistencia de más de 3.300 personas, la intervención de más de 130 ponentes –entre ponencias, debates o talleres– y la participación de las principales empresas –tanto públicas como privadas– del sector –desde el Instituto Nacional de Ciberseguridad (INCIBE), Telefónica, Microsoft, Symantec, McAfee, ESET, Deloitte, o el BBVA, entre muchas otras–. En relación al ámbito específico de la seguridad y de la defensa, hay que destacar la participación de la Guardia Civil –en relación a los delitos telemáticos–, pero sobre todo la participación del Mando Conjunto de Ciberdefensa. Este órgano, responsable del planteamiento y ejecución de las actividades relacionadas con la defensa de las redes y sistemas de información y telecomunicaciones del Ministerio de Defensa, así como de otras que pudieran encomendarles, tuvo su presencia en paneles dedicados de forma exclusiva a las operaciones militares en el ciberespacio.

Inauguradas por la entonces ministra de Defensa en funciones, Margarita Robles, el director del Departamento de Seguridad Nacional, Miguel Ángel Ballesteros, o la directora general del INCIBE, Rosa Díaz, estas jornadas tenían como objetivo “contribuir a la consolidación de la cultura de ciberseguridad en nuestro país, promoviendo el intercambio de información entre todos los agentes implicados y difundiendo el conocimiento de los expertos en estas materia”.

Sin duda, uno de los temas recurrentes en los últimos años en este tipo de jornadas, en declaraciones políticas o en revistas especializadas es la idea de fomentar y promover una cultura de ciberseguridad en el entorno digitalcultura de ciberseguridad, aunque raramente encontramos una explicación sobre qué es o en qué consiste. ¿En tener conocimientos en seguridad de la información? ¿Conocimientos, aunque sean básicos, de informática? ¿Nociones básicas de seguridad en Internet?

Una de las pocas definiciones en relación a esta idea la expone ENISA –la Agencia Europea de Ciberseguridad– en su informe Cyber Security Culture in organisations que define la cultura de ciberseguridad como “los conocimientos, opiniones, percepciones, actitudes, normas y valores de las personas en relación a la ciberseguridad y cómo se manifiestan en el comportamiento de las personas con las tecnologías de la información”. Si bien es una definición que nos aproxima a este concepto, el mismo documento presenta también una de las limitaciones frecuentes de la cultura de ciberseguridad: tanto el informe como la definición están pensados y dirigidos exclusivamente a la ciberseguridad de la organizaciones y al papel que los directivos, los directores de seguridad de la información, los recursos humanos, el área de marketing o comunicaciones internas tienen en las empresas en relación a las cuestiones de ciberseguridad.

El conjunto de informes y recomendaciones sobre seguridad digital coinciden en que solo es posible crear una estructura de ciberseguridad si todos los actores implicados –administraciones públicas, empresa, sociedad civil, universidades, etc.– son conscientes de los retos digitales que afrontan nuestras sociedades contemporáneas. Pero todavía hoy, gran parte de las recomendaciones, jornadas, y buenas prácticas se centran, principalmente, en el sector privado y profesionales de la materia. Para evitar malos entendidos, esta afirmación no posee ninguna connotación negativa, al contrario. La empresa privada no solo ha sido, es y será esencial en el desarrollo y protección de las infraestructuras digitales, siendo la cooperación público-privada un elemento central de la transformación digital. Pero como país debemos ser ambiciosos y dar un paso –o dos– adelante y llegar a la parte de la cadena más frágil de la transformación digital: el usuario.

La cultura de ciberseguridad recuerda en buena medida a la idea recurrente de ‘cultura de seguridad y defensa’ o ‘cultura defensa’, que precisamente se ha tratado en este foro. En un artículo anterior, el profesor Fernando Flores planteaba cuáles eran las acciones que se estaban realizando para aproximar las cuestiones de Seguridad Nacional a la ciudadanía y quién era el encargado de realizarlas, más allá de la repetición en los discursos oficiales de la necesidad de fomentar la cultura de defensa. Pues bien, estos mismos interrogantes deberíamos replantearlos a través del prisma de la ciberseguridad: ¿qué se está haciendo para que la sociedad civil –es decir, el usuario– conozca, comprenda y en consecuencia valore y adquiera juicio sobre la ciberseguridad? ¿Quién debería llevar a cabo esta labor?

En los últimos años se están destinando importantes recursos para concienciar a los usuarios sobre un uso responsable de Internet y de los dispositivos inteligentes. En este sentido, encontramos la publicación de documentos relacionados con buenas prácticas y recomendaciones que nos advierten de los peligros de la Red a la vez que nos aconsejan pequeños gestos que nos ayudan a estar menos expuestos a estos riesgos, como pueden ser cambiar de forma periódica las contraseñas, no abrir vínculos de los cuáles desconocemos su origen o mantener actualizado el software de nuestros dispositivos. Sin duda, el INCIBE es el organismo de referencia que impulsa el uso seguro del entorno digital en España a través de cursos relacionados con la ciberseguridad, de convenios con universidades o la publicación de una gran cantidad de material –desde documentos técnicos a otros enfocados principalmente a la sociedad civil–. Pero en este punto lo que nos deberíamos preguntar es qué porcentaje de población no vinculada con el sector de la seguridad digital tan siquiera conoce este organismo. Si estos documentos o campañas de concienciación tan sólo abarcan una proporción reducida de la ciudadanía, algo estamos haciendo mal.

Por otro lado, tal y cómo se ha expuesto anteriormente, la empresa privada y determinados organismos públicos son quiénes tienen la iniciativa en cuestiones de ciberseguridad. Pero si realmente se pretende fomentar y potenciar la cultura de ciberseguridad, ésta debe superar el ámbito de las empresas tecnológicas y de un sector de las administraciones públicas y divulgarse al conjunto de la ciudadanía. Por mucha inversión tecnológica que se haga en asegurar las redes y sistemas, por muchos documentos que se publiquen y por muchos eventos que se realicen, si éstos no tienen repercusión en la sociedad civil, tan sólo representan una retroalimentación dentro del mismo sector.

Debido a la enorme conectividad y dependencia actual del entorno digital todos los sectores de la sociedad necesitamos conocer y valorar –dentro de unos niveles adecuados de comprensión– el estado actual del desarrollo tecnológico y comprender las repercusiones que tiene nuestro comportamiento en Internet. Cultura de ciberseguridad es conocer los peligros que pueden implicar subir nuestra vida, minuto a minuto, a las redes sociales; es exigir que los operaciones de telecomunicaciones garanticen la privacidad de nuestros datos; es educar en el uso responsable de los dispositivos inteligentes desde niños y que no sea tan sólo una herramienta utilizada por los padres para que sus hijos no molesten; es enseñar que no todo vale para conseguir un like; es valorar los niveles de seguridad de nuestro smartphone por encima de la calidad de la cámara…

No debemos caer en la repetición de que hay que fomentar la cultura de ciberseguridad sin antes dotarla de contenido. La educación y cultura de ciberseguridad deberían ser un objetivo prioritario en una sociedad que todavía no ha comprendido el cambio que ha comportado la revolución digital.