La segunda jornada del espacio SICUR CYBER que organizan las revistas Seguritecnia y Red Seguridad ha tenido la suerte de contar con la participación de Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN). En una amena ponencia ha explicado al público asistente qué es el Esquema de Seguridad Nacional. Esta edición del año 2024 de SICUR, el Salón Internacional de Seguridad, reconfirma que la ciberseguridad está de plena actualidad.
Seguridad física y ciberseguridad tienen el mismo objetivo: Proteger
Pablo López arranca su ponencia advirtiendo que hoy parece cada vez más extendida la costumbre de separar la seguridad física de la ciberseguridad, cuando de hecho el objetivo de las dos es el mismo: proteger y disuadir las amenazas. Pero señala que la seguridad física es una actividad estática, mientras que la ciberseguridad es dinámica, porque está supeditada a una tecnología en permanente evolución.
«La prevención no es una estrategia nueva, sino que ya se practicaba en el siglo pasado», asegura López. «En los años 2008-2010 se producen los primeros ciberataques graves y parece que cuesta aprender a reaccionar ante las amenazas digitales. A partir de 2017 aparecen los SOC, los centros de operaciones de ciberseguridad, pero previamente las reglas del juego las marcaban las ciberamenazas. ¿Qué voy a hacer para protegerme? El reto es tener en cuenta el contexto para establecer un modelo de gestión. Tengo que saber anticiparme al problema antes de que ocurra».
Para obtener resultados en ciberseguridad, se requiere un framework o marco de trabajo realista
«Mi reto es identificar las tendencias en base al volumen de incidentes», afirma este experto en ciberseguridad. «Puedo dejar que el problema se materialice o anticiparme. Tengo que dimensionar mis recursos, conocerme bien, para saber cómo puedo enfrentarme al problema.» La inquietante idea que lanza López es que hoy día cualquiera puede ejecutar un ciberataque, porque basta con contratarlo.
Un framework no aporta unas directrices a seguir, pero sí marca las pautas. «Como servidor público, dar el mejor servicio posible a los ciudadanos es la mayor satisfacción«, nos asegura. «Trabajar sujeto al Esquema Nacional de Seguridad consiste en identificar todos los días lo que puedes hacer dentro del marco normativo.» La regulación es de obligado cumplimiento, aunque con frecuencia impide hacer lo más eficaz, pero ese cumplimiento tiene que ser factible. «Es más una actuación de estrategia y adaptación al contexto que de imposición».
En ciberseguridad no hay segundas oportunidades
La hoy tan popular resiliencia es un concepto físico de hace mucho tiempo, nos aclara Pablo López. Pero en ciberseguridad no hay segundas oportunidades. Es un trabajo que avanza a base de lecciones aprendidas, humildad y capacidad para aprender de los errores. «En el Centro Criptológico Nacional a veces parece que nos estamos peleando con el mundo actual, pero nuestra labor la hacemos escuchando, no imponiendo. Todo lo que os estoy diciendo quizá tenga un tono evangelizador, pero luego tenemos que hacerlo realidad o aterrizarlo. Dar vida a un Real Decreto no es sencillo, porque en el sector público es fundamental homogeneizar. Nuestro gran objetivo es generar confianza entre la ciudadanía, cosa que se ha logrado durante estos últimos años».
Archivado en:
