La colaboración público-privada y la regulación se presentan como claves para afrontar los riesgos actuales y futuros que plantea el ciberespacio, como han destacado expertos del sector público y del privado en el marco de colaboración entre Estados Unidos y Europa en materia de ciberseguridad.
El ciberespacio se puede definir como ese «espacio común, global y transversal» del que dependemos todos, que suscita preocupación por igual en el mundo de las empresas y de la Administración pública, debido a su débil jurisdicción y al impacto que tienen las vulnerabilidades, con especial incidencia en las infraestructuras críticas.
En este contexto, «la cooperación internacional debe ser un estímulo» para optimizar esta regulación, como ha subrayado el teniente general retirado, antiguo director del Centro Superior de Estudios de la Defensa Nacional y actual asesor de presidencia en GAM, Francisco Bisbal, en la mesa redonda que ha moderado sobre la alianza entre Estados Unidos y Europa en Ciberseguridad.
Este encuentro, que se enmarca en la 2ª edición del evento 'Global Trends', organizado por la Cámara de Comercio de Estados Unidos en España (AmChamSpain) y Europa Press, ha contado con la participación de representantes de empresas de origen estadounidense y de la Administración española, que han destacado la complejidad de regular el ciberespacio pero también los casos éxito.
El vicepresidente SEUR & Emerging en Palo Alto Networks, Jordi Botifoll, ha comenzado apuntando que el cibercrimen en un fenómeno global que requiere que cualquier tipo de colaboración en ciberseguridad deba ser también global.
"El cibercrimen hoy crea pérdidas de alrededor de 8 trillones de dólares en el mundo, y el negocio que genera es una toda industria de 3 trillones«, ha contextualizado el directivo, que ha incidido en la necesidad de establecer una colaboración porque el mercado de los vendedores de ciberseguridad, donde se estima que hay 4.500, »está muy fragmentado", algo que debilita el entorno y utiliza a su favor el cibercrimen.
El director general de EMEA ISV en AWS, Miguel Álava, ha apuntado casos de éxito en la regulación del ciberespacio, como son el Reglamento General de Protección de Datos, la Ley de Mercados Digitales, la Ley de Servicios Digitales e incluso la ley de Inteligencia Artificial, por la parte de la Unión Europea.
"Ahora estamos en un punto en el que tenemos que hacer 'cambio de pantalla'. Tenemos que aplicar todas estas regulaciones que tenemos en los diferentes Estados miembros y empeñarnos en crear un marco de innovación y competitividad", ha añadido Álava.
Respecto a la relación con Estados Unidos, el directivo de AWS ha apuntado que la UE ha extendido «lazos muy estrechos», como se aprecia en el reciente acuerdo para la transferencia libre de datos entre Estados Unidos y Europa, y que ambas partes comparten «el peligro que representan Estados y países que no son democráticos y que no respetan las libertades individuales».
En esta colaboración transatlántica se ha destacado también la colaboración público-privada. Al respecto, el subdirector general del Centro Criptológico Nacional (CCN), Luis Jiménez, ha indicado que "hoy en día no se entiende que la Administración vaya por un lado y el sector privado vaya por otro", y un aspecto importante de esta colaboración es la regulación.
Jiménez explica que la regulación se trabaja en el CCN en dos niveles: uno de norma, que constituye todo lo que son las directivas, las leyes, los reales decretos, y que «debe ser liderado por la Administración y responsabilidad de la Administración»; y otro de estándar, enfocado en el detalle técnico de las soluciones, de cómo organizar y cómo son las arquitecturas de seguridad, «la voz cantante la tiene que llevar la empresa», en este nivel, la Administración tiene que adoptar un papel de observador o indicador de recomendaciones, porque "los estándares tienen que salir de la industria".
El director general de Cisco, Andreu Vilamitjana, ha coincidido en que «la ciberseguridad nos incumbe a todos» y por ello, la colaboración público-privada «es fundamental». Desde su perspectiva, ha destacado los planes que están viendo en todas las entidades para dotar a las empresas y ciudadanos de herramientas que garanticen la ciberseguridad, así como la coincidencia de intereses, que atraen inversiones, y la necesidad de proteger las infraestructuras críticas, como son las redes de agua, de gas y electricidad.
Vilamitjana también se ha referido a la generación de talento, y en concreto, a la visión de que las Fuerzas Armadas contribuyan a cubrir los 124.000 puestos cualificados en Ciberseguridad y Tecnologías de la Información que faltan en España, porque, considera que «posiblemente son los únicos que tienen esta capacidad logística».
Los retos de futuro
El directivo de Palo Alto Networks también ha apuntado los aspectos de innovación que tiene la carrera entre el cibercrimen y la ciberseguridad. Uno de ellos es la inteligencia artificial (IA), que ya utilizan los cibercriminales, y que también se ha incorporado en el lado de la defensa.
Para compartir una imagen de la dimensión y el reto que implica, Botifoll ha apuntado que solo los sistemas autónomos de Palo Alto Networks evitan 8,7 billones de ataques diarios a nivel mundial y el Centro de Operaciones Interno gestiona más de medio trillón de eventos de seguridad al mes.
Se trata de "predecir los ciberataques antes de que se produzcan y de ser capaces de observar lo que está pasando en las redes mediante la introducción de esa inteligencia artificial«, ha señalado el directivo de Cisco, que también ha hablado sobre el 6G -otra tecnología de futuro-, de la que cosidera debe nacer como »red nativamente protegida«, »porque todo lo que está en red tiene que estar protegido".
El directivo de AWS, por su parte, ha subrayado la oportunidad que presenta la IA en España, cuyo potencial se estima en un impacto de 55.00 millones sobre la economía nacional en la década digital de la Unión Europea. Por ello, considera que una regulación «tan amplia como sea posible», democratizar esta tecnología y atender a la brecha en habilidades y conocimientos, son los puntos clave que permitirán desbloquear ese potencial.
El subdirector general del CCN, ha matizado que "la seguridad absoluta no existe«. »No podemos garantizar su seguridad [de la tecnología]; podemos garantizar un nivel de confianza en función del esfuerzo que dedicamos a ver si la tecnología tiene vulnerabilidades", en referencia al esquema de certificación de los servicios en la nube en el que se trabaja en este organismo.
Y ha destacado una serie de principios «que han ido madurando a lo largo de los últimos años», como son el mínimo privilegio, el modo autoprotegido y la confianza cero en relación con la tecnología que rodea a un sistema o que está dentro de un sistema, para diseñar una serie de requisitos en diferentes capas o en diferentes niveles.