¿Qué necesita España para estar en el top de la ciberseguridad?

Con un proceso de digitalización acelerado por la pandemia, la ciberseguridad ha cobrado más relevancia que nunca, sin ciberseguridad nuestras estructuras organizativas, productivas o sociales estaban listas para ser explotadas por los cibercriminales.

En este contexto, la pregunta que muchos se harán es: ¿cómo de preparado está España respecto a otros países en materia de ciberseguridad?

Clasificación de la ITU

Según el Índice Global de Ciberseguridad que elabora la Unión Internacional de las Telecomunicaciones (ITU, por sus siglas en inglés) España se encuentra en el 7º puesto del ranking mundial en compromiso con la ciberseguridad.

Según el último informe publicado en 2018, España se situaba solo por detrás de Reino Unido, Estados Unidos, Francia, Lituania, Estonia y Singapur. Una posición ciertamente privilegiada, aunque no exenta de puntos de posibles mejoras.

¿Cómo se juzga el estado de la ciberseguridad de un país?

Desde All4Sec han querido mostrar cuáles son los distintos parámetros que se utilizan para elaborar este ranking de la ITU. Es lo que se conoce como el Índice Global de Ciberseguridad, es el resultado de la combinación de 25 indicadores que determinan el compromiso con la ciberseguridad del país a través de los cinco pilares básicos:

•    Capacidad Legal. Este apartado mide la existencia de estructuras e instituciones legales que cubran la ciberseguridad y el cibercrimen de un país. Entre los aspectos evaluados se encuentra el estado de la legislación sobre el delito cibernético, la regulación sobre ciberseguridad o la legislación de protección contra el problema del spam.

•    Capacidad Técnica. En este punto se incluye la existencia de instituciones técnicas e infraestructuras que afrontan los problemas ciberseguridad. Los parámetros evaluados tienen en cuenta el número y organización de CERT/CIRT/CSIRT, el marco de aplicación de las normas de seguridad cibernética para las organizaciones, los estándares de evaluación, los mecanismos y capacidades técnicas desplegadas para hacer frente al spam, el uso de la nube para fines de ciberseguridad o los mecanismos utilizados para la ciber-protección para los menores.

•    Capacidad Organizacional. Este parámetro evalúa la existencia de una estrategia nacional de ciberseguridad, una agencia responsable de implementar esa estrategia y las métricas de ciberseguridad para su evaluación.

•    Capacidad de Preparación. Este es un apartado clave dentro del análisis, ya que incluye el estudio de la concienciación ciudadana, los estándares de ciberseguridad y certificación de profesionales, los cursos de capacitación profesional en materia de ciberseguridad, los programas de educación nacional y planes de estudio académicos, los programas de investigación y desarrollo en materia de ciberseguridad, los mecanismos de incentivación para el desarrollo de ciberseguridad o la existencia de una industria de la ciberseguridad nacional.

•    Capacidad de Cooperación. Finalmente, este epígrafe se centra en el desarrollo de acuerdos bilaterales y multilaterales para compartir información y recursos, la participación en asociaciones internacionales, la cooperación público-privada, la cooperación interinstitucionales e intrainstitucionales o la publicación y desarrollo de buenas prácticas en materia de ciberseguridad.

Evolución de España en el ranking de la ITU

La evolución de la posición de España en el ranking establecido por la ITU muestra el claro compromiso de nuestra sociedad, industria y organismos públicos con la ciberseguridad a lo largo de los últimos cinco años.

En apenas un lustro hemos pasado de ocupar la posición número 28 en 2015, a la posición número 19 en 2017. Y de ahí, a situarnos entre los 7 países con mejor índice global de ciberseguridad en 2018.

En pocos años hemos conseguido ponernos al nivel de los países líderes en materia de legislación y organización, y escalar posiciones en los apartados técnicos, de preparación y de cooperación.

España ha destacado gracias a las adecuaciones que ha llevado a cabo, siguiendo la normativa europea en ciberseguridad, a través de la implantación de nuevos mecanismos legales. También en materia de organización nuestra evolución ha sido relevante. Por poner un ejemplo, algunas herramientas desarrolladas en el entorno industrial español, como es el caso de PILAR, han sido adoptadas por agencias europeas e incluso por la OTAN para la mejora del análisis de riesgos informáticos.

Puntos de mejoras futuras

Sin embargo, aún tenemos muchos puntos en los que podemos mejorar. El informe de la ITU muestra como nuestros indicadores decaen ligeramente en preparación y cooperación. España puede mejorar ampliando la oferta de formación y fomentando la cooperación público-privada en temas como el uso compartido de información y de activos en la lucha contra la ciberdelincuencia y el cibercrimen.

2021, nuevo punto de referencia

A lo largo de los próximos meses, la ITU hará público un nuevo informe en el que estamos seguros de que tanto los indicadores de preparación como de coordinación mostrarán mejoras significativas. No seríamos sinceros, sin embargo, si no dijéramos que de haber conseguido para el INCIBE el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad de la Unión Europea habríamos dado un paso de gigante. Pero, pese a todo, no debemos desfallecer. España se encuentra en el buen camino para seguir escalando.