Red Seguridad 085

Revista especializada en Seguridad de la Información

Nº 85 segundo trimestre 2019 Época II

y Inteligencia Seguridad Máster en en la empresa

EXCELENCIA Y RIGOR

MASTER EN INTELIGENCIA Y SEGURIDAD EN LA EMPRESA

Iª Edición

Primera promoción dirigida a profesionales de la seguridad Curso octubre 2019 - septiembre 2020 MADRID. Semipresencial (25 nes de semana, viernes tarde y sábados mañana)

Abierto período de inscripción Plazas limitadas Más información: eva.martin@fundacionborreda.org

www.redseguridad.com

CYBERSECURITY YOU CAN TRUST CYBERSECURITY YOU CAN TRUST CYBERSECURITY YOU CAN TRUST CYBERSECURITY YOU CAN TRUST CYBERSECURITY YOU CAN TRUST CYBERSECURITY YOU CAN TRUST

ESTRATEGIA DE ATAQUE CAT ESTRATEGIA DE ATAQUE CAT ESTRATEGIA DE ATAQUE CA ESTRATEGIA DE AT QUE CAT ESTRATEGIA DE ATAQUE CA ESTRATEGIA DE ATAQUE CAT

RED TEAM Ponemos a prueba las medidas de protección con el fin de detectar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber Attack Taxonomy) modela un ataque en siete fases, que define sus ejerci- cios de Red Team basados en un modelo de campañas y escenarios, simulando dis- tintos perfiles del atacante. Ponemos a prueba las medidas de protección con el fin de detectar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber Attack Taxono y) modela un ataque en siete fases, que define sus ejerci- cios de Red Team basados en un odelo de campañas y escenarios, si ulando dis- tintos perfiles del atacante. RE TEA Ponemos a prueba las medidas de protección con el fin de detectar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber Attack Taxonomy) modela un ataque en siete fases, que define sus ejerci- cios de Red Team basados en un modelo de campañas y escenarios, simulando dis- tintos perfiles del atacante. Pone os a prueba l s medidas de protección con el fin de detectar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber Attack Taxon my) modela un ataque en siete fase , que define su ejerci- cios de Red Team bas dos en un modelo de campañas y escenarios, simulando dis- tin os perfiles del atac nte. Ponemos a prueba las edidas de protección con el fin de detectar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber Attack Taxono y) odela un ataque en siete fases, que define sus ejerci- cios de Red Tea basados en un odelo de ca pañas y escenarios, simulando dis- tintos perfiles del atacante. Ponemos a prueba l s edi as de protección con el fin de det ctar cualquier posible brecha de seguridad. La estrategia de ataque CAT (Cyber At ack Taxonomy) odela un ataque n siete fases, que define sus ejerci- cios de Red Tea basados en un modelo de ca pañas y escenarios, imulando dis- tintos perfiles del atacante.

Perfilado del objetivo Perfilado del objetivo Perfilado del objetivo Perfilado del objetivo

Perfilado del objetivo Perfilado del objetivo

Compromiso Compromiso Compromiso Compromiso

Compromiso Compromiso

Infiltración Infiltración Infiltración Infiltración

Infiltración Infiltración

Persistencia Persistencia Persistencia Persistencia

Persistencia Persistencia

Reconocimiento interno Reconocimiento interno Reconocimiento interno Reconocimiento interno Reconocimiento interno Recon cim ento interno

Movimientos laterales Movimientos laterales Movimientos laterales Movim entos laterales

Movimientos laterales Movimientos laterales

Ejecución del objetivo Ejecución del objetivo Ejecución del objetivo Ejecu ión del objetivo

Ejecución del objetivo Ejecución del objetivo

www.s21sec.com +34 902 020 222 www.s21sec.com +34 902 020 222 w .s21 ec. om +34 902 20 +34 902 020 22 w .s21 ec. om +34 902 020 222 www.s21sec.com +34 902 020 22 w.s21se .com

Madrid · Bilbao · Donostia-San Sebastián Vitoria-Gasteiz · Pamplona · León · Barcelona Lisboa · Porto · Mexico City Madrid · Bilbao · Donostia-San Sebastián Vitoria-Gasteiz · Pamplona · León · Barcelona Lisboa · Porto · Mexico City Madrid · Bilbao · Donostia-San Sebastiá V toria-Gasteiz · Pamplona · León · Barcelona Lisboa · Porto · Mexico City Madrid · Bilbao · Donostia-San Sebastián Vitoria-Gasteiz · Pamplona · León · Barcelona Lisboa · P rto · Mexico City Madrid · Bilbao · Donosti -San Sebastián V toria-Gasteiz · Pamplona · León · Barcelona Lisboa · Porto · Mexico City Madrid · Bilbao · Donostia-San Sebastián Vitoria-Gasteiz · Pampl na · León · Barcelona Lisboa · Porto · M xico City

editorial

Responsabilidad compartida

L a ciberseguridad fluye . No hay mes que trans- curra en el que echemos en falta alguna iniciativa de calado para la mejora del estado de la situación de esta materia en España. Así sucedió en abril con la aprobación de la nueva Estrategia Nacional de Ciberseguridad, que supone una adaptación de las líneas maestras del Estado en torno a la seguridad en la Red al contexto y necesidades actuales. Tras cinco años desde que se publicara la primera versión de este documento, resultaba necesaria una revisión que aportara un enfoque diferente y que supusiera una evolución. Y si bien el resultado no consiste en un replanteamiento radical respecto a lo anterior, sí pone La corresponsabilidad en ciberseguridad debe enfocarse como un pacto equilibrado en el que todos aportan y todos reciben el beneficio de la colaboración Uno de ellos es el de la responsabilidad comparti- da entre el Estado, el tejido empresarial y los ciuda- danos a la hora de construir una sociedad segura en el entorno digital. La ciberseguridad no se entiende hoy si no es de esta manera. Todos los actores posibles han de estar concienciados con la nece- sidad de establecer medidas que permitan poner barreras a las amenazas procedentes del ciberespa- cio. Especialmente las empresas, que son el motor económico del país y sustentan la mayor parte de las necesidades básicas de la población. Sin embargo, esa corresponsabilidad debe enfo- carse como un pacto equilibrado en el que todos aportan y todos reciben el beneficio de la colabora- el acento y encauza determinados temas para que la acción del Gobierno se encamine en esa dirección.

ción. En ese sentido, se echa de menos una hoja de ruta clara para establecer mecanismos coordinados de interlocución entre las empresas y el Estado, de manera que la colaboración resulte más fluida. Es innegable que en esta cuestión se han producido ya grandes avances a través de las medidas que han adoptado los diferentes organismos con competen- cias en ciberseguridad, si bien no existe una unicidad de método al respecto. De ahí que la creación de un Foro Nacional de Ciberseguridad suscite grandes expectativas en torno a esa misión de "potenciar y crear sinergias público-privadas" y al objetivo de alcanzar un "funcionamiento coordinado y eficien- te" de los componentes del Sistema de Seguridad Nacional. En cualquier caso, es necesario habilitar espacios que permitan un intercambio de informa- ción bidireccional tanto de interés estratégico como operativo. La cooperación es también un pilar imprescindible en el ámbito internacional para hacer frente a las amenazas, especialmente a aquellas procedentes de otros Estados, que son ya (como recuerda el último informe de ciberseguridad del CCN-CERT) la principal preocupación de los países, especialmente los europeos. Por ello desde Bruselas son constan- tes los mensajes llamando a potenciar la colabora- ción para que esta sea más estrecha y efectiva entre los países miembros de la Unión. La nueva ENISA que surge del recientemente publicado Reglamento sobre la Ciberseguridad (Reglamento UE 2019/881) podría ser decisiva como catalizador de la acción coordinada de los Estados, y de estos con las orga- nizaciones privadas. De esa idea de responsabilidad compartida tam- bién forma parte el Marco Europeo de Ciberseguridad que plantea el citado reglamento. Aquellas empresas que desarrollan herramientas o proveen servicios y procesos TIC han de apostar por la ciberseguridad de su oferta. La realidad obliga a que los productos llamados a formar parte de un futuro con multitud de datos en la nube e infinidad de objetos conectados a la Red sean robustos desde su diseño; especialmen- te aquellos destinados a las infraestructuras estrate- gias del país, cuyo menoscabo podría tener un alto impacto para toda la sociedad.

red seguridad segundo trimestre 2019 3

sumario

sobre la mesa Notificación de ciberincidentes Participaron: CNPIC, REE, GMV, EMASA, Metro de Madrid, Iberdrola, Mediaset y Deloitte. Patrocinado por Deloitte

editorial Responsabilidad compartida

3

22

corporativo Galardonados de la XIII edición de los Trofeos de la Seguridad TIC

reportaje Cybersecurity Act Un paso más hacia una Europa cibersegura

44

6

corporativo Congreso de Informática Forense y Seguridad

monográfico reportaje

8

52

Un vistazo a la nueva Estrategia Nacional de Ciberseguridad

Un minucioso análisis a la informática forense

monográfico entrevista Mar López Gil Responsable de Ciberseguridad del Departamento de Seguridad Nacional

entrevista Daniel Madrid

14

75

y Eduardo Mastranza Gartner

CONSEJO TÉCNICO ASESOR

Joaquín González Casal A sociación de I ngenieros e I ngenieros T écnicos en I nformática (ALI) Vicente Aceituno Canal A sociación E spañola para la S eguridad de los S istemas de I nformación (ISSA E spaña ) Alfonso Castaño ASIS E spaña José Valiente C entro de C iberseguridad I ndutrial (CCI)

Pedro Pacheco U nidad C entral de C iberdelincuencia del C uerpo N acional de P olicía Juan Sotomayor U nidad de D elitos T elemáticos (GDT) de la G uardia C ivil Alberto Hernández Moreno I nstituto N acional de C iberseguridad (IN CIBE) Ricardo Barrasa ISACA C apítulo de M adrid

Gianluca D'Antonio ISMS F orum S pain Vicente Aguilera Díaz O pen W eb A pplication S ecurity P roject (OWASP)

PRESIDENTE Guillermo Llorente Ballesteros M apfre VOCALES Mar España Martí A gencia E spañola de P rotección de D atos (AEPD) Pedro Mier A metic Fernando Rodríguez del Estal A sociación de E mpresarios de TIC de A ndalucía (ETICOM)

CONSEJEROS INDEPENDIENTES Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom

PRESIDENTE DE HONOR Alfonso Mur Bohigas

STAFF Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Yolanda Duro, Pedro José Pleguezuelos, Paloma Melendo, Fco. Javier Borredá García y Virginia Alcalde. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Subdirector: Enrique González Herrero. Redactor: Juanjo S. Arenas. Colaboradores: David Marchal, Bernardo Valadés, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Francisca Peñalver y Macarena Fernández López. Fotografía: Banco de imágenes iStock/GettyImages. Diseño: Escriña Diseño Gráfico. Área digital: Laura Borredá y Natividad Benéitez. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Comeco Gráfico S.L.U.

Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) suscripciones@borrmart.es Depósito Legal: M-46198-2002 ISSN: 1695-3991

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 03/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

corporativo

noticias

Countercraft, Blueliv, la Oficina de Seguridad de Sistemas de Información del Servicio Madrileño de Salud, Marina Touriño, CriptoCert y Enrique Polanco (a título póstumo), han resultado premiados este año en los Trofeos de la Seguridad TIC de RED SEGURIDAD por su contribución al sector de la ciberseguridad. Galardonados de la XIII edición de los Trofeos de la Seguridad TIC

L a

Trayectoria profesional El "Trofeo a la Trayectoria Profesional Pública o Privada en Seguridad TIC" se le con- cede a Marina Touriño Troitiño, profesional que desde hace más de tres décadas se ha dedicado al sector de la audi- toría de sistemas, realizando un trabajo constante por el desarrollo de este campo tanto como auditora interna como externa. Siempre ha dejado constancia de su buen hacer e interés en fomentar la for- mación, realizando una importante labor de difusión de la cultura a través de los innumerables foros y cursos en los que ha participado. Captación y divulgación El quinto premio, el "Trofeo a la Capacitación, Divulgación, Concien- ciación o Formación en Seguridad TIC", ha recaído en CriptoCert, por su CriptoCert Certified Crypto Analyst, primera certificación a nivel mundial de criptografía y protección de la información, cuyo fin es pro- porcionar a los profesionales capa- cidades para el estudio, la com- prensión y el análisis de soluciones criptográficas. Trofeo al Centro Educativo El "Trofeo al Centro Educativo SegurTIC" del año ha quedado desierto en esta edición. Trofeo extraordinario del jurado El CTA ha otorgado, finalmente, la concesión del "Trofeo Extraordinario" a título póstumo a Enrique Polanco, por su imprescindible y sobresalien- te trayectoria en el desarrollo del sector de la seguridad TIC en España y su encomiable labor de difusión de los conocimientos sobre dicha materia.

decimotercera edición del certamen internacional Trofeos de la Seguridad TIC, otorgados por la revista RED SEGURIDAD, ya tiene galar- donados. El 28 de mayo, el Consejo Técnico Asesor (CTA) de la publicación se reunió para deliberar los premiados de entre todas las candida- turas presentadas. Como ya ocurriera en años anteriores, dichas condecoraciones se entregarán en el XI Encuentro de la Seguridad Integral (Seg 2 ), evento que organizan conjuntamen- te esta cabecera y SEGURITECNIA, y que tendrá lugar el 26 de junio en Madrid. Así, después de conocer el fallo de las diversas comisiones creadas para estudiar las candidaturas, el CTA tomó las siguientes decisiones de concesión de los trofeos corres- pondientes a esta edición: Innovación El primer premio, correspondiente al "Trofeo al Producto/Servicio o Sistema de Seguridad más innova- dor" ha sido concedido a la empresa Countercraft por Countercraft Cyber Deception Platform, una solución innovadora y de tecnología avanza- da que ofrece a las organizaciones la posibilidad de protegerse ante sofisticados incidentes de seguri- dad. En concreto, se anticipa al peligro y atrae a los atacantes a entornos simulados, controlados y monitorizados, reforzando así las estrategias de ciberseguridad de las empresas. Empresa de Seguridad TIC El "Trofeo a la Empresa de Seguridad TIC del año" ha sido para Blueliv, compañía especializada en produc- tos y servicios para contrarrestar las

amenazas cibernéticas. Sus solucio- nes modulares permiten conocer y detectar en tiempo real las amena- zas, analizando la información y sim- plificando los procesos para facilitar la toma de decisiones más rápida- mente. Entre sus clientes se encuen- tran entidades financieras, compa- ñías de telefonía y energéticas. Institución pública El tercer galardón, correspondiente al "Trofeo a la Mejor Institución u Organismo Público en materia de Seguridad TIC" ha recaído en la Oficina de Seguridad de Sistemas de Información (OSSI) del Servicio Madrileño de Salud, unidad con más de 10 años de experiencia en segu- ridad de la información en el ámbito sanitario. Compuesto por un equipo multidisciplinar, sirve de instrumento de prevención, detección y respues- ta a amenazas e incidentes, y es también responsable de asesorar sobre políticas, normativas y medi- das de seguridad en el ámbito sani- tario de la Comunidad de Madrid. De esta manera, ha impulsado prác- ticas y acciones para adaptarse a la normativa vigente en materia de protección de datos, desarrollo de inteligencia artificial, análisis de apli- caciones, etc.

6 red seguridad segundo trimestre 2019

Socios Protectores

L s u rz s u

ci r i

m ,

c

(C nc ci Ar n )

www.fundacionborreda.org

Patrocinadores:

Colaboradores:

estrategia de ciberseguridad

monográfico

Un vistazo a la nueva Estrategia Nacional de Ciberseguridad

E l pasado 30 de abril , el Boletín Oficial del Estado publicó la nueva Estrategia Nacional de Ciberseguridad, una evolución de la aprobada en 2013 con la que se pretende garantizar la seguridad, las infraestructuras y la tecnología que integran el ciberespacio. En otras palabras, este documento supone una actualización frente a las ame- nazas y desafíos tras la experiencia adquirida desde la Estrategia de Ciberseguridad Nacional de aquel año y la aprobación, en 2017, de la nueva Estrategia Nacional de Seguridad, la cual otorga un espe- cial protagonismo a la protección del ciberespacio. En palabras de Carlos Manchado, CISO de Naturgy Energy Group, ESPAÑA CUENTA DESDE ABRIL CON UNA NUEVA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, QUE SUSTITUYE A LA DE 2013. LOS NUEVOS DESAFÍOS EN EL ENTORNO DIGITAL EXIGÍAN UNA REVISIÓN DE ESTE DOCUMENTO, QUE INCLUYE NOVEDADES TAN IMPORTANTES COMO LA CREACIÓN DE UN FORO NACIONAL DE CIBERSEGURIDAD. Tx: David Marchal Ft: RED SEGURIDAD

"la ciberseguridad adquiere una mayor relevancia día tras día, tanto en iniciativas privadas como en las públicas. España, como miembro preeminente de la Unión Europea, no puede ignorar esta tendencia y, como prueba de ello, presenta esta actualización de su Estrategia Nacional de Ciberseguridad". Al respecto también se pronuncia Francisco Lázaro, CISO de Renfe, para quien la Estrategia Nacional de Ciberseguridad "ha evoluciona- do, madurado, y lo ha hecho de una forma muy positiva en estos seis años que la separan de la anterior". Esta madurez la lleva, a juicio del directivo, "a disponer de la autono- mía tecnológica mediante el fomento de una base industrial nacional de ciberseguridad, la I+D+i y la gestión del talento tecnológico, señalando la estrategia de que la ciberseguridad es progreso, por lo que el apoyo e

impulso de la industria española de ciberseguridad, la promoción de un entorno que favorezca la investiga- ción, el desarrollo y la innovación, y la participación del mundo académi- co tiene un carácter singular". Por su parte, Félix Arteaga, inves- tigador principal de ciberseguridad del Real Instituto Elcano, opina que, en conjunto, "la actualización repre- senta un avance sobre la anterior en aspectos de capacitación, normali- zación, evaluación, apoyo a la indus- tria, seguridad por diseño o defensa activa, entre otras cuestiones". Claro que, continúa, aunque son "medi- das bien orientadas", su desarrollo dependerá "del respaldo político y presupuestario del nuevo Gobierno". Tras esta valoración inicial, y entran- do de lleno en la Estrategia, hay que decir que se encuentra estructurada en cinco capítulos, que vamos a desarrollar a continuación.

8 red seguridad segundo trimestre 2019

estrategia de ciberseguridad

monográfico

reportaje

para crear modelos de negocio lucra- tivo y de bajo riesgo; a los grupos terroristas, que usan las debilidades del ciberespacio para realizar cibera- taques o efectuar acciones de radi- calización de personas y grupos; y a los grupos hacktivistas , que realizan ciberataques por motivos ideológicos y quieren que tengan un gran impacto social o mediático. Capítulo 3 De esta forma, llegamos al tercer capítulo del texto, que habla sobre el propósito y los principios por los que se rige la Estrategia; así como los objetivos –uno general y cinco espe- cíficos– que resultan transversales a todos los ámbitos. Así pues, los principios de la Estrategia son: En primer lugar, la unidad de acción, que el documento describe así: "Toda respuesta ante un inci- dente en el ámbito de la cibersegu- ridad que pueda implicar a distintos agentes del Estado se verá reforza- da si es coherente, coordinada y se resuelve de manera rápida y eficaz; cualidades alcanzables a través de la adecuada preparación y articu- lación de la unidad de acción del Estado". El segundo es la anticipación, por- que, tal y como menciona el texto, priman las actuaciones preventivas sobre las reactivas. Disponer de siste- mas eficaces, con información com- partida lo más próxima al tiempo real, permite alcanzar un adecuado conocimiento de la situación. El tercero es la eficiencia, en tanto en cuanto la ciberseguridad precisa del empleo de sistemas multipropó- sito de gran valor y elevado grado tecnológico, que llevan asociadas unas necesidades muy exigentes y un alto coste derivado de su desarrollo, adquisición y operación. Y el último es la resiliencia, una característica fundamental que deben poseer los sistemas e infraestructuras críticas. Es más, el Estado está obliga- do a asegurar la disponibilidad de los elementos que se consideren esen- ciales para la nación, mejorando su protección contra las ciberamenazas.

pionaje y la cibercriminalidad. En cuan- to al primero, es un método mucho más rápido y con menores riesgos que el espionaje tradicional debido al fácil anonimato. Lo llevan a cabo, prin- cipalmente, organismos de inteligencia y militares que poseen sofisticados recursos e infraestructuras y amplios conocimientos. En este sentido, el documento advierte de que están aumentando las llamadas amenazas híbridas que constituyen un ataque a las vulnerabilidades de las institucio- nes y estados democráticos a través de distintos medios, como acciones militares tradicionales, ciberataques, operaciones de manipulación de la información o elementos de presión económica. En cuanto al segundo, el documen- to engloba a los ciberdelincuentes, que actúan bajo esquemas de crimen organizado y pretenden usar técnicas

Capítulo 1 El primer capítulo se titula "El ciberes- pacio como espacio común global". En él se presentan las oportunidades y desafíos del ciberespacio y la infra- estructura digital, expone el carácter internacional de la aproximación a la seguridad y describe los principales rasgos de la nueva concepción de la ciberseguridad en España. Capítulo 2 El documento aborda en su segundo capítulo las principales amenazas y desafíos del ciberespacio a los que se enfrenta España, que clasifica en dos categorías: las que amenazan a acti- vos que forman parte del ciberespacio y aquellas que usan el ciberespacio como medio para realizar actividades maliciosas e ilícitas de todo tipo. Dentro de estas últimas, el texto menciona dos en concreto: el ciberes-

A spectos clave de la estrategia de ciberseguridad 1.-  Las nuevas ciberamenazas tienen un carácter transversal, lo que exige que la ciberseguridad sea afrontada con una perspectiva integral que comprenda a las Administraciones Públicas, al sector público y privado y a la sociedad en su conjunto. 2.-  Es necesario impulsar una verdadera cultura de la ciberseguridad en el seno de la sociedad. Para ello, se pone de manifiesto que el derecho a hacer un uso fiable del ciberespacio es una responsabili- dad compartida entre ciudadanía, empresas y administraciones. 3.-  Se fomenta la participación de las empresas en plataformas sec- toriales para el intercambio y análisis de información. 4.-  El texto garantiza la coordinación, la cooperación y el intercambio de información sobre ciberincidentes e inteligencia de ciberamenazas entre el sector público, el sector privado y los organismos internacio- nales competentes, fomentando la prevención y la alerta temprana. 5.-  Habla de la necesidad de reforzar el marco jurídico para respon- der eficazmente a la cibercriminalidad, tanto en lo relativo a la defini- ción de tipos penales como en la regulación de adecuadas medidas de investigación. 6.-  Remarca la importancia de impulsar la coordinación de las investigaciones sobre cibercriminalidad y otros usos ilícitos del cibe- respacio entre los distintos órganos y unidades con competencia en esta materia. 7.-  Propone dinamizar el sector industrial y de servicios de cibersegu- ridad, incentivando medidas de apoyo a la innovación, a la inversión, a la internacionalización y a la transferencia tecnológica, sobre todo en el caso de micropymes y pymes. 8.-  Por último, establece una estructura de respuesta frente a las cibeamenazas que engloba varios organismos: el Consejo de Seguridad Nacional, el Comité de Situación, el Consejo Nacional de Ciberseguridad, la Comisión Permanente de Ciberseguridad, el Foro Nacional de Ciberseguridad y la Autoridades públicas competentes y los CSIRT de referencia nacionales.

red seguridad segundo trimestre 2019 9

estrategia de ciberseguridad

monográfico

reportaje

De ahí se pasa el objetivo general de la Estrategia: España debe garan- tizar el uso seguro y fiable del cibe- respacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progreso socioeco- nómico. En este punto, Manchado, de Naturgy, subraya el hecho de que se ponga el foco en la importancia de los derechos del individuo. "El Estado español tiene un deber para con sus ciudadanos, y este documento recoge ese compromiso de manera expresa. La privacidad, la libertad de expresión y el derecho a la informa- ción de los individuos se encuentran expuestos a un número creciente de amenazas y es necesaria la colabora- ción entre las empresas privadas y los organismos públicos para garantizar su protección". Esto, precisamente, se desarrolla a través de una serie de objetivos específicos que se enumeran en el documento. El primero es la segu- ridad y la resiliencia de las redes y sistemas de información y comu- nicaciones del sector público, a fin de crear servicios más eficientes y seguros. Para ello, cita la necesidad de aplicar medidas de seguridad que mejoren la capacidad de prevención, detección y respuesta ante un cibe- rataque, mediante un refuerzo de la coordinación y adaptación de la legislación. El segundo objetivo hace referencia al uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso. Para ello, es importante reforzar la coope- ración judicial y policial, nacional e internacional, así como proporcionar formación y suficientes recursos a los organismos competentes para inves- tigar el cibercrimen. Sin olvidar, por supuesto, la colaboración ciudadana en este ámbito. El tercero se refiere a la protec- ción del ecosistema empresarial y social y de los ciudadanos para garantizar el derecho que tienen a usar el ciberespacio de forma segura. Y expone claramente que, más allá de las medidas de segu- ridad que implanten los profesio- nales y empresas para garantizar la protección de la información que

manejan, el Estado debe establecer unas medidas generales de ciber- seguridad que serán de obligado cumplimiento. Por su parte, los ciu- dadanos deben también hacer un uso responsable de la red. En otras palabras, tal y como apunta Manchado, de Naturgy: "Se propone afrontar el reto de la ciber-

sas, promover la difusión de la cultura de la ciberseguridad como una buena práctica empresarial, y reconocer la implicación de las empresas en la mejora de la ciberseguridad colec- tiva como Responsabilidad Social Corporativa". Y al respecto, añade: "Estrechamente unido a este concep- to amplio de cultura destacar la crea-

La nueva Estrategia Nacional de Ciberseguridad potencia la seguridad y la resiliencia de los activos estratégicos españoles

seguridad desde una prespectiva transversal, que ya no solo fomente la colaboración entre el mundo priva- do y el público, sino que englobe a la sociedad en su conjunto". Todo ello enlaza con el objetivo cuarto, en el que se menciona la cultura y el compromiso con la ciber- seguridad, así como la potenciación de las capacidades humanas y tecno- lógicas. A juicio de Lázaro, de Renfe, este punto "remarca la necesidad de incrementar las campañas de con- cienciación a ciudadanos y empre-

ción dentro de la Estrategia del Foro Nacional de Ciberseguridad como una potente herramienta para buscar una unidad de acción, compatibilizán- dola con una visión plural y enrique- cedora de los actores destinados a formar parte del mismo". Finalmente, el último objetivo que cita el documento es la seguridad del ciberespacio en el ámbito internacio- nal. El Estado aspira a crear un marco para la cooperación y la prevención internacional de ciberdelitos con el que se creará un ciberespacio más

10 red seguridad segundo trimestre 2019

En GMV apostamos por un tratamiento global de los ciberriesgos, IDENTIFICANDO las amenazas existentes, PROTEGIENDO los activos, DETECTANDO intentos de ataque y, si se producen, RESTABLECIENDO la situación lo antes posible, todo orquestado mediante los sistemas de gestión más exigentes. CIBERSEGURIDAD SOLUCIONES INNOVADORAS EN

- Protección de Infraestructuras Críticas - Ingeniería, soluciones y servicios de seguridad de sistemas y redes de información - Ciberseguridad en entornos industriales - Auditoria de seguridad - Planes de cumplimiento de los Esquemas Nacionales de Seguridad y GDPR - Implantación de sistemas de gestión de seguridad - Securización de plataformas, redes y servicios - Servicios gestionados CSIRT (Computer Security Incident Response Team) - Centros de respaldo EN GMV ACOMPAÑAMOS A NUESTROS CLIENTES EN LA SUPERACIÓN DE ESTOS RETOS:

NUESTRA RESPUESTA

CIBERSEGURIDAD EN CAJEROS

TEST DE INTRUSIÓN Y ANÁLISIS DE SEGURIDAD

CONSULTORÍA CIBERSEGURIDAD

GESTIÓN DE VULNERABILIDADES

RESPUESTA ANTE INCIDENTES Y ANÁLISIS FORENSE

GESTIÓN DEL RIESGO

SERVICIOS GESTIONADOS

PROTECCIÓN DEL DATO

BIG DATA ANTIFRAUDE

CLOUD SECURITY

DISEÑO Y ARQUITECTURA SEGURA

FORMACIÓN Y CONCIENCIACIÓN EN SEGURIDAD

www.gmv.com marketing.TIC@gmv.com

www.facebook.com/infoGMV @infoGMV www.linkedin.com/company/gmv/

AERONÁUTICA I ESPACIO I DEFENSA I SANIDAD I CIBERSEGURIDAD I ITS I TELECOMUNICACIONES I TECNOLOGÍAS DE LA INFORMACIÓN

estrategia de ciberseguridad

monográfico

reportaje

seguro, plural y fiable. A través de la colaboración internacional se aumen- tará la confianza en Internet, en el desarrollo de nuevas tecnologías y en la transformación digital. Con ello se pretende llegar al mercado único digital. Capítulo 4 Una vez expuestos los objetivos de la Estrategia, el texto aborda de qué forma se puede llegar a ellos; es decir, cuáles son las líneas de acción y las medidas para su consecución. Se resumen en siete puntos: 1.- Reforzar las capacidades ante las amenazas provenientes del ciberespacio. 2.- Garantizar la seguridad y resiliencia de los activos estraté- gicos para España. Incluye entre sus medidas, por un lado, ase- gurar la plena implantación del Esquema Nacional de Seguridad, del Sistema de Protección de las Infraestructuras Críticas, y el cumplimiento y armonización de la normativa sobre protección de infraestructuras críticas y servi- cios esenciales, con un enfoque prioritario basado en el riesgo; y, por otro, desarrollar el Centro de Operaciones de Ciberseguridad

de la Administración General del Estado, que mejore las capacida- des de prevención, detección y respuesta, e impulsar el desarro- llo de centros de operaciones de ciberseguridad en el ámbito auto- nómico y local. A juicio de Lázaro, de Renfe, "la Estrategia apela a la respon- sabilidad del liderazgo y le asigna ese papel al sector público y a los operadores de servicios esencia- les, los cuales deben involucrar-

entre otros aspectos, deben ges- tionar los riesgos asociados a la cadena de suministro”. 3.- Reforzar las capacidades de investigación y persecución de la cibercriminalidad para garantizar la seguridad ciudadana y la protec- ción de los derechos y libertades en el ciberespacio. 4.- Impulsar la ciberseguridad de ciudadanos y empresas. 5.- Potenciar la industria española de ciberseguridad, y la generación

La Estrategia es un documento vivo que ha de adaptarse a la evolución de la ciberseguridad, por lo que será objeto de revisión continua

se activamente en un proceso de mejora continua respecto de la protección de sus sistemas de Tecnologías de la Información y las Comunicaciones basados en una vigilancia permanente de su expo- sición a las amenazas". Y añade: "Estos agentes deben servir como modelo de buenas prácticas en la gestión de la ciberseguridad y,

y retención de talento, para el forta- lecimiento de la autonomía digital. 6.- Contribuir a la seguridad del ciberespacio en el ámbito interna- cional, promoviendo un ciberespa- cio abierto, plural, seguro y con- fiable, en apoyo de los intereses nacionales. 7.- Desarrollar una cultura de ciberseguridad.

El Foro Nacional de Ciberseguridad fomenta la participación del sector privado

La nueva Estrategia Nacional de Ciberseguridad crea una institución, denominada ForoNacional deCiberseguridad, con unas funciones muy concretas: actuar en la poten- ciación y creación de sinergias público-privadas, parti- cularmente en la generación de conocimiento sobre las oportunidades y los desafíos y amenazas a la seguridad en el ciberespacio. Además, establece que la puesta en marcha de este Foro, y la armonización de su funciona- miento con los órganos existentes, se realizará mediante la aprobación de las disposiciones normativas necesa- rias, con el objetivo de alcanzar el funcionamiento coor- dinado y eficiente de estos componentes en el Sistema de Seguridad Nacional. A juicio de Arteaga, del Real Instituto Elcano, esto supone “la entrada del sector privado en el Sistema de Seguridad Nacional”. Y añade: “La colaboración público-privada se venía realizando de forma tácita en el ámbito de las infraestructuras críticas, pero la Ley de Seguridad Nacional obligaba a regular la colabo-

ración y la nueva Estrategia ha dado el primer paso”, manifiesta. Arteaga, además, profundiza sobre la participación del sector privado en la elaboración de este documen- to. “La nueva Estrategia recoge muchas de las medidas que se venían pidiendo desde el sector privado, pero la Estrategia se ha elaborado sin su participación directa. La exclusión del sector privado, maquillada con una lectura final permitida a algunos expertos privados a título individual, parece razonable cuando la Estrategia aborda cuestiones que afectan a la seguridad nacional y son competencia del Gobierno; pero no cuando entra en cuestiones de seguridad económica que afectan a los intereses de empresas e industrias”. Y concluye: “La creación del Foro puede ayudar a que el sector privado participe en la gobernanza de la ciberseguridad; pero dependerá de cómo y cuándo se regule, por lo que, de momento, no es más que una buena expectativa”, asegura.

12 red seguridad segundo trimestre 2019

estrategia de ciberseguridad

monográfico

reportaje

pronuncia Manchado, de Naturgy: "Debemos tener presente que la ciberseguridad es algo 'vivo'. Una Estrategia Nacional aporta valor en muchos sentidos y facilita enorme- mente la colaboración público-priva- da, pero debemos ser conscientes de que es necesario mantenerla actuali- zada y adaptada a un escenario en cambio constante". Por otro lado, en esa misma línea, el directivo señala que "es conveniente impulsar iniciati- vas de este tipo que trasciendan las fronteras, engloben bajo su alcance a varios países y nos ayuden a coor- dinar estrategias transnacionales. En ciberseguridad, como en tantas otras cosas, unidos, somos más fuertes", manifiesta. Ahora bien, no todo son aspectos positivos; también hay algunos otros mejorables, como el que apunta Lázaro, de Renfe: "En el documen- to se utiliza 259 veces la palabra seguridad o su variante cibersegu- ridad y ni una sola vez la figura del responsable de Seguridad de la Información o CISO. Esa ausencia no la menciono por un rasgo cor- porativista de profesión, sino porque creo firmemente que sin esa figura, la cual tiene la preocupación espe- cífica de la ciberseguridad, no hay

ciberseguridad en las empresas y organismos", reconoce. Por su parte, Arteaga, del Real Instituto Elcano, menciona otro incon- veniente: "La Estrategia, sus objetivos y líneas de acción son homologables con las estrategias más avanzadas, pero, a diferencia de ellas, no cuenta con una memoria económica o com- promiso de gasto que la respalde. La falta de dotación presupuestaria revela un desfase entre la importancia que se da a la ciberseguridad y los recursos públicos que se dedican a atenderla, y salvo que el nuevo Gobierno respalde la Estrategia con fondos, la ciberse- guridad seguirá siendo una política pública menor, a pesar de lo bien diseñadas que estén las orientaciones de su Estrategia", asegura el directivo. En cualquier caso, esta nueva Estrategia supone un impulso más a la hora de avanzar en la protección de nuestros activos digitales; no solo los de España como país, sino también los de sus empresas y ciudadanos. El siguiente paso, por tanto, consiste en llevar a la práctica todos los objetivos que se enumeran en este documen- to, haciendo hincapié en la creación y el fomento de una verdadera cultura de ciberseguridad con la crezcan las generaciones futuras.

Capítulo 5 El documento concluye con el capí- tulo cinco, titulado "La cibersegu- ridad en el Sistema de Seguridad Nacional", el cual define la arquitec- tura orgánica de la ciberseguridad, integrándola en el actual Sistema de Seguridad Nacional con los siguientes organismos: el Consejo de Seguridad Nacional, el Comité de Situación (único para el conjunto del Sistema de Seguridad Nacional ante situacio- nes de crisis), el Consejo Nacional de Ciberseguridad, la Comisión Permanente de Ciberseguridad, el Foro Nacional de Ciberseguridad y las Autoridades públicas competentes y los CSIRT de referencia nacionales. Conclusiones Para finalizar, el documento habla de que la Estrategia se concibe como "un documento vivo que ha de adap- tarse a la evolución de la cibersegu- ridad, por lo que deberá ser objeto de revisión continua, como también los planes específicos y sectoriales que de ella se deriven". Además, prevé la elaboración de un informe anual de evaluación de la Estrategia donde figurará el grado de ejecu- ción y cumplimiento de sus objeti- vos. Precisamente, al respecto se

red seguridad segundo trimestre 2019 13

estrategia de ciberseguridad

monográfico

Mar López Gil

Responsable de Ciberseguridad del Departamento de Seguridad Nacional

"Hemos pasado de una Estrategia Nacional ciberresiliente a una ciberpersistente"

ESPAÑA CUENTA DESDE EL 12 DE ABRIL CON UNA NUEVA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, CUYA ELABORACIÓN HA COORDINADO EL DEPARTAMENTO DE SEGURIDAD NACIONAL. COMO EXPLICA LA RESPONSABLE DEL ÁREA DE ESTE ORGANISMO, MAR LÓPEZ, SE TRATA DE UN DOCUMENTO "ABIERTO Y ELABORADO CON UN AMPLIO CONSENSO", PUESTO QUE HA CONTADO CON LA APORTACIÓN DE MINISTERIOS, ORGANISMOS DEL ESTADO, COMUNIDADES AUTÓNOMAS, PARTIDOS POLÍTICOS Y AGENTES DEL SECTOR PRIVADO.

Tx: E. González y A. Borredá Ft: RED SEGURIDAD

ción en julio de 2018. Por tanto, la ENC se ha desarrollado en un tiempo exprés, si bien es fruto de la res- ponsabilidad, disposición y voluntad del Consejo de Seguridad Nacional y del apoyo del Consejo Nacional de Ciberseguridad; especialmente de todos los que han participado en su elaboración bajo la coordinación del Departamento de Seguridad Nacional. Para cocinar la estrategia, hemos contado con una amplia participa- ción. Por una parte, el sector público ha intervenido a través de un comité técnico integrado por representantes de la Administración, que hizo una primera aproximación a lo que debía- mos responder con esta nueva estra- tegia. Las necesidades eran muchas y diversas, por lo que, para plasmar adecuadamente todas las necesida- des, propuestas e ideas presentadas, el comité creó un grupo reducido de redacción. Este equipo ha trabaja- do intensamente en su elaboración, con largas jornadas de debate sobre todos y cada uno de los aspectos.

El Consejo de Seguridad Nacional aprobó en abril la nueva Estrategia Nacional de Ciberseguridad. ¿Có- mo se ha desarrollado el proceso de elaboración del documento res- pecto a la estrategia anterior? La tan esperada Estrategia Nacional de Ciberseguridad (ENC) se apro- bó en la reunión del Consejo de Seguridad Nacional del 12 abril, y digo esperada porque los avances a los que hemos asistido estos últimos años requerían una revisión y actuali- zación urgentes. La planificación para su elabora- ción ha sido importante. El Consejo de Seguridad Nacional, que es una Comisión Delegada del Gobierno para la Seguridad Nacional (esto es, el órgano que asiste al presidente del Gobierno en la dirección de la política de Seguridad Nacional y del Sistema de Seguridad Nacional), adoptó el acuerdo para comenzar su elabora-

14 red seguridad segundo trimestre 2019

estrategia de ciberseguridad

monográfico

entrevista

Pero como la ciberseguridad es una responsabilidad compartida, conside- ramos decisiva la colaboración de la sociedad civil y el sector privado, así como la cooperación de las comuni- dades y ciudades autónomas. Por ello, el documento ha sido compartido con un comité de expertos independientes y con la Conferencia Sectorial para Asuntos de Seguridad Nacional, for- mada por diferentes organismos y las comunidades y ciudades autónomas. En el comité de expertos indepen- dientes han colaborado más de 40 expertos en este ámbito, caracteriza- dos por su experiencia y formación téc- nica y científica en la materia. En este comité se puso de manifiesto el talento y los grandes profesionales con los que contamos en España. Las ideas fluyeron de una manera espectacular y las recomendaciones y propuestas que realizaron dieron lugar a un documento muy completo y con gran calidad. Por otro lado, en diciembre de 2018 se constituyó la Conferencia Sectorial para Asuntos de Seguridad Nacional, un órgano de cooperación, colaboración y debate entre el Estado y las comunidades y ciudades autó- nomas, en el que se comparte infor- mación sobre las cuestiones relativas a la seguridad nacional. Por su parte, la Comisión Mixta Congreso-Senado para la Seguridad Nacional elaboró un documento de conclusiones sobre aquellos aspectos relevantes en materia de cibersegu- ridad para España. Por supuesto, dichos resultados también se tuvieron en cuenta a la hora de elaborar la nueva ENC. Creo que el resultado ha sido muy satisfactorio. Contamos con un documento maduro, abierto y con un amplio consenso político y social. ¿Cuáles son los aspectos más destacados de la nueva Estrategia Nacional de Ciberseguridad? Personalmente, considero que hemos avanzado en la filosofía y en el enfoque. Me gusta decir que hemos pasado de una estrate- gia ciberresiliente a una estrate- gia ciberpersistente. Respecto a la Estrategia de 2013, la evolución

del documento ha sido muy signi- ficativa. Hemos sido capaces de abandonar nuestra zona de confort asumiendo que la ciberseguridad tiene componentes técnicos muy importantes, y a la vez exploran- do otros muy relevantes para este ámbito, como son los económicos, los industriales y los sociales, así como los regulatorios y los políti- cos. Por otro lado, la Estrategia se ajusta además a las exigencias de la Directiva NIS y establece la nece- sidad de contar con más recursos. La ENC es más global. La de 2013 se denominaba Estrategia de Ciberseguridad Nacional, pero en esta hemos cambiado el orden de las palabras, y no es por error ni capri- cho, todo tiene un significado. Ahora la Estrategia es más nacional que nunca, porque ha sido elaborada por todos y para todos.

¿Por qué se ha constituido y cuáles serán sus funciones? Con la propuesta de creación del Foro Nacional de Ciberseguridad, la filosofía y el principal objetivo que per- seguimos es potenciar la participación de la sociedad civil en el ámbito de la ciberseguridad y mejorar la eficien- cia en la colaboración y cooperación entre todos. Poseer un órgano único de interlocución en la materia es un objetivo ambicioso, pero no difícil de conseguir si existe esta voluntad. Para todos los que han participado en la elaboración de la Estrategia es sumamente importante la creación de este Foro Nacional de Ciberseguridad. Un verdadero partenariado público- privado de ciberseguridad en el que tenemos que trabajar todos: la socie- dad civil, expertos independientes, sector privado, la academia, asocia- ciones y organismos sin ánimo de lucro, entre otros, con el objetivo de potenciar y crear sinergias dirigidas a contribuir a la promoción de un cibe- respacio seguro y fiable. Sin lugar a dudas, es necesario aprovechar y retener el conocimiento y el talento nacional. Hay que buscar oportunidades de colaboración entre todos y compartir información, deci- siones y obligaciones, de manera que se creen sinergias para contar con respuestas comunes ante los desafíos y amenazas actuales y futuras. Esto solo se puede hacer si realmente estamos sensibilizados y somos cons- cientes de que nuestra seguridad en el ciberespacio es importante para todos a nivel global y como españoles. Una de las ideas principales de la nueva Estrategia es la corresponsa- bilidad de los ciudadanos y el sector privado en la Seguridad Nacional.

"En cada una de las 65 medidas que se proponen en la Estrategia, el sector privado tiene un papel relevante"

La propia filosofía de la globalidad también nos ha llevado a desarro- llar una estrategia más colaborativa, menos personalista y más inclusiva e integrada. Se ha desarrollado enten- diendo al ciudadano como eje central de la seguridad y corresponsable de la misma, involucrando de manera directa a la sociedad civil y, particular- mente, al sector privado. También creo que esta estrategia es menos técnica y más dirigida a que la entienda toda la sociedad con el fin de crear realmente una cultura de ciberseguridad. Y a la par propone actuaciones de prevención y acción constante en el ciberespacio tales como la ciberdefensa activa, la res- puesta o la resiliencia. Para mí, eso es la ciberpersistencia.

La ENC crea un nuevo órgano, el Foro Nacional de Ciberseguridad.

red seguridad segundo trimestre 2019 15

estrategia de ciberseguridad

monográfico

entrevista

¿Cómo entiende el Departamento de Seguridad Nacional que debe producirse esa corresponsabilidad? Yo imagino la ciberseguridad como un puzle donde cada pieza tiene su función: mantener unidas a las otras. Si una de las partes no estuviera, el rompecabezas se desmoronaría. Para contar con un ciberespacio fiable y seguro, las piezas somos todos, Administración, ciudadanos, empre- sa… Cualquiera es responsable de ello de diferentes maneras, ya sea a través del uso responsable de la tecnología, del conocimiento y con- ciencia de los riesgos y amenazas, del desarrollo de una economía digital sostenible y segura, del desarrollo profesional constante... No en vano, es importante destacar que la mayor parte de la infraestructura tecnológica de nuestro país está en manos del sector privado. Hay que desarrollar muchas actua- ciones para garantizar el uso seguro y fiable del ciberespacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progre- so socio económico. Es un trabajo de equipo donde cada uno tiene un cometido concreto para mantener el puzle unido. Además del Foro Nacional de Ciberseguridad, ¿de qué manera se podría potenciar la colaboración con el sector privado, algo a lo que hace referencia la Estrategia en varias ocasiones? En todas y cada una de las 65 medidas que se proponen en la Estrategia, el sector privado tiene un papel relevante. Nos enfrentamos a un espacio comple- jo, en el que los ciberataques crecen cada día, tanto en número como en complejidad y sofisticación. Solo hay que echar un vistazo a los datos reco- gidos en el Informe Anual de Seguridad Nacional de 2018 sobre ciberataques y uso ilícito del ciberespacio. La tecnología y la conectividad avanzan, y tenemos que ser capa- ces de dar respuesta a los desafíos que se nos presentan. El Internet de las Cosas, la Inteligencia Artificial, el Blockchain y el 5G son realidades pre- sentes y claves para el desarrollo de la

Mar López Gil en dos de los momentos del encuentro con RED SEGURIDAD para hablar de la Estrategia Nacional de Ciberseguridad.

economía digital y la innovación; pero también son un reto para la seguridad digital. Para avanzar en ciberseguridad todos debemos estar comprometi- dos. Es necesario que salgamos de nuestra 'burbuja' y actuemos desde otros planos y ámbitos quizás más alejados de la seguridad. Solo así seremos capaces de crear una cul- tura de ciberseguridad fuerte y real. La sensibilización ciudadana y de las empresas es un elemento imprescin- dible y, en este sentido, invertir más en comunicación es esencial. Tenemos que contar con comunicadores que vendan nuestras ideas y productos. Me gusta pensar que esto es una cuestión de marketing que llamo "C" elevado al cubo: comunicar, comuni- car, comunicar. Por otro lado, las oportunidades que genera la ciberseguridad no podrán aprovecharse si no se inten- sifica la colaboración con la sociedad civil, especialmente con el sector pri- vado. Debe existir un compromiso social y político solido y de confianza, así como recursos que nos permitan acometerlos. Uno de los más impor- tantes, además de los económicos, por supuesto, son los humanos. La capacitación profesional y apostar por la educación y la formación en ciber- seguridad para contar con una fuerza laboral permanente y estable es otro

de los elementos fundamentales en este entorno. Podría justificarlo medida a medida, pero me quedo con seguir avanzan- do en compartir información e inte- ligencia, entender la importancia de la ciberseguridad como una ventaja competitiva, no como un gasto u obli- gación, fomentar la cultura de ciberse- guridad a todos los niveles, potenciar la formación de profesionales a través de los estudios de la demanda del mercado y apoyar la inversión en I+D+i y el desarrollo de una industria española de ciberseguridad fuerte. Solo si creemos y apostamos por ello seremos capaces de contribuir a crear un ciberespacio abierto, plural, seguro y confiable. Como acaba de decir, la Estrategia defiende la necesidad de potenciar una industria española de ciberse- guridad, en línea con lo que pro- mueve la UE. ¿Cómo puede impul- sarse dicha industria en el contexto de mercado global actual? La Estrategia para el Mercado Único Digital pone las bases y las medidas para derribar los muros que supo- nen las diferentes legislaciones de los Estados miembros para pasar de varios mercados nacionales a uno único. Las estimaciones de la Comisión Europea indican que esto podría aportar a la economía de la

16 red seguridad segundo trimestre 2019