Miguel García-Menéndez
CEO, Castroalonso
La protección de los activos de información, de organizaciones e individuos, en el espacio digital es mucho más que tecnología (mucho más que manejo de tecnología).
Lamentablemente, no todo el mundo entiende la seguridad digital con la debida transversalidad. No es la primera vez que alguien me espeta aquello de «¡Eso no es Ciberseguridad!», cuando trato de explicar que bajo dicha disciplina caben actividades tan honrosas y dispares como la planificación estratégica, la gestión de la demanda, la priorización de inversiones (gestión de cartera), la dirección de programas y/o proyectos, la gestión de proveedores, o la comunicación; por no citar el análisis de mercado (observación de tendencias), la formación, la adopción de marcos de referencia de buenas prácticas o el cumplimiento de la legislación. Aunque cierto es que quienes se dicen especialistas en lo «cíber» cada vez tiene más interiorizadas esas últimas, como parte del repertorio profesional propio o de alguno de su compañeros.
**
De todas las actividades «colaterales» a la Ciberseguridad —¡insisto, como si no fuese una de ellas; y, desde luego, no una menor!— hay una que ha venido recibiendo el estatus de «maría» durante largo tiempo: me refiero a la Comunicación.
En Ciberseguridad no solo ha sido habitual —sigue siéndolo— cometer el error de «No muevo ficha —no invierto, ni pongo recursos, ni medidas, etc.— hasta que no me pase algo», en lo que podría tildarse de una nítida materialización del Mito de la Irrelevancia («¿Quién va a venir a buscarme las cosquillas a mí, para lo poquito que yo soy?»); sino que a ello habría que sumar el hecho de que, tradicionalmente, cuando alguien ha tenido a bien dotar a su organización de las mínimas cautelas —controles de seguridad, preventivos o correctivos—, precisamente la previsión/planificación de los mensajes a comunicar en el caso de verse envuelto en un incidente ha brillado por su ausencia.
Por fortuna, ese panorama ha evolucionado, para mejor, en tiempos recientes. Y ello ha sido gracias al desarrollo del marco normativo: la notificación de ciberincidentes está recogida, hoy, en más de una norma jurídica —convendría, eso sí, que lo estuviera de la manera más homogénea posible, para beneficio y economía de esfuerzos de los afectados por las diferentes regulaciones—. Se han resuelto, de ese modo, algunos aspectos de la tarea comunicativa: las normas, fundamentalmente, dejan claros los plazos en que han de realizarse las oportunas notificaciones, así como las audiencias a quien han de dirigirse. No obstante, el tema clave, aún no resuelto, es el del mensaje propiamente dicho.
**
Hace cosa de tres años disfruté la agradabilísima experiencia de vivir, desde dentro, la «Liga de Retos en el Ciberespacio» de la Guardia Civil (la famosa «National Cyber League» que, desde 2019, viene organizando el Centro Universitario del instituto armado). Allí, el enfoque que se le da a la competición pasa por la conformación de equipos mixtos de al menos tres integrantes, de los cuales uno ha de representar la vertiente tecnológica —participante de perfil técnico—, otro la normativa —perfil jurídico— y un tercero la comunicativa —alguien con habilidades, digamos, sociales—. Es de justicia subrayar que el hecho de que lo hayan planteado así desde la primera edición habla muy bien de la visión amplia, horizontal, que sobre la Ciberseguridad tienen en el Cuerpo.
En lo que a mí respecta, como integrante del equipo de mentores del área de comunicación en la edición de aquel año, tuve ocasión de participar en algunas discusiones preparatorias, en las que se debatía la orientación de las preguntas que se habrían de lanzar a los concursantes. En el transcurso de aquellas reuniones, surgió la duda sobre si no se estarían solapando las cuestiones jurídicas con las de comunicación. ¡Pues, sí, claro que se estaban solapando! De hecho, las preguntas del capítulo de comunicación se estaban circunscribiendo únicamente al tema plazos/audiencias que marcaba la legislación, en lugar de a aspectos como ¿quién debería realizar la comunicación (dar la cara) en caso de producirse un ciberincidente en una organización? ¿con cuánta antelación debería estar preparado el plan de comunicación? ¿qué perfil habrían de tener los profesionales encargados de elaborarlo y mantenerlo al día? ¿cuáles eran los tiempos que habrían de respetarse en la emisión de mensajes (más allá de los plazos normativos)? ¿cuál habría de ser su contenido?, etc.; cuestiones todas ellas que no se encontraban en los textos jurídicos de referencia, pero que parecían plenamente pertinentes para que los jóvenes participantes en la competición fuesen haciéndose una idea del papel que ha de jugar la comunicación en las organizaciones; y el de quienes, en ellas, tienen a su cargo tal responsabilidad.
**
Sobre la falta de una orientación más concreta con relación al contenido de los mensajes que han de dar respuesta a las necesidades de comunicación de una organización ante un ciberincidente, el hecho de que cada entidad —y sus circunstancias— «sea un mundo», sin duda, no facilita la tarea. Lo que sí está más al alcance es detectar en dichos mensajes ciertas coletillas que han sido objeto de uso, y abuso, por quienes han tenido que enfrentarse a esas desagradables circunstancias en el pasado. Entre tales coletillas o palabras clave, destacaría el adjetivo «complejo». La frase «Hemos sido objeto de un complejo ataque …» ha salido de la boca de no pocos responsables corporativos en los últimos años, en un aparente intento de eludir —o, al menos, rebajar— el grado de responsabilidad, tanto propia como de la organización: la complejidad del asunto ha sido tal, que ha hecho inviable cualquier medida mitigadora … [que hubiésemos podido poner en marcha].
Hoy, sin embargo, el recurso a la complejidad de los ciberataques parece estar siendo superado. En las últimas semanas hemos sido testigos de cómo el nuevo comodín al que están recurriendo las entidades afectadas por problemas de naturaleza cíber están siendo sus proveedores: la famosa cadena de suministro. De este modo, el nuevo mantra ha pasado a ser: «No, si nosotros no hemos sufrido ningún incidente; ha sido un proveedor …».
¿Habrá recordar, una vez más, que la responsabilidad —particularmente, la responsabilidad en materia de rendición de cuentas— no es externalizable?