La ciberseguridad se está volviendo una prioridad para los ciudadanos, las empresas y los gobiernos Europeos y de todo el mundo. Esto porque el uso de las nuevas tecnologías y de Internet comporta unos riesgos en términos de seguridad que pueden poner en peligro no solamente la privacidad de la información personal, sino a enteras industrias estratégicas de un país, a sus infraestructuras críticas y, en últimas instancias, a su estabilidad.
En este escenario de “ciberguerra global”, las nuevas amenazas están representadas por los ciberataques y por la cibervigilancia.
Un ciberataque es un conjunto de acciones perpetradas a través de Internet y vueltas a destruir o comprometer los sistemas informáticos de una entidad, infraestructuras o gobierno. Un ciberataque puede ser llevado a cabo por unas personas concretas (hackers) por grupos organizados (terroristas, activistas, etc.) o por un mismo gobierno, dentro de una estrategia de ciberguerra.
Las consecuencias suelen ser graves pérdidas de ventajas competitivas, pérdidas económicas, además de un fuerte impacto en la seguridad nacional. Caso ejemplar es el ataque sufrido por el gobierno de Estonia en 2007 que dejó a sus servicios públicos totalmente offline. Las causas de un ciberataque son de buscar en los fallos de seguridad debido a tecnología vulnerable o no confiable, es decir, hardware y software desarrollado en países extranjeros.
Por otro lado, la cibervigilancia es el acceso masivo ilegal o no ético a datos personales y a comunicaciones de ciudadanos a través de Internet y a dispositivos electrónicos conectados (teléfonos celulares, smartphones, tabletas o PC). Aunque después del “caso Snowden” la cibervigilancia esté más asociada a gobiernos y agencias gubernamentales como la NSA, no hay que olvidar que puede ser llevada a cabo por empresas privadas – fabricantes de dispositivos, proveedores de servicios de Internet, buscadores, etc.
Las prácticas ilegales de cibervigilancia son posible por la alta dependencia de los ciudadanos de las redes de comunicación – a menudo desarrolladas y controladas por países extranjeros, como Internet – y a una legislación nacional e internacional no clara y fragmentada. Las consecuencias son a nivel personal – daño directo a la privacidad y pérdida de confianza en la tecnología y en los principios democráticos de gobiernos enteros – así como a nivel institucional, cuando se lleva a cabo a daño de representantes del gobierno.
Frente a estas amenazas, las estrategias de defensa se basan en cuatro pilares:
- En primer lugar, la tecnología. El fomento de una industria IT nacional o europea de servicios, software, hardware, y criptografía, puede proporcionar mayores garantías en términos de vulnerabilidad y de fiabilidad.
- En segundo lugar, los sistemas de gestión. Incorporar en las empresas y gobiernos sistemas de gestión de la seguridad que incorporen la seguridad por diseño, además de la gestión dinámica del riesgo y de la compartición de la información.
- En tercer lugar, la legislación. Fomentar las certificaciones de seguridad a nivel europeo (comoSOG-IS) y los marcos de cooperación internacional en protección de datos y privacidad.
- Finalmente, la formación. Hay que contar con profesionales concienciados, formados y entrenados, para hacer frente a las nuevas amenazas.