ENTREVISTAS

Adquirir este número de Red Seguridad Imprimir artículo

UDO HELMBRECHT, DIRECTOR EJECUTIVO DE LA AGENCIA EUROPEA PARA LA SEGURIDAD DE LAS REDES Y LA INFORMACIÓN (ENISA)

"En materia de seguridad TIC, España es de los pocos países que están haciendo las cosas bien"

La ENISA cuenta con un plan bien definido en lo que respecta a seguridad de redes y de la información hasta 2020. Así se concretó en Granada, durante la cita organizada por la Presidencia española de la UE, que el director ejecutivo ha calificado con nota. La Agencia exige una colaboración más estrecha entre países como única vía posible para lograr un marco supranacional de protección de Internet, así como una policía internacional especializada en ciberdelitos.

Tx y Ft: Ángel Gallego

¿Cuál es su evaluación sobre las iniciativas impulsadas por la Presidencia española de la Unión Europea (UE) en materia de Seguridad?
El evento sobre confianza celebrado en León, "Trust in the Information Society", y una conferencia sobre cloud computing en Barcelona o el enfoque internacional de la última jornada de ISMS Forum y el marco regulatorio de las telecomunicaciones han sido algunas de las actividades apoyadas por la Presidencia española. Su intención de llevar las tecnologías a los nuevos modelos de negocio y su interés por la privacidad del ciudadano muestran que España está muy volcada en iniciativas importantes, a la altura de un país preocupado por la seguridad de las TI, una faceta en la que ha mejorado mucho. La Europa de los 27 no está bien representada en términos de seguridad global, pero España es de los pocos países que están haciendo las cosas bien.

Si comparamos aspectos de TI actuales con los de hace seis años, las inversiones en TI y seguridad han mejorado mucho en los países de la UE. Un caso excepcional es Estonia, casi al nivel de los países nórdicos, pero porque cuenta con una población menor. Países grandes como España, Reino Unido, Francia o Alemania lo tienen más complicado a la hora de coordinar acciones, más aún cuando hablamos de países políticamente estructurados con subregiones, como las 17 comunidades autónomas españolas.

Volviendo al principio de la pregunta, creo que el enfoque de la Presidencia española ha sido muy bueno.

Se puede decir que España ha dejado un buen legado a sus sucesores…
En términos de perspectiva de negocio, sí, porque sus iniciativas consiguen captar la atención de la industria TI. Sólo hay que mirar el plantel de compañías multinacionales que han otorgado su apoyo a la VII jornada de ISMS Forum, junto al soporte de los organismos públicos y de la Unión Europea a través de la ENISA.

El principal requerimiento de la ENISA para garantizar la seguridad TI en Europa es la disponibilidad online 24/7. ¿No cree que el elevado precio de la banda ancha es una barrera importante en países como España?
Sí puede ser una de las barreras, pero porque se requiere un cambio de cultura. Si vas a un hotel en Estonia, la red inalámbrica para conectarse a Internet es gratis; lo mismo en el aeropuerto, y esto fomentaría el mercado de servicios bajo demanda. En Alemania o Grecia, no, como sabemos. Ocurre lo mismo con el coste de roaming, donde las operadoras internacionales han de rebajar sus pretensiones, y la comisaria Reading se expresó en este sentido: no es lógico que en la UE enviar mensajes de texto o realizar llamadas sea sustancialmente más caro si se hace entre países miembros.

Hablaba antes de cloud computing, ¿cuáles son los primeros pasos para cualquier compañía que planee migrar sus aplicaciones empresariales a este modelo? ¿Cuáles son los principales riesgos que deberían evitar?
Si se habla de cloud, la primera pregunta que hay que hacerse es: "¿Cuál es tu negocio? ¿De qué depende?". Después habría que analizar qué procedimientos seguimos para mantener seguros los datos, porque existen diferentes modelos: Private Cloud, relacionado con un proveedor concreto o, incluso, con los gobiernos, que se responsabilizan de la protección de los datos. En este caso, se da una relación más cercana entre cliente y proveedor, dentro de un marco definido y aceptado por los dos, validado por el marco regulatorio de cada país. En Public Cloud hay que tener más cuidado con los datos que se ceden, ya que podemos alojar información confidencial en China, donde su normativa de protección de datos no tiene nada que ver con la europea.

¿Estamos muy lejos de integrar a las Fuerzas y Cuerpos de Seguridad (FCS) de los países miembros en este cometido?
En Europa es la policía la que está actuando a un nivel operativo y persigue a los delincuentes. El reto es crear un marco legal diferente entre los países miembros para hacer frente a la pérdida de información; no puede ser el mismo que para la policía que actúa a pie de calle.

¿Considera que existe suficiente colaboración entre países (dentro y fuera de Europa) para combatir el cibercrimen?
La cooperación siempre puede ser mejorada. Es una carrera constante contra los criminales, pues nunca debemos dormirnos en los laureles. En seguridad, como en atletismo, necesitas entrenar a diario para estar en lo más alto. De acuerdo al pasado Consejo del 26 de abril, estamos comprometidos con una estrategia para estrechar lazos entre las diferentes instituciones europeas (EMSI, CEPOL, EUROJUST, Europol, ENISA, etc.) con organismos supranacionales (Interpol, ONU, etc.) sobre las nuevas preocupaciones en materia tecnológica. El reto es entender mejor el modus operandi de los criminales y maximizar el resultado de estos esfuerzos comunes.

Fuera de Europa, puede servir el ejemplo de la ENISA, en contacto continuo con Estados Unidos, a través del consejero de Cyber Seguridad de la Casa Blanca, Howard Schmidt, que también es miembro fundador del Permanent Stakeholders' Group. Además, permanecemos activos en foros internacionales como la Organización para la Cooperación y el Desarrollo Económico (OCDE) y la International Telecommunication Union (ITU), así como en conferencias internacionales en Asia o África.

En su opinión, ¿es posible conseguir un marco global para mejorar la protección de Internet?
Buena pregunta. Nuestros principios fundacionales recogen precisamente esto. Lo que realmente necesitamos es más concienciación, porque el crimen organizado es un reto para cualquier país. Primero, debemos aclarar cómo prevenimos el cibercrimen y, en segundo lugar, cómo están avanzando las leyes para combatirlo. Cabe recordar que la ENISA es un organismo experto, cuyo trabajo es la prevención, es decir, que no combatimos el crimen a un nivel operativo. De esto se encargan Europol y las FCS de cada Estado miembro. Para prevenir males mayores, precisamos mayor cooperación entre los 27, ya que en el futuro necesitaríamos armonizar una ley internacional, de manera que sea más fácil reaccionar ante esos delitos no tipificados aún. Los criminales operan globalmente y, si no cooperamos, acabarán huyendo a los lugares con leyes más laxas. Ahora mismo, hacer una ley está, por supuesto, fuera del alcance de la ENISA, pero es necesario promoverlo para que los diferentes estamentos políticos y judiciales trabajen juntos para conseguirlo.

¿En qué puntos va a trabajar la Agencia de forma más decidida durante los próximos meses? ¿Los problemas de Europa difieren mucho de los de Estados Unidos? La razón de ser de la ENISA va a seguir siendo el impulso de la protección de la información en Europa. Por supuesto, para conseguirlo, vamos a estrechar vías de colaboración entre compañías europeas y norteamericanas. Vamos a crear equipos de investigación para favorecer la implantación del modelo de Software como Servicio (SaaS), teniendo siempre en cuenta que nuestra estructura social y de gobierno es muy distinta a la de Estados Unidos, Sudáfrica o China.

La cooperación entre Europa y Estados Unidos se ha estrechado desde la aparición del phishing y del robo de tarjetas de crédito y, en este y otros sentidos, seguiremos coordinando esfuerzos. El phishing depende de patrones de conducta, es un problema de educación, muy sencillo de evitar. A nadie se le ocurre facilitar el password de su tarjeta por teléfono, del mismo modo que no debería facilitarse por email bajo ningún concepto. Son aspectos sociales, como actualizar el firewall o el antivirus de nuestros equipos; de poco sirve que mejore la tecnología si no aplicamos los últimos avances.

¿Cuántos grupos de trabajo y cuáles están funcionando actualmente en la UE relacionados con seguridad TIC, firma electrónica, infraestructuras críticas, etc.?
Desafortunadamente, no es posible contabilizar el número de grupos de los diferentes órganos públicos y privados que están trabajando en Europa a diferentes niveles y en diferentes ámbitos.

Sin embargo, lo que ha hecho la ENISA es presentar unas 'páginas amarillas' de los diferentes cuerpos de seguridad y redes de los Estados miembros. En este informe puedes encontrar a lo largo de 750 páginas, desde el pasado año, actualizado y con una versión ampliada, quiénes son los principales actores de la Seguridad TIC en la UE y qué papeles desempeñan.

Antes mencionaba el Permanent Stakeholders' Group (PSG), donde ejercen su labor tres reconocidos profesionales españoles. ¿En qué consiste su función?
El PSG está constituido por 30 miembros de acuerdo a sus méritos profesionales y provenientes de instituciones académicas, de la industria y de organizaciones de consumidores dentro del campo de las Redes y la Seguridad de la Información. Su misión como expertos es de asesoramiento, con el objetivo de desarrollar los programas definidos de manera satisfactoria. Ellos también votan sobre las prioridades de la ENISA de cara al próximo ejercicio y en la confección de la agenda.

Su trabajo en cuanto a análisis de tendencias y necesidades de negocio sirve de 'termómetro' para la Agencia.

¿Qué opina de las especulaciones que apuntaban que la ENISA podía cesar su actividad como consecuencia de la crisis?
No había escuchado nada antes, pero permíteme decirte que esas especulaciones son totalmente infundadas. Es posible que surjan a partir de la crisis económica en Grecia -cabe recordar que nuestra sede está en Creta...-, pero el futuro de una Agencia europea no depende de la economía nacional de ningún país.

El papel de la ENISA ha sido reforzado dentro de una renovada regulación, anunciada por la comisaria Neelie Kroes a finales de mayo, con un papel más activo en los CERT, Confianza y Seguridad y prevención del cibercrimen. Esta decisión obedece a los aspectos recogidos en la Agenda Digital para Europa y también en la reunión de Granada, con motivo de la Presidencia española de la UE, donde se detallaron tareas muy concretas que la ENISA habrá de coordinar hasta el año 2020.

Desde mi punto de vista, considero que son medidas con suficiente consistencia y decisiones rigurosas que no sólo desmienten cualquier tipo de rumor, sino que justifican el fortalecimiento de nuestra actividad de cara al futuro.

Lo que está claro es que a pesar del trabajo realizado, los peligros no van a desaparecer de la noche a la mañana. Por lo tanto, si algo necesitamos incrementar son los esfuerzos para securizar la economía digital europea y la Sociedad de la Información en el continente, pues la seguridad de las operaciones es tan crucial para el ciudadano como para las empresas.

Pensemos en un escenario hipotético. En caso de ataque ciberterrorista, ¿cuál es la preparación de la Unión Europea? ¿Quién sería el responsable último?
Al hablar de Unión Europea estamos hablando siempre de Estados miembros, cada uno de ellos con un nivel de seguridad y preparación distintos. Es complicado predecir las consecuencias, pero sí conviene recordar que existe falta de comunicación entre los distintos países de la Unión entre sí para tratar estos temas. Es preciso establecer una mayor colaboración, como decíamos anteriormente, entre instituciones y proveedores para reforzar la protección en caso de un gran ataque, pues cada uno es responsable de su infraestructura. La Unión ayuda a cada Estado, pero cada uno aplica las recomendaciones y medidas de forma independiente.

'Quién es quién'

Es de sobra conocida la utilidad de cualquier guía específica para localizar los datos de una entidad que nos interesa por sus servicios o de una persona en concreto, por la labor profesional que desarrolla.

Con este objetivo, la ENISA ha publicado recientemente sus 'páginas amarillas' de la Seguridad en la Unión Europea, como señala Udo Helmbrecht en esta entrevista. Los datos comenzaron a recopilarse en 2009 y están actualizados por países. A lo largo de estas 750 páginas, que se pueden descargar en versión pdf de Internet, podemos encontrar no sólo los nombres de los organismos públicos y privados supervisados por la Agencia, sino también políticas en activo y presupuestos públicos destinados a proyectos de Seguridad. En el caso concreto de España, el "Spain Country Report" de la Agencia consta de 30 páginas, donde se exponen las principales medidas adoptadas recientemente por el Gobierno español para impulsar la seguridad de la información en la Administración pública, así como grandes proyectos reconocidos internacionalmente, como el eDNI.