Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la siguiente pregunta: ¿qué opinais acerca de las infraestructuras críticas -o estratégicas- españolas que son auditadas (en materia de seguridad, pero podríamos hacerlo extensible a tantas otras cosas..) por organizaciones extranjeras? A fin de cuentas, cuando llega el auditor a certificar nuestro SGSI le enseñamos buena parte de las tripas de nuestra seguridad, por no decir todas… Por supuesto, la respuesta de los auditores fue la esperada: es cuanto menos curioso que se produzca esta situación, y no es lo deseable; claro, tanto AENOR como S2 Grupo, son empresas españolas, por lo que era fácil estar de acuerdo :)
Con lo que nos gusta hablar de protección de infraestructuras críticas, seguridad nacional, ataques terroristas de terceros países y demás (a los que trabajamos en seguridad y desde hace un tiempo parece que también a los políticos), no parecen muy coherentes situaciones en las que aspectos relevantes de la seguridad de estas infraestructuras son accedidas sin reparos por terceros paises -algunos de ellos “amigos”, por ahora, y otros menos amigos, también por ahora-. Tampoco parece muy coherente que buena parte de la tecnología utilizada, por no decir toda, no sea nacional (¿algún fabricante de SCADA español? Yo no conozco…).
Muchos equipos de usuario son Dell, tienen instalado Microsoft Windows con un bonito Office encima, nuestros datos viajan a través de routers Cisco, nos enviamos correos con IBM Lotus Notes y por supuesto, si queremos contratar una auditoría o la puesta en marcha de algo importante, nos vamos a consultoras americanas con nombres difíciles de pronunciar, que molan más (luego nos mandan a un becario de Alcorcón, pero la empresa es americana); ahí estamos los españolitos, apoyando el producto nacional… es más, ni siquiera apoyamos al software open source, que es de todos y no es de nadie, más que con cuatro iniciativas políticas que aportan poco o nada… Ojo, no tengo nada contra ninguna de las empresas citadas, pero es que Spain is different.
Consumir “producto” nacional (léase producto por servicio, proyecto, empresa…) no es sólo una cuestión económica, sino que en muchas ocasiones también es un tema de seguridad. En este sentido, iniciativas como el Consejo Nacional Consultivo sobre Ciberseguridad (CNCCS) son muy claras en sus requisitos de adhesión: el primero, ser una compañía española, cuya empresa matriz o central resida en nuestro país; sin ir tan lejos como algún político, que trataba de defender que los datos de los españoles estén en servidores de España (algo muy interesante pero poco factible, bajo mi punto de vista), sí que creo necesario defender más el producto nacional, como decía, tanto por una cuestión económica como por una cuestión de seguridad. Y también porque en términos generales los profesionales, empresas, productos… españoles creo que tienen (tenemos) poco o nada que envidiar a sus equivalentes de otros paises; y si en algún caso tienen (tenemos) algo que envidiar, es porque no nos hemos esforzado -aún- lo suficiente: estaríamos ocupados viendo algún Madrid-Barça o legislando sobre temas importantísimos para superar la crisis, como las descargas en Internet ;)
Estaría muy bien que, en especial en infraestructuras críticas, pero también en todo lo demás, se diera preferencia al uso de software de seguridad español (desde un antivirus a programas de control), se intentara que las auditorías -y la consultoría- las ejecutaran empresas españolas, se evitara introducir a empresas extranjeras en centros de seguridad relevantes y, por qué no, se potenciara el uso de software abierto, por poner unos ejemplos; ojo, siempre que los españoles estemos en igualdad de condiciones que otras alternativas: es complicado plantearse instalar un sistema que no cumpla con unas especificaciones dadas o contratar un servicio más pobre simplemente por ser nacional.
Por supuesto, no quiero plantear ni que dejemos de usar todo lo que no sea nacional (mañana estaríamos volviendo al trueque en lugar de conectarnos a Internet, y si una empresa nacional fabrica electrónica de red con la capacidad de Cisco que venga y me lo cuente… ¡ójala!). Simplemente opino que a condiciones equivalentes debemos optar por lo nacional: creo que mejorará nuestra economía (salir de la crisis sería optimista) y también nuestra seguridad. Sin tapujos, el CNI tiene más fácil el control de empresas nacionales que americanas y la ayuda que recibirá ante un problema en un producto nacional o en un servicio mal prestado por una empresa española creo que será mayor… o al menos diferente y, sobre todo, amiga (al menos a priori). Y este es un tema que debe ser potenciado desde las administraciones públicas, en especial desde las que tienen responsabilidades en materia de seguridad, y también en especial en lo que respecta a I+D+i: sembrar hoy para recoger mañana, le llaman. Y con las administraciones públicas a la cabeza, detrás de ellas iremos los demás.
[…] This post was mentioned on Twitter by Jesús Pérez Serna and Soy Trasterito , hackplayers. hackplayers said: ¿Seguridad nacional?: Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la sig… http://bit.ly/gD9jKR […]