El martes pasado estuvimos en unas jornadas organizadas por la Fundación Borredá en las que se presentó la capacidad conjunta del CNPIC e INTECO para el establecimiento de un CERT orientado a la Protección de Infraestructuras Críticas; en línea con las hipotéticas líneas de trabajo de esa futura Estrategia Española de Ciberseguridad, se potencia la capacidad de respuesta a incidentes y la Protección de Infraestructuras Críticas en una única iniciativa en la que INTECO y el CNPIC unen sus esfuerzos para mejorar las capacidades de detección, prevención y respuesta a incidentes en el ámbito de la PIC. Y de nuevo en este evento surgieron dos conceptos mágicos que, como el de convergencia del que hablamos en su momento, hasta la fecha están only available for Powerpoint: intercambio de información y colaboración.
Hace poco leía en el blog de @lostinsecurity una entrada bastante clara -y dura, pero real- en la que se referenciaban ambos términos, especialmente significativa después de ver a David Barroso en una mesa redonda en el CNIS de este año, con una frase en negrita con la que lamentablemente no puedo estar más de acuerdo: no existe la colaboración e intercambio de información que debería existir. Como con la convergencia, se nos llena la boca de colaboración y de information sharing… pero como suele pasar, el PPT es muy sufrido y la realidad, muy cruel… Colaboramos como amigos (conozco a fulanito y me hace el favor de darme la info que necesito porque mañana él me pide algo y yo le hago el favor, y luego nos tomamos unas cervezas) pero sin formalizar la relación entre organizaciones, y eso no puede ser; ojo, no es que esté mal, pero por sí mismo, no puede ser por los mil motivos que todos sabemos. Ya lo decía en su post @lostinsecurity: Dejemos el PowerPoint y el Word. Es hora de empezar a hacer algo útil.
Ya en 2007 Jeffry Brady, del National Joint Terrorism Task Force identificaba en Barriers to information sharing los problemas de los que hoy hablamos, cuatro tipos de obstáculos que es necesario afrontar para una compartición efectiva de información; a saber: tecnológicos (como la incompatibilidad entre sistemas de información diferentes), humanos (el más importante, la habitual resistencia al cambio), organizativos (el peor, esa cultura de muchas organizaciones de no compartir datos) y sistémicos (¿leyes?). Han pasado exactamente seis años y los problemas, a pesar de que las soluciones teóricas son muy conocidas, básicamente son los mismos; en opinión de muchos, entre los que personalmente me incluyo, “sólo” tenemos que poner dos cosas sobre la mesa para que estas palabras dejen de ser una utopía y pasen a ser una realidad (y si es efectiva, mejor que mejor): la primera, confianza y la segunda, bidireccionalidad. Tengo que confiar en los que van a recibir -anonimizados o no- información sobre mis incidentes, en muchas ocasiones sensibles; si no confío en ellos, lo que les envíe será poco o nada relevante salvo que un tercero con poder (¿por qué no?) me obligue: y aún así en este caso ya me buscaría la vida para cumplir la obligación dando la menor información posible… y si doy información útil, también quiero recibirla. No es algo nuevo que hayamos descubierto ahora; ya se decía hace años: do ut des. Si sólo soy yo el que aporta a una relación, mal acabará… ¿verdad?
Bien, tenemos claros los problemas y las soluciones… ¿qué pasa entonces? Ni confiamos ni nos gusta dar información. Como hace años, exactamente igual… ¿Qué hacemos? No voy a dar aquí la disertación de siempre sobre establecimiento de relaciones de confianza, modelos de intercambio de información y blablabla… ¿Para qué, si ya la sabemos y no le hacemos caso? Es el mismo discurso que en 2006 o 2007 pero con una diferencia: mientras lo mantenemos hemos perdido seis añitos que seguro que alguien, en algún lugar del mundo, ha aprovechado. Y si seguimos haciendo lo mismo, obtendremos los mismos resultados… a ver si la iniciativa del CNPIC e INTECO rompe esta línea.
Completamente de acuerdo con lo que decía @lostinsecurity: dejemos el PPT y las palabras bonitas y pongámonos manos a la obra. Señores de las Administraciones Públicas: lideren estas iniciativas; desde la empresa privada NO PODEMOS aunque queramos. Potencien el intercambio de información y la colaboración. Oblíguenme si hace falta, pero mejor convénzanme de que es lo mejor para todos (a mí particularmente no, ya estoy convencido ;). Compartamos información, colaboremos… y en especial en la protección de infraestructuras críticas, que tanta falta nos hace. Como decía, confiemos en que la iniciativa conjunta de INTECO y el CNPIC de la que hablábamos al principio tenga éxito y potencie la colaboración y el intercambio de información entre todos los actores involucrados en la PIC, llevándolas a la realidad y, más importante, convirtiéndolas en una salvaguarda de verdad. Nos hace falta como el comer. Ah, y ójala lo podamos hacer antes de que nos llevemos un susto, o algo peor.