«El aspecto que más me preocupa hoy en día es la falta de profesionales en ciberseguridad»
Desde marzo de 2021, Vicente González forma parte de la unidad de Mercado, Certificación y Estándares de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), así como de su equipo de investigación e innovación.
Lidera el grupo de trabajo encargado de la preparación de la guía para la gestión de vulnerabilidades en soluciones certificadas ENISA Thematic Group for Vulnerability Handling on Certified Solutions.
Antes de unirse a ENISA, trabajó durante 17 años para ISDEFE, en diversos proyectos y direcciones de la organizacíon. Además, cuenta con varias certificaciones en ciberseguridad como CISSP, CISM, CISA y ETH.
Desde 2021 formas parte de la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Cuéntanos cuándo nace ENISA y cuál es el propósito de la organización.
ENISA se fundó hace ya 20 años. En este 2024 celebramos nuestro 20 aniversario. Empezamos nuestra actividad como Agencia de Seguridad para las TIC y, posteriormente, en 2019, cambió la denominación y nos convertimos en la Agencia de la Unión Europea para la Ciberseguridad.
También se estableció una nueva ubicación, y nos movimos desde Creta, donde estábamos, hasta Atenas. A partir de ese momento, con un mandato ya permanente y nuevos recursos, pudimos crecer y abordar muchas más actividades de las que llevábamos a cabo hasta ese momento. Todas estas actividades están contempladas en el Cybersecurity Act, así como la colaboración y cooperación con otras agencias y Estados miembros o la mejora de capacidades de ciberseguridad para todos los países.
Concretamente, tú trabajas en la unidad de Mercado, Certificación y Estándares, y también formas parte del equipo de investigación e innovación. ¿Qué supone (y qué implica) la certificación de ciberseguridad a nivel de la UE?
Lo que se busca con la con la unificación de la certificación de ciberseguridad es armonizar el mercado europeo para la adquisición de productos y servicios de ciberseguridad.
Para ello, estamos creando los esquemas de ciberseguridad. Hemos empezado con el Esquema de Common Critertia (Common Criteria based European cybersecurity certification scheme – EUCC), o de los elementos comunes, que sustituirá al antiguo SOG-IS. Había muchos Estados miembros que ya estaban en este acuerdo, pero, con esto tendremos un esquema unificado para todos. Esto supone que, como productor o creador de un producto, tienes las puertas abiertas para poder vender en toda Europa sin tener que pasar un proceso de certificación específico en cada país.
En este sentido, es muy importante destacar que la certificación a nivel europeo es por ahora voluntaria. Y, a no ser que llegue una nueva ley que la haga obligatoria, todo lo que estamos haciendo es una cuestión voluntaria por parte de los de los fabricantes.
¿En qué proyectos trabajáis en la actualidad? ¿Cuáles son los nuevos esquemas de certificación a destacar? ¿En qué situación se encuentran estos esquemas?
El primer esquema de certificación, del que por fin ya tenemos la regulación publicada desde enero de este año, es el Esquema de Common Criteria (EUCC). Esto significa que pasará un año hasta que podamos tener los primeros certificados, que llegarán el año que viene.
En poco tiempo también esperamos que esté la regulación del esquema de certificación de soluciones en la nube (European Cybersecurity Certification Scheme For Cloud Services – EUCS). De hecho, próximamente tenemos una reunión en Bruselas en la que esperamos que, por fin, se dé el visto bueno al esquema técnico elaborado por ENISA, con el objetivo de que la Comisión trabaje en la autorregulación y que pueda estar listo en breve.
También tenemos casi finalizada, y esperamos poder publicarlo cuanto antes, la parte técnica del esquema de 5G (5G Security – EU5G). Este proyecto se divide en tres partes y se van a priorizar dos de ellas.
Por otro lado, estamos haciendo un estudio de viabilidad para el próximo esquema que creemos que va a llegar, y que probablemente nos encargarán con bastante urgencia, dada la posible modificación de la Ley de Ciberseguridad, en el cual se incluye específicamente un esquema de certificación para proveedores de servicios de ciberseguridad.
Y también hemos hecho un estudio de un posible esquema para Inteligencia Artificial, por si nos llega el encargo. Los resultados de este estudio los publicaremos en los próximos meses.
¿Cuáles son los mayores retos a los que os enfrentáis en ENISA en el trabajo del día a día?
Con toda esta vorágine de regulaciones que están llegando, yo diría que uno de los mayores retos es la adaptación y coordinación que hay que llevar a cabo entre todas ellas. De hecho, en las últimas evaluaciones de la Comisión, uno de los os aspectos clave que se ha tratado es el de conseguir una mayor armonización entre toda la normativa que está saliendo.
Desde ENISA ponemos el foco en esto, pero, a veces no está en nuestra mano lograr esa armonización. Por ejemplo, en el caso de la notificación de incidentes, dependiendo de la regulación que te aplique, a veces es necesario hacer tres notificaciones distintas, a distintos organismos. Nosotros estamos potenciando una armonización en ese proceso y, para ello, nos coordinamos con los representantes nacionales de los Estados miembros.
Otro de los grandes desafíos, que constantemente estamos intentando solventar, es la falta de personal formado en ciberseguridad, ya que la escasez de personas cualificadas supone un riesgo. Y, por mucho que desde Europa se regule y se intente ayudar a las empresas y a los países a mejorar su nivel de seguridad, no lo conseguiremos si no hay personal que pueda cubrir los puestos necesario para realizar esas tareas. Por nuestra parte estamos trabajando mucho en ello, con iniciativas como el European Cybersecurity Skills Framework (ECSF), o la Cybersecurity Skills Academy. De esta forma, tratamos de dotar con más herramientas a los países y solucionar este problema.
Si hablamos de ciberseguridad, y en líneas generales, ¿en qué situación dirías que nos encontramos en Europa? ¿Estamos suficientemente comprometidos los usuarios y, especialmente, las organizaciones con la seguridad de la información?
Entre otras cosas, desde Europa estamos colaborando mucho con Estados Unidos en esta materia. El año pasado empezamos el diálogo, concretamente entre CISA (Cybersecurity & Infraestructure Security Agency – America’s Cyber Defense Agency) y la Comisión, para alinearnos y hacer frente a este gran problema de ciberseguridad que existe a nivel global. Gracias a esto, estamos llegando a grandes acuerdos con Estados Unidos, mediante distintos grupos de trabajo que se están creando. El objetivo es mejorar el estado de la ciberseguridad global que, como sabéis, es una gran amenaza en el paradigma en el que nos encontramos.
A nivel de los usuarios, yo creo que cada día están tomando más consciencia del gran problema que existe y de las medidas que tienen que tomar. En parte esto también sucede gracias a las campañas de comunicación que están realizando las entidades privadas y a los cambios en la normativa. De hecho, uno de los principales cambios que plantea NIS 2 implica que la alta dirección de las empresas se puede enfrentar a responsabilidades, que pueden llegar a ser penales, si no forman a sus empleados. Y yo creo que eso va a suponer un incremento de la ciberseguridad a nivel europeo muy importante.
En la actualidad, hablamos mucho de ciberresiliencia. De hecho, comentábamos en nuestra Jornada de Ciberseguridad que supone un paso más en la ciberseguridad. Uno de los aspectos más importantes en los que ha trabajado ENISA en los últimos tiempos es el Cyber Resilience Act (CRA). ¿En qué consiste CRA y cómo va a beneficiar a los ciudadanos europeos?
Cyber Resilience Act (CRA) se puede explicar y definir fácilmente como el sello europeo de la marca CE de ciberseguridad. Cualquier producto conectado que se venda en Europa va a tener que cumplir con esos mínimos requisitos de ciberseguridad, para poder cumplir con la CRA.
Aunque existen tres niveles dentro de la CRA, el 98% de los productos estarán en el nivel más básico. Por tanto, por ahora, no estamos exigiendo con esto unos requisitos de seguridad muy elevados. Pero, se va a obligar a cumplir unas exigencias mínimas, porque ahora mismo muchísimos de los productos que se están poniendo en el mercado no cumplen con ningún tipo de requisito.
Dentro de mis competencias, una de las cosas con las que estoy trabajando es la cadena de suministro y creo que es importante destacar este aspecto. En Cyber Resilience Act una de las cosas que se le pide al vendedor o al distribuidor es que sepa qué componentes tienen el producto que está vendiendo. Y esto, aunque parezca mentira, es una cuestión complicada, ya que muchos vendedores no saben responder; no saben qué componentes tienen los productos que venden. CRA exige que los vendedores sean capaces de responder a esa pregunta, ya que tendrán que contar con un SBOM (software Bill of materials) o lista de materiales de software.
Por supuesto, todas estas medidas suponen cambios radicales y, por tanto, va a haber un tiempo de adaptación para las empresas, pero, las organizaciones ya tienen que saber que dentro de unos años van a tener que cumplir con ello.
También hablaste en la jornada de otra actividad: el eIDAS Wallet, o cartera de identidad digital de la UE. ¿En qué consiste y en qué situación está este proyecto? ¿Ves factible que, en unos años, los ciudadanos europeos tengamos un DNI comunitario en el móvil?
Hace poco nos llegó el encargo, por parte de la Comisión, de ayudar a los Estados miembros para realizar este wallet a nivel nacional. Hay tres formas de aproximarlo y cada Estado miembro lo abordará de una manera distinta. Puede ser que el propio dispositivo incluya la identificación digital de la persona; que sea en un servicio remoto que provea el país, o en un dispositivo, tipo chip, que tenga el usuario comunitario.
Ante la pregunta de si vamos a tener un sistema unificado a nivel europeo, la respuesta es que no. Cada país abordará el desarrollo de este wallet como decida, pero ese desarrollo sí que va a ser reconocido a nivel europeo. Es decir, si yo como español, por ejemplo, en mi caso, voy a Grecia y me tengo que identificar en una web del gobierno griego para hacer cualquier gestión, mi sistema de identificación va a ser válido.
La idea es que haya una integración entre los sistemas europeos para la identificación de la persona en las páginas gubernamentales de otros países. Esa es la unificación en la que estamos trabajando ahora mismo y vamos a apoyar a los países para esa unificación sea posible. Cada país, eso sí, decidirá qué tecnología va a utilizar y cómo va a desarrollarla.
Con respecto al DNI comunitario, como te comentaba, el objetivo no es que todos tengamos la misma aplicación. La idea es que tú cuentes con tu aplicación “DNI español”, pero, si necesitas validarlo en cualquier otro país de la UE, van a reconocer ese DNI europeo tuyo como válido y van a poderlo comprobar. Y sus sistemas te permitirán acceder, aunque tú tengas tu propia aplicación.
¿Cuál es tu visión sobre el futuro de la ciberseguridad a nivel europeo? ¿Qué aspectos son los que más te preocupan? ¿Hacia dónde debemos ir?
Como te comentaba antes, el aspecto que más me preocupa hoy en día es la falta de profesionales en ciberseguridad. Por nuestra parte, podemos estar creando normativas que intenten apoyar a la industria, que intenten mejorar la ciberseguridad, pero, si no hay personas que puedan cubrir y realizar esas tareas, seguimos teniendo un gran problema.
Tenemos que trabajar mucho más en eso, en ver cómo podemos atraer a este mundo a los perfiles que buscamos para conseguir cubrir las necesidades que existen.
En ENISA trabajáis un grupo de profesionales, pero, también contáis con expertos colaboradores. ¿Con qué tipo de perfiles contáis y cómo se puede colaborar con vosotros?
ENISA no es una organización muy grande, somos 100 personas y cubrimos muchísimas áreas. Por este motivo, en nuestro trabajo diario nos apoyamos de grupos de expertos y, también, contratamos a profesionales individuales para colaborar en informes puntuales.
Yo siempre invito a cualquiera que sea experto en alguna de las diversas ramas de la ciberseguridad a que colabore con nosotros. Buscamos todo tipo de perfiles: cumplimiento normativo, pentesting, consultoría…
En la web contamos con una lista de expertos, en la que cualquier profesional del sector se puede apuntar. Cada seis meses hacemos una evaluación de la gente que se ha apuntado, mediante sus currículums, y los incluimos en una lista interna. De esta forma, cuando necesitamos expertos para algún proyecto o informe, buscamos en esa lista.
Octubre es el Mes Europeo de la Ciberseguridad. Desde ENISA se lleva a cabo esta campaña que promueve la ciberseguridad y las buenas prácticas en esta materia. Por tanto, imagino que es un mes muy importante para vosotros. ¿Cómo lo abordáis?
El mes de la ciberseguridad era un mes muy relevante y para ENISA suponía una de las actividades principales. Y digo “era” porque creo, sinceramente, que ahora el mes de la seguridad son todos los meses. De hecho, por la cantidad de ciberataques que vemos en las noticias, casi todos los días son días de la ciberseguridad.
No quiero decir con esto que se vaya a dejar de hacer esta actividad o que no tenga mucha relevancia, de hecho, cada año se enfoca a un sector específico. Pero, lo cierto es que nuestro trabajo de concienciación debe ser diario.