TESIS DOCTORAL LA CIBERSEGURIDAD EN ESPAÑA 2011 – 2015 UNA PROPUESTA DE MODELO DE ORGANIZACIÓN UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA FACULTAD DE CIENCIAS POLÍTICAS Y SOCIOLOGÍA DEPARTAMENTO DE CIENCIA POLÍTICA Y DE LA ADMINISTRACIÓN Autor: D. Aníbal Villalba Fernández Enseñanza Superior Militar Director: Dr. D. Faustino Fernández-Miranda Alonso Codirectora: Dra. Dña. Margarita Gómez-Reino Cachafeiro Madrid 2015 1 Agradecimientos 2 3 ÍNDICE INTRODUCCIÓN ...................................................................................................................... 8 1. PRESENTACIÓN Y JUSTIFICACIÓN DEL OBJETO DE ESTUDIO. LA PREGUNTA DE INVESTIGACIÓN ....................................................................................................................... 8 2. METODOLOGÍA. ............................................................................................................ 13 3. CONCEPTOS UTILIZADOS Y DEFINICIONES ...................................................................... 27 4. DE LA PREGUNTA DE INVESTIGACIÓN A LA ESTRUCTURA DE LA INVESTIGACIÓN. .............. 29 5. MOTIVACIONES PERSONALES ........................................................................................ 42 CAPÍTULO 1. EVOLUCIÓN DE LOS INCIDENTES DE CIBERSEGURIDAD EN ESPAÑA 2011-2015 .............................................................................................................................. 44 1.1. LA CIBERSEGURIDAD EN EL CONTEXTO DE LOS RIESGOS GLOBALES ............................ 45 1.2. CIBERAMENAZAS: ORÍGENES, OBJETIVOS Y EFECTOS ................................................. 50 1.3. LOS CIBERINCIDENTES EN ESPAÑA ............................................................................ 60 1.4. LA RESPUESTA A LOS CIBERINCIDENTES .................................................................... 71 1.5. TENDENCIAS ............................................................................................................ 72 CONCLUSIONES DEL CAPÍTULO 1. ......................................................................................... 77 CAPÍTULO 2. EVOLUCIÓN DEL PENSAMIENTO ESTRATÉGICO .................................... 80 2.1. DISCONTINUIDAD Y ESCASEZ DE LITERATURA ESTRATÉGICA ....................................... 82 2.2. PENSAMIENTO ESTRATÉGICO EN LA ANTIGUA CHINA .................................................. 84 2.3. PENSAMIENTO ESTRATÉGICO EN LA GRECIA Y ROMA CLÁSICAS .................................. 87 2.4. TRANSICIÓN HACIA LA EDAD MODERNA EN OCCIDENTE .............................................. 93 2.5. DE MAQUIAVELO A CLAUSEWITZ ............................................................................... 98 2.6. DEL SIGLO XX A NUESTROS DÍAS ............................................................................ 108 CONCLUSIONES DEL CAPÍTULO 2. ....................................................................................... 115 CAPÍTULO 3. LAS ESTRATEGIAS NACIONALES DE SEGURIDAD ............................... 117 3.1. ESTADOS UNIDOS DE AMÉRICA ....................................................................... 119 3.1.1. La generación del sistema de estrategias nacionales de seguridad ............ 119 3.1.2. Las estrategias de seguridad nacional en Estados Unidos .......................... 121 3.1.3. La estructura de seguridad nacional en Estados Unidos .............................. 127 3.2. REPÚBLICA POPULAR CHINA ........................................................................... 131 3.2.1. Estrategia china de seguridad nacional ....................................................... 131 3.2.2. El Libro Blanco “Estrategia Militar de China”, mayo 2015 ............................ 135 3.2.3. La Ley de Seguridad Nacional de China, julio 2015 ..................................... 141 3.2.4. Estructura de seguridad nacional en China .................................................. 143 3.3. FEDERACIÓN DE RUSIA ..................................................................................... 147 3.3.1. La Estrategia de Seguridad Nacional de Rusia para el año 2020 ................ 148 3.3.2. La Doctrina Militar de la Federación de Rusia hasta el 2020 ....................... 154 3.3.3. El Consejo de Seguridad Nacional de Rusia ................................................ 156 CONCLUSIONES DEL CAPÍTULO 3 ........................................................................................ 159 4 CAPÍTULO 4. INICIATIVAS INTERNACIONALES EN EL ÁMBITO DEL PLANEAMIENTO DE LA CIBERSEGURIDAD ................................................................................................. 163 4.1. UNIÓN EUROPEA ................................................................................................ 163 4.1.1. La Política Exterior y de Seguridad Común (PESC) y La Política Común de Seguridad y Defensa (PCSD) de la UE ........................................................................ 163 4.1.2. La Ciberseguridad en la Unión Europea ....................................................... 185 4.2. LA CIBERSEGURIDAD EN ORGANIZACIONES Y FOROS INTERNACIONALES .. 208 4.2.1. Naciones Unidas ........................................................................................... 208 4.2.2. Organización del Tratado del Atlántico Norte ............................................... 212 4.2.3. Organización para la Seguridad y la Cooperación en Europa ...................... 215 CONCLUSIONES DEL CAPÍTULO 4 ........................................................................................ 218 CAPÍTULO 5. DE LAS ESTRATEGIAS NACIONALES DE CIBERSEGURIDAD A LOS MODELOS DE ORGANIZACIÓN DE LA CIBERSEGURIDAD. .......................................... 219 5.1. ESTADOS UNIDOS DE AMÉRICA ....................................................................... 219 5.1.1. De la Estrategia Nacional de Ciberseguridad al modelo de organización .......... 219 5.2. LA CIBERSEGURIDAD EN LA REPÚBLICA POPULAR DE CHINA .................... 236 5.2.1. La ciberseguridad en la Estrategia de Seguridad Nacional de China .......... 236 5.2.2. Las responsabilidades en la estructura de ciberseguridad en China ........... 245 5.3. RUSIA ................................................................................................................... 247 5.3.1. La ciberseguridad en la estructura de seguridad nacional de Rusia ............ 247 5.3.2. Los aspectos militares de la ciberseguridad en Rusia .................................. 261 5.3.3. La estructura de ciberseguridad de la Federación de Rusia ........................ 262 5.4. LA SITUACIÓN DE LA CIBERSEGURIDAD EN LOS PAÍSES DE LA UNIÓN EUROPEA .............. 264 5.4.1. Reino Unido .................................................................................................. 275 5.4.2. Francia .......................................................................................................... 279 5.4.3. Alemania ....................................................................................................... 284 CONCLUSIONES DEL CAPÍTULO 5 ........................................................................................ 291 CAPÍTULO 6. EL PLANEAMIENTO DE CIBERSEGURIDAD EN ESPAÑA. ..................... 293 6.1. LA LEY DE SEGURIDAD NACIONAL ................................................................... 293 6.2. EL SISTEMA DE SEGURIDAD NACIONAL .......................................................... 295 6.3. LA ESTRATEGIA DE SEGURIDAD NACIONAL EN ESPAÑA. ............................ 298 6.4. LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD EN ESPAÑA. ................. 311 6.5. EL DESARROLLO DE LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD. .. 322 6.6. LA CIBERSEGURIDAD EN EL INFORME ANUAL DE SEGURIDAD NACIONAL.326 6.6.1. El Informe Anual de Seguridad Nacional. ..................................................... 326 6.6.2. La ciberseguridad en el Informe Anual de Seguridad Nacional 2013 ........... 328 6.6.3. La ciberseguridad en el Informe Anual de Seguridad Nacional 2014 ........... 337 6.7. EL ESQUEMA NACIONAL DE SEGURIDAD (ENS) EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA ................................................................................ 344 6.7.1. Desarrollo del ENS en el ámbito de la Administración Electrónica ............... 344 6.7.2. La adecuación del ENS en el ámbito de la Administración Electrónica ....... 355 6.7 3. Análisis y gestión de riesgos de la ciberseguridad en España en el ENS .... 361 CAPÍTULO 7. PROPUESTA DE UN MODELO DE ORGANIZACIÓN DE LA CIBERSEGURIDAD EN ESPAÑA. ...................................................................................... 364 7.1. ORGANIZACIÓN ACTUAL DE LA GOBERNANZA DE LA CIBERSEGURIDAD EN ESPAÑA. .......................................................................................................................... 364 7.1.1. NIVEL POLÍTICO ESTRATÉGICO ..................................................................... 364 5 7.1.2. NIVEL OPERACIONAL ...................................................................................... 366 7.1.3. NIVEL TÁCTICO Y TÉCNICO ............................................................................ 369 7.3. PROPUESTA DE UN MODELO DE ORGANIZACIÓN DE LA CIBERSEGURIDAD EN ESPAÑA. .......................................................................................................................... 386 CONCLUSIONES ................................................................................................................. 400 BIBLIOGRAFÍA .................................................................................................................... 408 PUBLICACIONES ................................................................................................................. 408 PÁGINAS WEB ..................................................................................................................... 413 ANEXOS .............................................................................................................................. 434 ANEXO 1: LEGISLACIÓN QUE EL CONSEJO DE LA UNIÓN EUROPEA CONSIDERA APLICABLE EN EL ÁMBITO DE LA CIBERSEGURIDAD, TRAS LA APROBACIÓN DE LA ESTRATEGIA DE CIBERSEGURIDAD DE LA UNIÓN EUROPEA. ...................................................................................................... 435 ANEXO 2: GRADO DE CUMPLIMIENTO DE ESPAÑA DE NIVELES DE CIBERSEGURIDAD .............. 441 ANEXO 3: GRADO DE CUMPLIMIENTO DEL REINO UNIDO DE NIVELES DE CIBERSEGURIDAD .... 444 ANEXO 4: GRADO DE CUMPLIMIENTO DE ALEMANIA DE NIVELES DE CIBERSEGURIDAD ........... 447 ANEXO 5: GRADO DE CUMPLIMIENTO DE FRANCIA DE NIVELES DE CIBERSEGURIDAD ............. 451 ANEXO 6: ORGANIZACIÓN DE LA CIBERSEGURIDAD EN JAPÓN .............................................. 454 6 7 INTRODUCCIÓN 1. Presentación y justificación del objeto de estudio. La pregunta de investigación El ciberespacio ha introducido una nueva dimensión en las sociedades y su uso se ha incorporado de modo cotidiano y generalizado. Gracias a las nuevas tecnologías y al uso extensivo de internet, se están desarrollando proyectos que abarcan las áreas más diversas de las actividades humanas. Los adelantos en las comunicaciones y el abaratamiento de los costes están generando una red en la que pocos elementos escapan a estar conectados, incluso los objetos de uso cotidiano, en lo que se ha venido a llamar el internet de las cosas. Los aspectos positivos de la utilización del ciberespacio son numerosos. La generación de nuevas capacidades en campos como las comunicaciones, la investigación científica, los procesos industriales o la gestión del conocimiento son evidentes. Además, el acceso de modo casi generalizado a las redes ha constituido un escenario rico en oportunidades para una gran parte de la población. Esta revolución tecnológica y su impacto social están conformando un escenario que impregna la vida de las sociedades. No obstante, esta situación presenta nuevos retos a los que no se sustraen los diferentes actores políticos, principalmente los Estados. Entre estos desafíos se encuentran la protección y recuperación de los sistemas de infraestructuras críticas ante agresiones que utilizan el ciberespacio como entorno y vehículo para interferir en las actividades de los ciudadanos y de las instituciones. De esta forma, hoy en día, los Estados deben hacer frente a ataques contra la seguridad de los sistemas de las Tecnologías de la Información y las Comunicaciones (TIC) de gobiernos, administraciones públicas y empresas con alto valor estratégico. Esta situación ha conformado un nuevo escenario, que precisa atención de los diferentes actores políticos para adaptarse. 8 España no ha permanecido inmune a las agresiones que utilizan el ciberespacio para atentar contra los más variados aspectos de la seguridad, llegando a verse comprometidos servicios críticos y otros aspectos que afectan a la seguridad nacional. En este escenario, se han desarrollado diferentes medidas de carácter político, de planeamiento estratégico de la ciberseguridad y de creación de estructuras organizativas y de carácter técnico, con el objetivo de hacer frente a los desafíos que el uso del ciberespacio tiene para la seguridad nacional. En el ámbito del planeamiento de la seguridad nacional en España, cabe destacar la aprobación por el Consejo de Ministros, el 24 de junio de 2011, de la primera estrategia de seguridad nacional en España: “Estrategia Española de Seguridad. Una responsabilidad de todos”, donde por vez primera se incorpora la ciberseguridad a los niveles superiores de planeamiento estratégico nacional. Esta estrategia se actualizó con la aprobación, por el Consejo de Ministros, el 31 de mayo de 2013, de la “Estrategia de Seguridad Nacional. Un proyecto compartido”. Señala la referencia del Consejo de Ministros que “La Estrategia de Seguridad Nacional de 2013, coordinada por el Departamento de Seguridad Nacional de la Presidencia del Gobierno, es una revisión de la Estrategia aprobada en 2011 por el anterior Ejecutivo, y que cuenta con el respaldo político del principal partido de la oposición. El objetivo del Gobierno es reforzar y hacer extensible a todos, este consenso político y social, porque se trata de una verdadera política de Estado.” Continúa la referencia del Consejo de Ministros señalando que “La Estrategia de 2013 concibe la Seguridad Nacional de una forma amplia y global, por lo que incluye muy distintos ámbitos de actuación. Tradicionalmente, el concepto de Seguridad Nacional se ceñía a la defensa y la seguridad pública, pero hoy se extiende a nuevos actores y amenazas y, por ello, la Seguridad Nacional hace frente a nuevos riesgos como las ciberamenazas.” En este sentido, la Estrategia de Seguridad Nacional de 2013 contempla hasta doce riesgos para nuestra seguridad: conflictos armados; terrorismo; ciberamenazas; 9
Description: