Ciberataques y tecnologías de doble uso

Estamos viviendo unas horas difíciles en el mundo digital por los ciberataques de los últimos días. Los detractores de las tecnologías digitales quieren hacer su mayo recordándonos a los tecnófilos la célebre frase de Al Gore: ya lo habíamos avisado. Es verdad que estamos ante un escenario sobrecogedor por el impacto mediático, tampoco inocente, que ha tenido el ciberataque global de rasonware, en el que España ha sufrido un daño importante en algunas empresas de presencia internacional.

Tampoco hay que minimizar el impacto desde un punto de vista policial, tal y como ha manifestado en las últimas horas el director de la Europol: “ataque sin precedentes” hasta ahora por el alcance que ha tenido, en localizaciones tan sensibles como la de los hospitales británicos afectados.

Es verdad todo lo expuesto anteriormente, pero hay que analizar algo muy importante en lo que he tenido siempre un foco gerencial: la gestión de riesgos digitales. Nuestro país es muy dado a acordarse de Santa Bárbara solo cuando truena. Lo he vivido durante muchos años como administrador público en el Sistema Sanitario Público de Andalucía y muchas veces hablar de la gerencia de riesgos era como clamar en el desierto. El riesgo digital es hoy día uno más, pero nada despreciable, porque en cuestión de segundos y si no hay una gestión estratégica corporativa de amplio espectro, se puede dar al traste con años de gestión adecuada, con una pérdida de datos verdaderamente calamitosa. Hablo de gestión del riesgo antecedente, corporativa, con dimensión estratégica y no de gestión del riesgo consecuente, un problema en el que cada unidad directiva o centro de gestión pública tiene que buscarse la vida como pueda.

Lo viví de forma muy preocupante en mi etapa como Director General de Política Digital en la Junta de Andalucía, casi como una obsesión. La gestión de riesgos digitales nunca puede ser una decisión en relación con la gestión de la demanda de los más preocupados o interesados en este problema, sino una oferta garantizada de carácter estratégico, corporativo y sin exclusión alguna. Hablar de centros de gestión de redundancia, gestión de la recuperación y, sobre todo, de la gestión del riesgo antecedente, en alta disponibilidad, en todos los frentes técnicos que existen, es una responsabilidad pública ineludible. La gestión del riesgo antecedente nunca es cara, es obligada, una inversión en definitiva y con retorno seguro. Lo caro es quedarse quieto ante estos actos recordatorios de lo que un día puede pasarnos, sin exclusión alguna, si no estamos preparados y en estado de alerta permanente ante ciberataques de amplio espectro como el que acabamos de sufrir en organizaciones muy conocidas del país.

Sabemos desde el comienzo de la revolución digital que las tecnologías son siempre de doble uso. Muchas veces lo he explicado en este blog, con ejemplos clarificadores y con reflexiones desde la perspectiva de administrador público en el ámbito general y digital. Estoy convencido que los ordenadores, el software y el hardware inventados por el cerebro humano, es decir, el conjunto de tecnologías informáticas que son el corazón de las máquinas que preocupan y mucho a Nicholas Carr, por ejemplo, de forma legítima y bien fundamentada, permiten hoy creer que llegará un día en este “siglo del cerebro”, no mucho más tarde, en que sabremos cómo funciona cada milésima de segundo, y descubriremos que somos más listos que los propios programas informáticos que usamos a diario en las máquinas que nos rodean, porque estoy convencido de que la inteligencia digital desarrolla sobre todo la capacidad y habilidad de las personas para resolver problemas utilizando los sistemas y tecnologías de la información y comunicación cuando están al servicio de la ciudadanía, sobre todo cuando seamos capaces de dar respuesta desde la gestión de riesgos digitales a la dialéctica infernal del doble uso de la informática, es decir, la utilización de los descubrimientos electrónicos para tiempos de guerra y no de paz, como en el caso de los drones o de la fabricación de los chips que paradójicamente se usan lo mismo para la consola PlayStation que para los misiles Tomahawk. Ese es el principal reto de la inteligencia.

El problema enunciado de lo que ha ocurrido con el ciberataque global del viernes pasado no es sólo de corte tecnológico, sino más bien humano, en el pleno sentido del término, siendo conveniente analizarlo en profundidad, porque no está tan lejos de nosotros, de nuestro país, de nuestra Administración, de nuestras casas, de nuestros perfiles digitales. En un contexto de efectos incalculables, quiero reforzar hoy más que nunca la teoría crítica digital de que las tecnologías y las comunicaciones tienen que planificarse y gestionarse de forma estratégica y con carácter prioritario en la Administración Pública, como garantía de un Estado de derecho y constitucional en relación con la relación que establecen los ciudadanos con cualquier Administración Pública, porque la condición humana, simbolizada en hackers, crackers y demás figuras antológicas, o en cualquier funcionario desencantado como en el caso de Wikileaks, puede entregar a intereses espurios, más o menos oscuros, la quintaesencia de las personas, su confidencialidad o la privacidad del Estado de derecho. Así de claro.

Pero ¿cómo ponemos puertas al campo digital? Desde hace muchos años, vengo defendiendo la necesidad de gestionar los riesgos digitales desde una vertiente muy profesionalizada en la Administración Pública. En 2000, en una presentación que llevé a cabo en las Jornadas de Informática Sanitaria de Andalucía, partía de un análisis que ya había lanzado al mundo Nicholas Negroponte y que hoy cobra especial actualidad: “La próxima década será testigo de un sinnúmero de casos de abusos de los derechos de propiedad intelectual y de invasión de nuestra intimidad. Habrá vandalismo digital, piratería del software y robo de información” (El mundo digital). Y allí planteé que se pueden adoptar dos decisiones estratégicas al respecto: la primera, la propugnada ya por Groucho Marx en Una noche en la ópera, cuando vende una póliza a un maletero del barco, que no cubre nada…, en una escena hilarante que siempre perdió fuerza ante la del camarote. Es decir, la cobertura del riesgo consecuente, como actitud tan castiza en España, a la que hacía alusión anteriormente: sólo nos acordamos de Santa Bárbara cuando truena, doblando el papel de la póliza que cubre algún riesgo y olvidándonos de su gestión proactiva:

– O.B. DRIFTWOOD (Groucho Marx): Fíjese en ese guardabarros, está completamente abollado. Tendrá que pagarlo, amigo. ¿Qué número tiene usted?, ¡el 32, eh…! ¿Está asegurado? ¿Que si tiene seguro?
– C.: No señor
– O.B. DRIFTWOOD (G.M.): Es usted el hombre al que andaba buscando. Llevo aquí una póliza que le protegerá contra todo accidente imprevisto. Por ejemplo, pierde una pierna y nosotros le ayudamos a encontrarla y solo le costará… ¿Qué lleva usted ahí? ¡un dólar!, ¡suya es la póliza!

La segunda, la profesionalización de la planificación estratégica de la política y gestión de riesgos digitales, como dos escenarios que tienen que estar esencialmente diferenciados y que están obligatoriamente obligados a entenderse. La gestión de riesgos digitales es una función especializada dentro de la Administración Pública que tiene como objetivo gestionar globalmente la protección de los Sistemas y Tecnologías de la Información y Comunicación, en su relación con los ciudadanos y en aplicación estricta de los marcos legales actualmente establecidos. Además, los criterios clave de selección para el modelo organizativo a aplicar se pueden sintetizar en que todas las funciones se tienen que centralizar estratégicamente en el Estado (Esquema Nacional de Seguridad), agrupando responsabilidades orientadas a procesos, en la aplicación práctica descentralizada en cada Comunidad Autónoma, Diputación y Municipio, y con una gestión estratégica bajo el concepto de “Separación de Responsabilidades” (“Separation of Duties – quien administra/gestiona no opera”).

¿Estaremos ya viviendo la plenitud de una nueva ciencia de la inestabilidad, del riesgo, en el marco científico que ya expuso en su tiempo Ilya Prigogine, Premio Nobel de Química en 1977? Es el saber de la persona instruida lo que la libera, mediante la gestión del conocimiento, lo que permite desdramatizar las planificaciones, programaciones, ejecuciones y evaluaciones de la organización llamada Administración o empresa, porque vivimos en un mundo contingente, caótico, inseguro, cambiante, complejo, inestable e incierto, es decir, en un universo de riesgo, tanto en azar como en necesidad. La inteligencia creadora es la que da forma al saber, es decir, damos un voto de confianza al ser humano frente a los factores y medios de producción tradicionales. El capital y la producción, no son la quintaesencia de las organizaciones. Queda una gran tarea en la Administración Pública, que pasa indefectiblemente por crear una nueva cultura directiva y organizativa ante el riesgo de azar y de no-azar, de la protección de datos de carácter personal, o quizá también reinventando la propia Gerencia de Riesgos, a través de un nuevo paradigma científico, estando muy atentos al discurso mundial que se abre en la actual incertidumbre y ante la necesidad de no estar ajenos a la realidad del año actual y venideros. Los seres humanos seguimos siendo los propios gestores de nuestro futuro, con la ayuda de las nuevas tecnologías: el saber, hoy, sigue siendo el único recurso significativo (Drucker).

El esperpento de la inteligencia americana, que tanto sabe de riesgos digitales, por lo que ocurrió en Wikileaks en 2010 como ejemplo vergonzante, que solo se puede entender en la clave anteriormente expuesta, es una lección histórica para aprender de errores. Y para no volver a cometerlos en lugares más cercanos de lo que muchas veces creemos. A Groucho, solo deberíamos recordarlo por su excepcional sentido del humor inteligente. No por su sentido práctico y muy extendido, más lo que parece, de cobertura del riesgo antecedente y consecuente mediante acciones que no sirven para nada. Como su famosa póliza de un dólar. Gestionando el riesgo digital, sobre todo, por medio de políticas públicas digitales que gestionen directivos y empleados públicos forjados en ética pública digital, no solo transfiriendo esta responsabilidad de Estado a programas informáticos muy sofisticados y máquinas complejas. Otra vez más, no confundiendo, como todo necio, valor y precio.

Sevilla, 14/V/2017