Desde octubre o noviembre de 2016 la seguridad ha sido un tema fundamental en el mundo del gobierno y la Administración Pública. La filtración de los correos de Hillary Clinton en su tiempo como Secretaria de Estado y el hackeo de la Convención Nacional Demócrata afectaron a la campaña presidencial de Estados Unidos.
En el momento en que las sospechas de dichas filtraciones se orientaron a Rusia, y a su posible influencia en su resultado final, aumentó la preocupación. Finalmente, la actitud de Trump hacia la incompetencia de todo el stablishment estadounidense de protegerse obligaba a redoblar todos los esfuerzos en esta materia. Desde su llegada, el fichaje de Giuliani como asesor de seguridad muy orientado al tema digital, consolidó la apuesta.
Cualquiera que siga la actualidad de la prensa especializada estadounidense desde noviembre, habrá podido observar que seguridad es la palabra del momento. Simultaneamente, el equipo 18F del gobierno federal, encargado de potenciar los servicios digitales públicos de calidad, temía que el apoyo gubernamental decayera. Esto es crítico, dado que dicho apoyo es necesario para mantener un servicio por definición deficitario.
Si alguien tenía esperanzas de que esto no fuera así, con el reciente ataque masivo con el virus Wannacry puede salir de dudas. En los próximos meses o años todo girará en torno a la seguridad. Esto no es malo si no fuera porque la agenda políticia y el mercado tienen la costumbre de centrar la atención en un solo tema. Es decir, me temo, que los tiempos de preocuparnos por unos servicios públicos digitales de calidad, o una administración más abierta van a caer enterrados bajo múltiples productos de seguridad informática.
¿Es esto malo? Bien, antes de responder, hagamos una pequeña recapitulación. España (por poner un ejemplo que conocemos bien), tiene una Ley de Acceso Electrónico a los Servicios Públicos (ya desbordada) desde 2007. En dicha ley contemplaba la creación de unas normas básicas de seguridad para toda la Administración: el llamado Esquema Nacional de Seguridad (ENS). Dicha norma llegó con cierto (bastante) retraso sobre su previsión. Su contenido, aunque no soy un experto en la materia, es bastante sólido, aunque no es ajeno a su "acto fundador": la orientación a los derechos de la ciudadanía. Este enfoque centra gran parte el control en la relación entre la administración y los ciudadanos. Sin embargo, la experiencia nos dice que el ENS no tiene una implantación extensa en las Administraciones. Tenemos una norma bien definida que no se aplica de manera sistemática por sus destinatarios en parte porque, bueno, posiblmente sea implanteable por criterios económicos, de apoyo o de prioridades de los responsables públicos. O por todas ellas.
Por otro lado, si nos damos un poco la vuelta, nos encontramos con que los requisitos de seguridad para la ciudadanía son altos. O al menos, las molestias derivadas de que esos requisitos estén ahí. El modelo de la Administración electrónica española ha dejado un sistema basado en certificados digitales para todo y con plataformas tecnológicas no siempre sencilla en aras de la seguridad del procedimiento. Es decir, por un motivo o por otro, hemos puesto una seguridad no del todo efectiva, pero si bastante incómoda, en el punto final de la relación. Este enfoque hace muy complejo el uso de los servicios digitales. Nos hemos quedado con gran parte de lo malo, sin disfrutar de muchas cosas buenas o necesarias.
Esto no significa que haya que eliminar la seguridad de la tramitación. Tampoco significa que debamos obviar el riesgo que hay en el mundo digital hoy en día y de los que empezamos a vislumbrar el alcance. Si antes un problema de seguridad informática podía suponer la pérdida de años de trabajo, hoy en día puede, literalmente, acabar con la vida de muchas personas. El problema está en que el concepto de seguridad no es algo que podamos limitar a medidas, normas, productos y demás. La seguridad no sólo es evitar que te hagan daño, sino hacer lo que tienes que hacer y saber cómo hacer las cosas para que, en caso de que te hagan daño, éste sea el mínimo. Uno no deja de ir a trabajar por miedo a que le roben, pero si existe esa posibilidad, no sale con todo el dinero en la cartera y gritando que acaba de cobrar.
Es decir, la seguridad es básica, pero es algo que debe afectar a nuestro propio modelo tecnológico. Para ello, es necesario que:
- Asumamos un conjunto de normas que podamos cumplir para tener una organización lo suficientemente segura. No podemos hacer nada seguro al 100%, pero si fijar hasta dónde podemos estar seguros y, a partir de ahí, entender los riesgos que podemos correr.
- Definir qué es lo que podemos hacer nosotros dentro de ese riesgo. Es decir, si creemos que no tenemos suficientes medios para tener todo archivado solo en digital, quizá no sea el momento de hacerlo.
- Establecer qué es lo que necesitamos para poder cumplir un servicio. La Administración, como otras muchas organizaciones, solicita una cantidad de datos y condiciones que superan con mucho las razonables y proporcionales para el mismo. Cuando se pide un dato, ese dato se almacena. Cuando un dato se almacena, es un dato hackeable. Un dato almacenado innecesariamente es un dato hackeable innecesariamente.
- Entender que la seguridad es una obligación para la realización de un servicio. Preservar un nivel razonable de seguridad es algo que hay que hacer a todo precio. Sin embargo, no todos los servicios son asumibles o necesarios a toda costa. Si para hacer posible un servicio digital hay que asumir un coste enorme de seguridad tanto para la organización, como de uso para el ciudadano, hay que plantearse la utilidad del mismo.
El mundo digital empieza a enseñar muchos riesgos y vulnerabilidades que pueden tener un alcance masivo y difícil de localizar. Es necesario asumir este riesgo en su medida y considerarlo a la hora de diseñar la administración digital en general y cada servicio en particular.
