UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE

CIBERSEGURIDAD. Agosto 2011 P ágina |1

UN MODELO EDUCATIVO PARA UNA

ESTRATEGIA NACIONAL DE CIBERSEGURIDAD
Autores: José Ramón Coz Fernández y Enrique Fojón Chamorro.

Ingeniería de Sistemas para la Defensa de España (ISDEFE). Beatriz de

Bobadilla nº 3. 28040. Madrid

jrcoz@isdefe.es, efojon@isdefe.es

Madrid, Agosto 2011

RESUMEN

Proporcionar garantías razonables para un adecuado desarrollo cultural, social y

económico en un país es una responsabilidad indelegable del Estado. Dentro del
amplio abanico de esta responsabilidad, la función de protección de la Ciberseguridad
desempeña un rol muy destacado y nuestro país aún no ha evolucionado hasta el nivel
requerido por los ciudadanos, que demandan un servicio público que otorgue
seguridad, eficacia y eficiencia en el control y la protección de la información en el
ciberespacio. Uno de los instrumentos clave utilizados por los países de nuestro
entorno es la definición de una Estrategia Nacional de Ciberseguridad. Las estrategias
internacionales puestas en marcha basan su funcionamiento en una serie de pilares
básicos. Un pilar muy destacado es la Educación. Este artículo resume las
características más relevantes de la educación en esta materia y propone un modelo
para su gestión. Este modelo educativo puede potenciar y consolidar una futura
estrategia nacional sobre Ciberseguridad en España.

Palabras Clave: Seguridad, Ciberespacio, Tecnologías, Información,

Comunicaciones, Ciberdefensa, Ciberseguridad, Infraestructuras Críticas, Educación.

UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |2

1. INTRODUCCIÓN

El ciberespacio constituye una parte esencial de nuestras sociedades, economías e,

incluso, puede llegar a ser un factor determinante en la evolución de las culturas, o
quizás de su convergencia [1]. En línea con su carácter estratégico, multitud de países
de nuestro entorno están llevando a cabo mecanismos que permiten la protección de
su ciberespacio, incluyendo la prevención y protección contra ataques así como la
capacidad de respuesta ante los mismos.

Las naciones están construyendo, de manera activa, la defensa de su ciberespacio.

Una gran variedad de países como es el caso de Estados Unidos, que ya en el año
2003 aprobó la Estrategia de Seguridad Nacional en el Ciberespacio [2], el Reino
Unido, Canadá, Australia, Estonia, Francia, Alemania, Holanda, Japón, Finlandia o
Nueva Zelanda cuentan ya no solo con una Estrategia Nacional sobre Ciberseguridad
sino que además han establecido una serie de acciones de carácter estratégico para
coordinar su desarrollo y consolidación.

Aunque cada uno de estos países está dando un enfoque muy particular y adaptando
a sus circunstancias todas las líneas de acción, los pilares sobre los que se
fundamentan sus estrategias y el rol destacado que confieren a la Educación marcan
una gran comunalidad en todos ellos.

En España, aunque se han implementado diversos mecanismos y organismos para la

defensa de su ciberespacio, como la protección de las infraestructuras críticas y sus
sistemas asociados y organismos como el Centro Nacional para la Protección de las
Infraestructuras Críticas (CNPIC) [3], los organismos de respuesta ante incidentes de
seguridad (CERT, Computer Emergency Response Team) [4], otras iniciativas como el
Esquema Nacional de Seguridad, la gestión de los sistemas clasificados, los sistemas
asociados a las infraestructuras críticas [5], la protección de datos personales y la
Agencia Española de Protección de Datos (AGPD) o el Grupo de Delitos Telemáticos
de la Guardia Civil y la Unidad de Investigación de la Delincuencia en Tecnologías de
la Información de la Policía Nacional, responsables de combatir la delincuencia que se
produce en el ciberespacio, aún no se dispone de una Estrategia Nacional de
Ciberseguridad.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |3

2. LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD Y SU

ENCUADRE NORMATIVO

El marco legal y normativo en España emana de la Constitución. En el ámbito de la

Defensa destaca el artículo octavo que menciona la Ley que regulará las bases de la
Defensa. Esta Ley Orgánica, 5/2005 de 17 de noviembre, regula la Defensa Nacional y
establece las bases de la organización militar [7].

Posteriormente se establece la Directiva de Defensa Nacional 1/2008 [8], promulgada

por el Presidente del Gobierno, y cuyo objeto principal es establecer las líneas
generales de la Política de Defensa y las directrices para su desarrollo. A continuación,
la Directiva de Política de Defensa 1/2009 [9], que promulga el Ministro de Defensa,
para establecer las líneas generales de actuación y las directrices para el
Planeamiento de la Defensa. La Directiva de Política de Defensa prevé su encuadre
en una Estrategia de Seguridad Nacional. La Estrategia Española de Seguridad ha
sido aprobada en Junio de este año [10]. En este encuadre normativo debe definirse la
Estrategia Nacional de Ciberseguridad.

Esta Estrategia Nacional de Ciberseguridad, aún no definida, tendrá como pilares

básicos aspectos muy similares al del resto de las estrategias nacionales de
Ciberseguridad existentes en el ámbito internacional y que incluyen un liderazgo
desde el Estado en materia de Ciberseguridad, la creación de una Estructura
Organizativa de Control, el desarrollo de Foros de Comunicación, el impulso
Económico Público - Privado a la Ciberseguridad, la Política Exterior en materia de
Ciberseguridad, la normalización y legislación de la Ciberseguridad y la gestión del
I+D+i sobre Ciberseguridad [6].
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |4

3. LA EDUCACION Y SU IMPACTO

Una Estrategia Nacional sobre Ciberseguridad (en adelante, ENC) que no considere a
la Educación como una parte esencial no logrará su propósito ni a medio ni a largo
plazo. Es más que evidente el papel que puede jugar la Educación en cualquier
iniciativa de tipo socio - cultural y tecnológica. En el caso de la defensa del
ciberespacio su importancia es muy destacada. Esa es la razón por la cual en el
ámbito internacional se están llevando a cabo iniciativas que permitan que, desde la
Educación, se potencien los resultados de la Ciberdefensa.

El Estado deberá de impulsar y liderar las iniciativas relacionadas con la Educación

que emanen de la ENC, articulando objetivos estratégicos, metas y prioridades y
proporcionando una visión clara del futuro deseado sobre la seguridad en el
ciberespacio a nivel nacional.

Para garantizar el éxito de una ENC todos los roles participantes en el proceso, que
incluyen no solo el sector público y el sector privado, sino a los propios ciudadanos,
deben conocer los fundamentos más básicos de la seguridad en el ciberespacio. La
Educación puede facilitar el establecimiento de los foros de comunicación que
permitan dar a conocer y crear conciencia sobre la gravedad de la seguridad
cibernética, dirigiendo campañas de sensibilización para elevar el nivel de
conocimientos y acercando la normalización en esta materia a todos los agentes
involucrados. En el ámbito nacional se debe promover la cooperación entre los
organismos nacionales, regionales y/o locales con competencias en el ámbito de la
defensa del ciberespacio. En el entorno internacional se está fomentando esta
cooperación a través de acuerdos multinacionales como el International Watch and
Warning Network (IWWN).

Otro aspecto básico que ya se ha mencionado y tiene un gran impacto en la

Educación es la gestión de I+D+i en Ciberseguridad. Las estrategias internacionales
dan una importancia capital a la investigación, el desarrollo y la innovación en materia
de seguridad cibernética. Además, a través de la Educación se pueda impulsar el
aumento del número y las competencias de profesionales en esta materia, incluyendo
especialistas en seguridad de la información y la delincuencia informática,
investigadores, expertos jurídicos, etc.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |5

4. MODELO EDUCATIVO SOBRE CIBERSEGURIDAD

4.1 VISIÓN GENERAL DEL MODELO

El modelo Educativo planteado, en línea con algunos modelos internacionales como el

“National Initiative for Cybersecurity Education Strategic Plan” de los Estados Unidos
[12], está estructurado en una serie de Capas, tal y como se puede observar en la
siguiente figura.

MODELO EDUCATIVO
OBJETIVOS
ORGANIZACION
GESTION DEL
PUBLICA
CONOCIMIENTO

RECURSOS AGENTES INFORMACION HERRAMIENTAS

PRIVADA

La primera de ellas incluye los objetivos principales a cubrir y los recursos. En el caso
de algunos países, como Holanda, se ha elaborado una visión muy particular sobre la
defensa de su ciberespacio y pese a contar con una Estrategia Nacional de
Ciberseguridad e identificar la importancia estratégica de la defensa de su
ciberespacio no ha dotado presupuestariamente el desarrollo de la estructura y la
obtención de las capacidades para su Ciberdefensa, instando al sector privado a
sufragar la seguridad de su ciberespacio específico. Un impulso económico adecuado,
tanto para el sector público como para el sector privado es clave para dar el impulso
necesario en materia educativa, reforzando las asociaciones público-privadas a través
de una mejora de la propuesta de valor y uso de incentivos. La segunda capa es el
diseño organizativo, que incluirá a ambos sectores (público y privado), y la última capa
es la gestión del conocimiento, que abarca la participación de los agentes, la gestión
de la información relevante y el conjunto de herramientas que soporten su
administración y uso.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |6
4.2 PLANTEAMIENTO DE OBJETIVOS

Uno de los objetivos estratégicos podría focalizarse en el aumento de la conciencia

sobre los riesgos del uso del ciberespacio, mejorando el conocimiento de los
ciudadanos para que puedan tomar las decisiones más apropiadas e incrementando el
conocimiento de la seguridad cibernética en las organizaciones para que los recursos
sean utilizados de forma responsable. Se pueden tomar como ejemplo Iniciativas
llevadas a cabo en otros países como la campaña “Stop.Think.Connect” del
Department of Homeland Security (DHS),que tiene como principal meta el fomento de
la formación y la concienciación en materia de Ciberseguridad en todos los ámbitos de
la sociedad estadounidense.

Otro de los objetivos más destacados podría enfocarse en la ampliación del número de
trabajadores cualificados capaces de soportar una “nación cibersegura”. Para ello se
hace necesario mejorar la educación en la Ciencia, la Tecnología y la Ingeniería,
haciendo hincapié en el importante papel de las matemáticas y el pensamiento
computacional y sin olvidar los aspectos legislativos y normativos. En otros países se
aboga por un aumento en la cantidad y calidad de los cursos académicos de ciencias
de la computación en las escuelas secundarias y por un incremento en la cantidad y
calidad de los programas de seguridad cibernética de pregrado y posgrado para
estudiantes de ciencias de la computación y, más ampliamente, de TI y de seguridad
relacionados con los programas de grado. En este punto, destacar el papel que podría
jugar en España la Agencia Nacional de Evaluación de la Calidad y Acreditación
(ANECA), potenciando la mejora de la actividad docente, investigadora y de gestión de
las universidades en esta materia. Aumentar el número de profesionales con
certificaciones en materia de seguridad, como las certificaciones de la ISACA (CISA,
CISM, CGEIT o CRISC) y otras como CISSP de ISC2, en las Administraciones
Públicas, debería ser una prioridad. En la actualidad la carencia de estas
certificaciones es notable en este ámbito.

Un tercer objetivo de tipo estratégico podría incluir los incentivos, apoyos y

reconocimientos de la excelencia en la investigación de postgrado y doctorado a nivel
de la seguridad cibernética y el desarrollo de productos y sistemas relacionados con la
seguridad cibernética a nivel industrial.

Por último, un cuarto objetivo agruparía el estudio de la aplicación de las normas de

profesionalización, certificación, acreditaciones y concesión de licencias, en los casos
necesarios, en los campos de seguridad cibernética.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |7
4.3 DISEÑO ORGANIZATIVO

En España hay diferentes actores que tienen una responsabilidad directa en la gestión
de la formación y educación sobre la Ciberseguridad y que incluyen al Gobierno, a la
Comunidad Educativa, a las Organizaciones Profesionales y a la propia Industria.
Todos ellos deben interactuar para lograr los objetivos que se planteen en este ámbito.

ORG.
PROFES.

COMUNIDAD
GOBIERNO EDUCACION EDUCATIVA

INDUSTRIA

En el caso del Gobierno, el abanico de organismos es considerable. Por un lado

tenemos al Ministerio de Industria, Comercio y Turismo, y algunos organismos
dependientes como INTECO o Red.es, con responsabilidades en la gestión de los
operadores de comunicaciones, en seguridad, accesibilidad y calidad. Por otro lado el
Ministerio de Interior con la Secretaria de Estado de Seguridad y otros departamentos
con responsabilidad en la protección de infraestructuras críticas (CNPIC). También el
Ministerio de Defensa y el Centro Nacional de Inteligencia (CNI), que incluye al Centro
Criptológico Nacional (CCN). Además, sería necesario incluir a todos los organismos
con responsabilidad en la Gestión del I+D+i, como el caso del Ministerio de Industria y
su Centro para el Desarrollo Tecnológico e Industrial (CDTI) o el Ministerio de Ciencia
e Innovación y su Agencia Estatal CSIC o los centros de I+D+i del Ministerio de
Defensa, para coordinar las actividades en esta materia. Por último, el Ministerio de
Política Territorial y Administración Pública que también incluye el Consejo Superior de
Administración Electrónica con responsabilidades en la política y estrategia en
tecnologías de la información y la implantación de la administración electrónica.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |8

También podríamos destacar a la Agencia Española de Protección de Datos, como

autoridad de control independiente que vela por el cumplimiento de la normativa sobre
protección de datos y garantiza y tutela el derecho fundamental a la protección de
datos de carácter personal.

La Comunidad Educativa incluye al Ministerio de Educación, con responsabilidades en

la cooperación y colaboración entre las Comunidades Autónomas y las entidades
locales en materia educativa. Esta Comunidad, además, incluye las Universidades y
Centros de Formación privados. También las Organizaciones Profesionales deben
participar en este proceso, incluyendo programas formativos, participando y
gestionando Congresos y Foros. Estas organizaciones podrían participar de forma
directa en la formación de profesionales de las administraciones públicas para la
mejora de sus competencias mediante programas de certificación del personal..

Por último, debe considerarse el sector privado, no solamente en su responsabilidad

de la gestión de la mayor parte de las infraestructuras críticas, sino también en su
función de proveedor de los productos y servicios relacionados con la seguridad de las
tecnologías de la información y las comunicaciones y en su labor de investigación,
innovación y desarrollo.

En otros países, precisamente, ya se ha identificado como una debilidad la falta de

coordinación entre el crisol de todos los organismos que tienen responsabilidad sobre
la seguridad de su ciberespacio. Por ello, en algunos de ellos, podemos destacar el
caso del Reino Unido o de Australia, se ha decidido concentrar estas
responsabilidades creando una serie de organismos ad-hoc y soportados por una
dotación presupuestaria para desarrollar la estructura y obtener las capacidades
necesarias para mejorar la defensa del ciberespacio (en el caso del Reino Unido la
dotación es de 500 millones de Euros).

Por último, sin el establecimiento de una estructura de gobernanza de la estrategia

planteada en materia educativa no podrá medirse su grado de cumplimiento. La
principal responsabilidad de esta estructura será garantizar el cumplimiento de los
objetivos planteados, y que deberán alinearse con los objetivos y metas de la futura
Estrategia Nacional de Ciberseguridad.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P ágina |9
4.4 LA GESTIÓN DEL CONOCIMIENTO

La Gestión del Conocimiento tiene como objetivo transferir el conocimiento y la

experiencia existente entre los miembros de una organización, de tal forma que pueda
ser utilizado como un recurso disponible para el resto de los componentes de la
organización. La Gestión del Conocimiento hay que verla como un proceso que incluye
técnicas y metodologías para obtener, clasificar, organizar, almacenar y comunicar y
conocimiento de los miembros de la organización. El objetivo es transformar el
conocimiento en un activo intelectual que preste beneficios y se pueda compartir.

En el Modelo Educativo planteado la Gestión del Conocimiento incluye a los agentes o

miembros que participarán, que ya fueron citados en el diseño organizativo, la
información que compartirán y en una serie de herramientas que apoyen la gestión del
conocimiento, soportando la obtención, la transferencia, la seguridad y la
administración sistemática de la información compartida, junto con los sistemas
diseñados para ayudar a hacer el mejor uso de ese conocimiento.

En el caso de Estados Unidos, las estructuras y capacidades desarrolladas para el

soporte educativo en materia de ciberseguridad la no son comparables a las
desarrolladas por ningún otro país. EEEUU, que identificó hace más de quince años la
importancia de disponer de un ciberespacio seguro, ha desarrollado un modelo de
madurez para la Gestión del Conocimiento en Ciberseguridad que soporta una
Estrategia en materia educativa. Este modelo contempla seis estados de madurez.

El primero de ellos tiene como objetivo obtener la conciencia de los problemas de

seguridad cibernética; el segundo la comprensión del problema y los aspectos técnicos
y sociales; el tercer estado de madurez el reconocimiento de la responsabilidad de
todos los agentes implicados y que todos ellos conozcan las acciones a llevar a cabo;
en el estado de madurez cuarto se incluyen la adquisición y desarrollo de
herramientas, técnicas y sistemas de protección y de gestión del conocimiento; poner
en práctica estos sistemas las herramientas y técnicas tendría lugar en el quinto
estado de madurez y por último, el sexto estado de madurez, el mantenimiento,
aprendizaje continuo y la respuesta a las amenazas.

En el caso de España puede plantearse un escenario similar que sería gestionado y

soportado desde la estructura de gobernanza ya mencionada con anterioridad.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P á g i n a | 10

CONCLUSION

Los principales países de nuestro entorno ya han desarrollado una Estrategia Nacional
sobre Ciberseguridad, basada en una serie de pilares básicos. La Educación juega un
rol imprescindible para el éxito de los objetivos planteados en estos países. En el caso
de España, aún no se ha definido la Estrategia Nacional de Ciberseguridad. En este
artículo se expone un Modelo Educativo para dar soporte a una futura Estrategia
Nacional de Ciberseguridad en España y que incluye el planteamiento de una serie de
objetivos de carácter estratégico, un análisis sobre el diseño organizativo que de
soporte y unos apuntes sobre la importancia que desempeña la Gestión del
Conocimiento en este ámbito.

REFERENCIAS

[1] E. Fojón, A. Sanz. Ciberseguridad en España: una propuesta para su gestión. ARI.
Real Instituto Elcano. Junio
2010.http://www.realinstitutoelcano.org/wps/wcm/connect/c1360e8042e4fcf49e51ff5cb
2335b49/ARI102-2010_Fojon_Sanz_ciberseguridad_Espana.pdf?
MOD=AJPERES&CACHEID=c1360e8042e4fcf49e51ff5cb2335b49

[2] John H. Dexter. The Cyber Security Management System: A Conceptual Mapping.
The SANS Institute, February 2002.
http://www.sans.org/reading_room/whitepapers/basics/cyber-security-management-
system-conceptual-mapping_591

[3] María José Caro Bejarano. La protección de las infraestructuras criticas. Instituto
Español de Estudios Estratégicos. Julio 2011.
http://www.google.es/url?sa=t&source=web&cd=1&ved=0CB0QFjAA&url=http%3A%2F
%2Fwww.ieee.es%2FGalerias%2Ffichero%2Fdocs_analisis%2F2011%2FDIEEEA21_
2011ProteccionInfraestructurasCriticas.pdf&ei=mAFRTr5wyZeFB4vytMIG&usg=AFQjC
NELp27imIKWEQTNYV3eJK_QmGYDiw

[4] Información sobre CERT: CCN-CERT. https://www.ccn-cert.cni.es/, INTECO-CERT

http://cert.inteco.es/Acerca_de/IRIS-CERT. https://www.rediris.es/cert/.
UN MODELO EDUCATIVO PARA UNA ESTRATEGIA NACIONAL DE
CIBERSEGURIDAD. Agosto 2011 P á g i n a | 11

[5] Javier Candau Romero. Estrategias nacionales de Ciberseguridad. Ciberterrorismo.

Instituto Español de Estudios Estratégicos. Instituto Gutiérrez Mellado. Cuadernos de
Estrategia. Diciembre 2010.
http://www.google.es/url?sa=t&source=web&cd=1&ved=0CBwQFjAA&url=http%3A%2
F%2Fwww.portalcultura.mde.es%2FGalerias%2Fpublicaciones%2Ffichero%2FCE_14
9.pdf&ei=tONRTrylD8XCtAaGlInHAw&usg=AFQjCNF3-
u6U_7CDv7Mn_ITD6tQywQNaDg

[6] José Ramón Coz Fernández y Enrique Fojón Chamorro. Panorama Internacional
en el establecimiento de Estrategias Nacionales de Ciberseguridad. Revista SIC.
Seguridad, Informática y Comunicaciones. Junio 2011.
http://www.revistasic.com/revista95/articulo07_95.htm

[7] Ley Orgánica 5/2005 de 17 de noviembre que regula la Defensa Nacional y

establece las bases de la organización militar.
http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2005-18933

[8]Directiva de Defensa Nacional. Enero 2008.

http://merln.ndu.edu/whitepapers/Spain2008.pdf

[9] Resumen Ejecutivo de la Directiva de Política de Defensa. Enero 2009.

http://www.defensa.gob.es/Galerias/politica/seguridad-
defensa/ficheros/DGL_ResumenEjecutivDPD_1-2009.pdf

[10] Estrategia Española de Seguridad. Junio 2011.

http://www.lamoncloa.gob.es/NR/rdonlyres/D0D9A8EB-17D0-45A5-ADFF-
46A8AF4C2931/0/EstrategiaEspanolaDeSeguridad.pdf

[11] Estrategia Española de Seguridad. Junio 2011.

http://www.lamoncloa.gob.es/NR/rdonlyres/D0D9A8EB-17D0-45A5-ADFF-
46A8AF4C2931/0/EstrategiaEspanolaDeSeguridad.pdf

[12] US National Initiative for Cybersecurity Education Strategic Plan. Agosto

2011.http://csrc.nist.gov/nice/documents/nicestratplan/Draft_NICE-Strategic-
Plan_Aug2011.pdf