La gobernanza de la ciberseguridad en Españaun estudio empírico de los actores, redes de colaboración y prospectiva desde las teorías de la seguridad plural
- María José Rodríguez Mesa Zuzendaria
- Antonio Manuel Díaz Fernández Zuzendarikidea
Defentsa unibertsitatea: Universidad de Cádiz
Fecha de defensa: 2021(e)ko iraila-(a)k 10
- Luis Ramón Ruiz Rodríguez Presidentea
- Ana Isabel Cerezo Domínguez Idazkaria
- Shlomo Shpiro Kidea
Mota: Tesia
Laburpena
La explosiva aparición de Internet vino acompañada del surgimiento del cibercrimen, cuya incidencia no ha parado de crecer en los últi-mos años. Este incremento del cibercrimen no ha venido, sin embar-go, acompañado de una respuesta eficaz desde las organizaciones policiales. Las investigaciones científicas han comprobado cómo el proceso de adaptación de las organizaciones policiales a la lucha con-tra el cibercrimen ha sido tardío y deficiente. Esta tesis doctoral parte de la premisa de que, en este contexto de desajuste, han aparecido nuevas organizaciones públicas y privadas que han asumido aquellos roles en la provisión de ciberseguridad que no estaban siendo desem-peñados por las policías, dando lugar a un fenómeno denominado por los criminólogos como pluralización de la seguridad. Sobre esta premisa, se presenta el estudio de caso de la gober-nanza de la ciberseguridad en España para responder a cuatro pre-guntas de investigación. Primera, ¿cuáles son los actores que proveen ciberseguridad en España? Segunda, ¿qué características describen el rol que tienen los actores en la provisión de ciberseguridad en Espa-ña? Tercera, ¿qué características describen las relaciones de colabora-ción entre los actores proveedores de ciberseguridad en España? Y cuarta, ¿qué características describen el modelo de gobernanza de la ciberseguridad más probable y más deseable para España el año 2035? Para responder a estas cuatro preguntas de investigación, se di-señó un estudio Delphi en tres rondas con 129 expertos en seguridad y ciberseguridad y 34 entrevistas en profundidad, que fue comple-mentado con el análisis documental y bibliográfico. Los resultados sostienen que España sigue un modelo de gobernanza de la ciberse-guridad coherente con las teorías del “pluralismo anclado” y el “capi-talismo regulatorio selectivo”, pues el centro del sistema nacional de ciberseguridad está ocupado por el Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad (INCIBE). Estos dos organismos ejercen su influencia utilizando su capital político y legitimidad para elaborar e implementar políticas de ciberseguridad que luego son ejecutadas por las empresas privadas, siendo estas úl-timas la primera línea de batalla contra el cibercrimen. Al mismo tiempo, el CCN y el INCIBE despliegan su capaci-dad para seleccionar aquellas empresas que se alinean con sus intere-ses, y con las que colaboran en la difusión de la cultura de la ciberse-guridad y la externalización de servicios públicos. Estas empresas se-leccionadas adquirirían capital político y simbólico al alinearse con los intereses de las organizaciones públicas. Por su parte, las organizacio-nes policiales habrían quedado relegadas a la compleja función de adquirir pruebas forenses que permitan realizar una atribución de responsabilidades en los procedimientos de enjuiciamiento por ciber-crimen, mientras que sería otro nuevo actor –los hackers éticos– el que estaría realizando una importante labor de prevención secundaria a partir de la identificación de brechas de seguridad. Esta función de los hackers éticos, no obstante, se estaría viendo impedida por el ca-rácter ilegal de algunas de sus actuaciones y de un marco legal que les diera cobertura. Finalmente, el estudio prospectivo muestra que el modelo de gobernanza de la ciberseguridad previsto como más probable para España en el año 2035 sería similar al existente en la actualidad. Si bien, en este futuro modelo, las organizaciones públicas estatales y europeas ejercerán una importante función de control de la actividad de los actores privados. La actividad de estos últimos, así, alcanzará la legitimidad como proveedores de ciberseguridad a través de las regulaciones y certificaciones de los organismos públicos. La tesis doctoral concluye con la discusión de las implicaciones de estos resul-tados para la teoría, las políticas públicas y las investigaciones futuras.