MSSPs asociados. ¿Para qué?

El mundillo de la ciberseguridad, sometido a las mareas que en Ć©l generan las particularidades del sector TIC, la colaboración esencial con jueces, fiscales y FF.CC. en la persecución de delitos, su papel crĆ­tico para el cumplimiento de la legislación sobre protección de datos de carĆ”cter personal y sobre privacidad (ā€œLa privacidad sin ciberseguridad es un derecho vacĆ­oā€, Elena Mora, Subdirectora de Marco regulatorio de Seguridad de la Dirección Corporativa de Seguridad y Medio Ambiente de Mapfre) y sobre PIC, y la responsabilidad de ganarse el pan ayudando a que la transformación digital de sus clientes vaya por cauces razonablemente protegidos…, parece como si tuviera miedo a organizarse y criar estructuras Ćŗtiles para la defensa de sus intereses como ramo de oferta.
Pongo un ejemplo: el de los proveedores de servicios de seguridad gestionada (MSSPs por su acrónimo en inglĆ©s). Hay actualmente operando en nuestro mercado domĆ©stico mĆ”s de veinte empresas que dicen ofrecer servicios gestionados desde SOC (y las que vienen y las que se irĆ”n). Es obvio que no todos son iguales, ni por su origen (operadores de telecomunicaciones, consultoras, integradores, fabricantes…); ni por su especialización exclusiva; ni por los aƱos que llevan operando; ni por su cobertura nacional e internacional; ni por su solidez económica; ni por la amplitud y orientación de su portafolio; ni por su capacidad para abrir nuevos servicios; ni por su potencial a la hora de reclutar talento, capacitarlo y retenerlo; ni por su interĆ©s en vender servicio como marca blanca...

La reglamentación que se nos viene en materia de seguridad privada (la de seguridad informÔtica es todavía una actividad compatible) parece que los va a regular de modo específico, porque en la materia que trabajan se ha entendido que es lo suficientemente crítica la seguridad pública y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastarÔ con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jÔqueres de primera.

Todo hay que decirlo: los grandes clientes, que desde hace años han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayoría de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestión de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos públicos. AdemÔs, algunos contratistas estÔn empezando a exigir que los candidatos cumplan con determinados niveles de calificación de seguridad de los servicios requeridos, definidos por compañías privadas especializadas en este tipo de raiting.

ĀæSignifica esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. SĆ­ hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas fĆ­sicas, que no dominan tanto el asunto como las grandes organizaciones privadas y pĆŗblicas.

La siguiente pregunta sería: ¿y a qué hay que obligarles? Difícil cuestión, porque si se pide mucho, entraríamos en una indeseable intervención del mercado, y se cercenaría la aparición de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estarÔ sometido a los vaivenes de la moda y los rigores de crisis económicas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.

La contestación a esta última pregunta (¿a qué hay que obligarles?) ya justificaría sobradamente que los MSSPs que operan hoy en España hicieran una asociación para defender sus intereses, profundizar en las condiciones de prestación de servicios, en la capacitación de sus expertos y mantener una interlocución homogénea con los reguladores, que a su vez también regulan a sus clientes.

Por supuesto, hay otras razones, mÔxime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusión IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociación específica y no colgada de otras genéricas ya existentes.
Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×