MSSPs asociados. ¿Para qué?
El mundillo de la ciberseguridad, sometido a las mareas que en Ć©l generan las particularidades del sector TIC, la colaboración esencial con jueces, fiscales y FF.CC. en la persecución de delitos, su papel crĆtico para el cumplimiento de la legislación sobre protección de datos de carĆ”cter personal y sobre privacidad (āLa privacidad sin ciberseguridad es un derecho vacĆoā, Elena Mora, Subdirectora de Marco regulatorio de Seguridad de la Dirección Corporativa de Seguridad y Medio Ambiente de Mapfre) y sobre PIC, y la responsabilidad de ganarse el pan ayudando a que la transformación digital de sus clientes vaya por cauces razonablemente protegidosā¦, parece como si tuviera miedo a organizarse y criar estructuras Ćŗtiles para la defensa de sus intereses como ramo de oferta.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Pongo un ejemplo: el de los proveedores de servicios de seguridad gestionada (MSSPs por su acrónimo en inglĆ©s). Hay actualmente operando en nuestro mercado domĆ©stico mĆ”s de veinte empresas que dicen ofrecer servicios gestionados desde SOC (y las que vienen y las que se irĆ”n). Es obvio que no todos son iguales, ni por su origen (operadores de telecomunicaciones, consultoras, integradores, fabricantesā¦); ni por su especialización exclusiva; ni por los aƱos que llevan operando; ni por su cobertura nacional e internacional; ni por su solidez económica; ni por la amplitud y orientación de su portafolio; ni por su capacidad para abrir nuevos servicios; ni por su potencial a la hora de reclutar talento, capacitarlo y retenerlo; ni por su interĆ©s en vender servicio como marca blanca...
La reglamentación que se nos viene en materia de seguridad privada (la de seguridad informĆ”tica es todavĆa una actividad compatible) parece que los va a regular de modo especĆfico, porque en la materia que trabajan se ha entendido que es lo suficientemente crĆtica la seguridad pĆŗblica y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastarĆ” con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jĆ”queres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace aƱos han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayorĆa de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestión de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos pĆŗblicos. AdemĆ”s, algunos contratistas estĆ”n empezando a exigir que los candidatos cumplan con determinados niveles de calificación de seguridad de los servicios requeridos, definidos por compaƱĆas privadas especializadas en este tipo de raiting.
ĀæSignifica esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. SĆ hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas fĆsicas, que no dominan tanto el asunto como las grandes organizaciones privadas y pĆŗblicas.
La siguiente pregunta serĆa: Āæy a quĆ© hay que obligarles? DifĆcil cuestión, porque si se pide mucho, entrarĆamos en una indeseable intervención del mercado, y se cercenarĆa la aparición de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estarĆ” sometido a los vaivenes de la moda y los rigores de crisis económicas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestación a esta Ćŗltima pregunta (Āæa quĆ© hay que obligarles?) ya justificarĆa sobradamente que los MSSPs que operan hoy en EspaƱa hicieran una asociación para defender sus intereses, profundizar en las condiciones de prestación de servicios, en la capacitación de sus expertos y mantener una interlocución homogĆ©nea con los reguladores, que a su vez tambiĆ©n regulan a sus clientes.
Por supuesto, hay otras razones, mĆ”xime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusión IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociación especĆfica y no colgada de otras genĆ©ricas ya existentes.
La reglamentación que se nos viene en materia de seguridad privada (la de seguridad informĆ”tica es todavĆa una actividad compatible) parece que los va a regular de modo especĆfico, porque en la materia que trabajan se ha entendido que es lo suficientemente crĆtica la seguridad pĆŗblica y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastarĆ” con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jĆ”queres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace aƱos han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayorĆa de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestión de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos pĆŗblicos. AdemĆ”s, algunos contratistas estĆ”n empezando a exigir que los candidatos cumplan con determinados niveles de calificación de seguridad de los servicios requeridos, definidos por compaƱĆas privadas especializadas en este tipo de raiting.
ĀæSignifica esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. SĆ hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas fĆsicas, que no dominan tanto el asunto como las grandes organizaciones privadas y pĆŗblicas.
La siguiente pregunta serĆa: Āæy a quĆ© hay que obligarles? DifĆcil cuestión, porque si se pide mucho, entrarĆamos en una indeseable intervención del mercado, y se cercenarĆa la aparición de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estarĆ” sometido a los vaivenes de la moda y los rigores de crisis económicas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestación a esta Ćŗltima pregunta (Āæa quĆ© hay que obligarles?) ya justificarĆa sobradamente que los MSSPs que operan hoy en EspaƱa hicieran una asociación para defender sus intereses, profundizar en las condiciones de prestación de servicios, en la capacitación de sus expertos y mantener una interlocución homogĆ©nea con los reguladores, que a su vez tambiĆ©n regulan a sus clientes.
Por supuesto, hay otras razones, mĆ”xime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusión IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociación especĆfica y no colgada de otras genĆ©ricas ya existentes.