MSSPs asociados. ¿Para qué?
El mundillo de la ciberseguridad, sometido a las mareas que en él generan las particularidades del sector TIC, la colaboración esencial con jueces, fiscales y FF.CC. en la persecución de delitos, su papel crítico para el cumplimiento de la legislación sobre protección de datos de carácter personal y sobre privacidad (“La privacidad sin ciberseguridad es un derecho vacío”, Elena Mora, Subdirectora de Marco regulatorio de Seguridad de la Dirección Corporativa de Seguridad y Medio Ambiente de Mapfre) y sobre PIC, y la responsabilidad de ganarse el pan ayudando a que la transformación digital de sus clientes vaya por cauces razonablemente protegidos…, parece como si tuviera miedo a organizarse y criar estructuras útiles para la defensa de sus intereses como ramo de oferta.
José de la Peña Muñoz
Director
jpm@codasic.com
Pongo un ejemplo: el de los proveedores de servicios de seguridad gestionada (MSSPs por su acrónimo en inglés). Hay actualmente operando en nuestro mercado doméstico más de veinte empresas que dicen ofrecer servicios gestionados desde SOC (y las que vienen y las que se irán). Es obvio que no todos son iguales, ni por su origen (operadores de telecomunicaciones, consultoras, integradores, fabricantes…); ni por su especialización exclusiva; ni por los años que llevan operando; ni por su cobertura nacional e internacional; ni por su solidez económica; ni por la amplitud y orientación de su portafolio; ni por su capacidad para abrir nuevos servicios; ni por su potencial a la hora de reclutar talento, capacitarlo y retenerlo; ni por su interés en vender servicio como marca blanca...
La reglamentación que se nos viene en materia de seguridad privada (la de seguridad informática es todavía una actividad compatible) parece que los va a regular de modo específico, porque en la materia que trabajan se ha entendido que es lo suficientemente crítica la seguridad pública y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastará con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jáqueres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace años han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayoría de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestión de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos públicos. Además, algunos contratistas están empezando a exigir que los candidatos cumplan con determinados niveles de calificación de seguridad de los servicios requeridos, definidos por compañías privadas especializadas en este tipo de raiting.
¿Significa esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. Sí hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas físicas, que no dominan tanto el asunto como las grandes organizaciones privadas y públicas.
La siguiente pregunta sería: ¿y a qué hay que obligarles? Difícil cuestión, porque si se pide mucho, entraríamos en una indeseable intervención del mercado, y se cercenaría la aparición de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estará sometido a los vaivenes de la moda y los rigores de crisis económicas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestación a esta última pregunta (¿a qué hay que obligarles?) ya justificaría sobradamente que los MSSPs que operan hoy en España hicieran una asociación para defender sus intereses, profundizar en las condiciones de prestación de servicios, en la capacitación de sus expertos y mantener una interlocución homogénea con los reguladores, que a su vez también regulan a sus clientes.
Por supuesto, hay otras razones, máxime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusión IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociación específica y no colgada de otras genéricas ya existentes.
La reglamentación que se nos viene en materia de seguridad privada (la de seguridad informática es todavía una actividad compatible) parece que los va a regular de modo específico, porque en la materia que trabajan se ha entendido que es lo suficientemente crítica la seguridad pública y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastará con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jáqueres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace años han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayoría de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestión de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos públicos. Además, algunos contratistas están empezando a exigir que los candidatos cumplan con determinados niveles de calificación de seguridad de los servicios requeridos, definidos por compañías privadas especializadas en este tipo de raiting.
¿Significa esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. Sí hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas físicas, que no dominan tanto el asunto como las grandes organizaciones privadas y públicas.
La siguiente pregunta sería: ¿y a qué hay que obligarles? Difícil cuestión, porque si se pide mucho, entraríamos en una indeseable intervención del mercado, y se cercenaría la aparición de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estará sometido a los vaivenes de la moda y los rigores de crisis económicas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestación a esta última pregunta (¿a qué hay que obligarles?) ya justificaría sobradamente que los MSSPs que operan hoy en España hicieran una asociación para defender sus intereses, profundizar en las condiciones de prestación de servicios, en la capacitación de sus expertos y mantener una interlocución homogénea con los reguladores, que a su vez también regulan a sus clientes.
Por supuesto, hay otras razones, máxime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusión IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociación específica y no colgada de otras genéricas ya existentes.