MSSPs asociados. ĀæPara quĆ©?
El mundillo de la ciberseguridad, sometido a las mareas que en Ć©l generan las particularidades del sector TIC, la colaboraciĆ³n esencial con jueces, fiscales y FF.CC. en la persecuciĆ³n de delitos, su papel crĆtico para el cumplimiento de la legislaciĆ³n sobre protecciĆ³n de datos de carĆ”cter personal y sobre privacidad (āLa privacidad sin ciberseguridad es un derecho vacĆoā, Elena Mora, Subdirectora de Marco regulatorio de Seguridad de la DirecciĆ³n Corporativa de Seguridad y Medio Ambiente de Mapfre) y sobre PIC, y la responsabilidad de ganarse el pan ayudando a que la transformaciĆ³n digital de sus clientes vaya por cauces razonablemente protegidosā¦, parece como si tuviera miedo a organizarse y criar estructuras Ćŗtiles para la defensa de sus intereses como ramo de oferta.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
Pongo un ejemplo: el de los proveedores de servicios de seguridad gestionada (MSSPs por su acrĆ³nimo en inglĆ©s). Hay actualmente operando en nuestro mercado domĆ©stico mĆ”s de veinte empresas que dicen ofrecer servicios gestionados desde SOC (y las que vienen y las que se irĆ”n). Es obvio que no todos son iguales, ni por su origen (operadores de telecomunicaciones, consultoras, integradores, fabricantesā¦); ni por su especializaciĆ³n exclusiva; ni por los aƱos que llevan operando; ni por su cobertura nacional e internacional; ni por su solidez econĆ³mica; ni por la amplitud y orientaciĆ³n de su portafolio; ni por su capacidad para abrir nuevos servicios; ni por su potencial a la hora de reclutar talento, capacitarlo y retenerlo; ni por su interĆ©s en vender servicio como marca blanca...
La reglamentaciĆ³n que se nos viene en materia de seguridad privada (la de seguridad informĆ”tica es todavĆa una actividad compatible) parece que los va a regular de modo especĆfico, porque en la materia que trabajan se ha entendido que es lo suficientemente crĆtica la seguridad pĆŗblica y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastarĆ” con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jĆ”queres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace aƱos han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayorĆa de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestiĆ³n de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos pĆŗblicos. AdemĆ”s, algunos contratistas estĆ”n empezando a exigir que los candidatos cumplan con determinados niveles de calificaciĆ³n de seguridad de los servicios requeridos, definidos por compaƱĆas privadas especializadas en este tipo de raiting.
ĀæSignifica esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. SĆ hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas fĆsicas, que no dominan tanto el asunto como las grandes organizaciones privadas y pĆŗblicas.
La siguiente pregunta serĆa: Āæy a quĆ© hay que obligarles? DifĆcil cuestiĆ³n, porque si se pide mucho, entrarĆamos en una indeseable intervenciĆ³n del mercado, y se cercenarĆa la apariciĆ³n de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estarĆ” sometido a los vaivenes de la moda y los rigores de crisis econĆ³micas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestaciĆ³n a esta Ćŗltima pregunta (Āæa quĆ© hay que obligarles?) ya justificarĆa sobradamente que los MSSPs que operan hoy en EspaƱa hicieran una asociaciĆ³n para defender sus intereses, profundizar en las condiciones de prestaciĆ³n de servicios, en la capacitaciĆ³n de sus expertos y mantener una interlocuciĆ³n homogĆ©nea con los reguladores, que a su vez tambiĆ©n regulan a sus clientes.
Por supuesto, hay otras razones, mĆ”xime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusiĆ³n IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociaciĆ³n especĆfica y no colgada de otras genĆ©ricas ya existentes.
La reglamentaciĆ³n que se nos viene en materia de seguridad privada (la de seguridad informĆ”tica es todavĆa una actividad compatible) parece que los va a regular de modo especĆfico, porque en la materia que trabajan se ha entendido que es lo suficientemente crĆtica la seguridad pĆŗblica y la privada como para requerirles que cumplan algunas condiciones. Vaya, que no bastarĆ” con montar una empresa y anunciar que se ofrecen servicios gestionados de ciberseguridad con jĆ”queres de primera.
Todo hay que decirlo: los grandes clientes, que desde hace aƱos han externalizado muchos de sus procesos de ciberseguridad son muy profesionales, saben distinguir el polvo de la paja, y no necesitan a tal fin que se regule a los MSSPs. La mayorĆa de los actores de la oferta cumplen con certificaciones de servicios TIC y de gestiĆ³n de ciberseguridad, y su personal dispone de las capacitaciones profesionales que se piden en los llamamientos al mercado (subastas incluidas) y concursos pĆŗblicos. AdemĆ”s, algunos contratistas estĆ”n empezando a exigir que los candidatos cumplan con determinados niveles de calificaciĆ³n de seguridad de los servicios requeridos, definidos por compaƱĆas privadas especializadas en este tipo de raiting.
ĀæSignifica esto que es innecesario que se regule a los MSSPs? Creo cabalmente que no. SĆ hay que regularlos, porque el mercado va a crecer de forma exponencial, abarcando pymes y personas fĆsicas, que no dominan tanto el asunto como las grandes organizaciones privadas y pĆŗblicas.
La siguiente pregunta serĆa: Āæy a quĆ© hay que obligarles? DifĆcil cuestiĆ³n, porque si se pide mucho, entrarĆamos en una indeseable intervenciĆ³n del mercado, y se cercenarĆa la apariciĆ³n de iniciativas de MSSPs pyme subcontratistas interesantes; y si se pide poco, el ramo estarĆ” sometido a los vaivenes de la moda y los rigores de crisis econĆ³micas (vacas gordas/vacas flacas), algo que no interesa cuando hablamos de ciberseguridad.
La contestaciĆ³n a esta Ćŗltima pregunta (Āæa quĆ© hay que obligarles?) ya justificarĆa sobradamente que los MSSPs que operan hoy en EspaƱa hicieran una asociaciĆ³n para defender sus intereses, profundizar en las condiciones de prestaciĆ³n de servicios, en la capacitaciĆ³n de sus expertos y mantener una interlocuciĆ³n homogĆ©nea con los reguladores, que a su vez tambiĆ©n regulan a sus clientes.
Por supuesto, hay otras razones, mĆ”xime ahora que se abre la gran ventana de los servicios de ciberseguridad gestionada en entornos OT y, al fondo la fusiĆ³n IT-OT-IoT. Lo que no tengo claro es que en el mercado de oferta haya suficientes directivos con criterio y altura de miras como para catalizar una asociaciĆ³n especĆfica y no colgada de otras genĆ©ricas ya existentes.
