MSSPs y transformación. SIC organiza el día 21 de este mes en Barcelona y el 23 en Madrid la última edición del año en curso del espacio denominado Respuestas SIC, que lleva por título “Ciberseguridad IT-OT-IoT y servicios gestionados: SOCs y laboratorios especializados”.
Los SOCs internos de compañías usuarias y los proveedores externos de SOCs IT tienen ya un largo recorrido; pero la transformación digital, catapultada por los servicios de nube, el uso de algoritmos de aprendizaje automático y de técnicas de análisis masivo casi en tiempo real, están revolucionando lo que los MSSPs ofrecen mediante servicios con base en productos de fabricantes y lo que pueden llegar a ofrecer fundamentándose en herramientas desarrolladas en sus laboratorios. Este es el escenario, junto al de la sectorización, en el que se está gestando la diferenciación y la especialización.
Pero hay otros dos, no por incipientes menos importantes: primero el de la sedimentación de modelos de gestión de la ciberseguridad OT (entornos industriales hoy alojados en muchos operadores de servicios críticos) y el nacimiento fuera del ámbito IT de empresas enfocadas al desarrollo de herramientas orientadas a hacer factible la prestación de servicios gestionados de ciberseguridad OT.
El segundo escenario toma forma con la aparición de laboratorios especializados en analizar la ciberseguridad (evaluación, corrección de vulnerabilidades y detección de ataques) de los dispositivos IoT que se integran con las tecnologías móviles, y que van a formar parte de las infraestructuras inteligentes de la sociedad digital, cuya protección se asocia a los servicios gestionados.
Nuevo marco de ciberseguridad. Se empieza a dibujar el modelo de ciberseguridad por el que está apostando la UE. Y parece que uno de sus pilares será la evaluación y certificación de la seguridad de productos, servicios y procesos TIC en base a un esquema que supere las evidentes limitaciones que pese a los esfuerzos realizados hasta la fecha presenta el esquema de Criterios Comunes, cuya mecánica no parece que pueda soportar la economía y el acortamiento drástico de los tiempos de respuesta que requiere la transformación digital.
Para construir una Europa digital viable resulta necesario certificar y etiquetar los elementos de ciberseguridad para los sistemas TIC, IC e IoT, máxime si queremos cumplir con los principios de seguridad por defecto y seguridad por diseño. El RGPD no dice cómo; y la directiva NIS deja fuera de su órbita a los fabricantes. Habrá que estar a la expectativa para ver si en la UE hacemos algo realmente disruptivo o solo nos conformamos con levantar una nueva y porosa barrera.
Repeler y contratacar. De salir adelante la iniciativa denominada Ley de Certeza Activa de Ciberdefensa –proyecto recientemente propuesto por dos miembros de la Cámara de Representantes de Estados Unidos–, propiciaría una modificación de la existente Ley de Fraude y Abuso de Equipos, habilitando la posibilidad de acometer represalias legales contra ciberdelincuentes, y facultando a las organizaciones comprometidas a investigar fuera de sus redes para identificar al eventual intruso, e incluso poder llegar a infiltrarse en sus sistemas, destruir los datos sustraídos digitalmente e implementar beacons para rastrear la ubicación del atacante. Así pues, esta iniciativa habilitaría la posibilidad a empresas e individuos de tener derecho a una ‘defensa activa’ mediante diversas formas de identificar, interrumpir e incluso, posiblemente, eliminar datos. Algo que está generando intensa polémica en Estados Unidos pues pone en evidencia un asunto crítico: determinar la autoría fáctica sin caer en atribución errónea y, al tiempo, mensurar los impactos colaterales involuntarios causados. La polémica de Back Hack está servida.