"Ciberreservistas". Los profesionales de la ciberseguridad no salen de su asombro con las noticias del revitalizado asunto de la posible creación de una organización de Ciberreservistas voluntarios, iniciativa que podrĆa motivar la discusión y posterior aprobación de una ley en Las Cortes. La idea, que tiene mĆ”s de un lustro y que no hemos inventado en EspaƱa, estuvo referida en sus orĆgenes principalmente al Ć”mbito de la ciberdefensa militar y a expertos en ciberseguridad, lo que tiene mucho sentido. Pero ahora se baraja seriamente la posibilidad de que se extienda a otras disciplinas del saber (ciencias y letras) y a escenarios no Ćŗnicamente de la defensa militar.
No serÔ esta revista la que critique con Ônimo destructivo el nada trivial proyecto en su actual fase de cogitación, porque de los experimentos siempre puede salir algo aprovechable. Pero sà conviene recordar que semejante acción no sirve para paliar el gran problema; a saber: el riesgo asociado a la falta de expertos que el Estado necesita en la función pública y los que requieren los proveedores de servicios especializados, que, a su vez, prestan apoyo a las administraciones públicas, las IC, las empresas estratégicas y la sociedad en su conjunto.
Ya que la ciberseguridad preocupa ahora tanto a algunos polĆticos, mĆ”s valdrĆa que se afanaran en alcanzar un gran pacto para diseƱar un plan nacional ejecutable (incluso económicamente) para formar, capacitar, instruir y entrenar, en el que sĆ cupiera un epĆgrafe dedicado a ciberreservistas. SerĆa poco presentable que EspaƱa no tuviera expertos suficientes en todos los lugares en los que se necesiten sus servicios profesionales, y, sin embargo, contarĆ” con la mayor bolsa de ciberreservistas voluntarios de la vieja Europa. (Por cierto, esta palabra, ciberreservista, es imprecisa para referirse al campo de la ciberseguridad, mĆ”xime si se aplica en un contexto mĆ”s amplio que el de nuestras Fuerzas Armadas).
Ojo, que el de ciberseguridad es un ramo de mercado cuyos expertos (empleados por cuenta ajena y/o autónomos) y empresas cobran lĆcitamente por sus servicios y productos. Llevan haciĆ©ndolo desde mucho antes de que se crearan oficialmente las estructuras de la ciberseguridad nacional. Y algunos de estos especialistas, se han tirado aƱos ayudando de forma decididamente voluntaria a la mejor gestión de la ciberseguridad de EspaƱa.
UNESPA, la Unión EspaƱola de Entidades Aseguradoras y Reaseguradoras, que representa a mĆ”s de 200 compaƱĆas, estĆ” estudiando su toma de posición en lo que se refiere a la problemĆ”tica que plantea al sector la cobertura de los daƱos causados por ciberataques. Esta patronal tiene previsto hacer pĆŗblica dicha posición en el primer semestre de este aƱo.
Como ya se ha tratado en SIC en varias ocasiones, la transferencia es una fórmula bien asentada en la gestión de riesgos, y los de ciberseguridad no van a ser menos en este frente. Cierto es que plantean hoy gran incertidumbre a las compaƱĆas en el cĆ”lculo de probabilidad e impacto, entre otras razones porque los escenarios digitales estĆ”n hiperconectados. Y ello hace muy complicada la tarea de ir valorando en función de un diagnóstico periódico del estado de la ciberseguridad de una entidad.
Pese a todo, se espera un crecimiento muy importante de este mercado especĆfico, que podrĆa alcanzar segĆŗn Fitch en 2022 un volumen de 12.700 millones de euros. Aunque es difĆcil prever cómo impactarĆ” la rĆ”pida convergencia de las redes IT, OT e IoT, que va a provocar un replanteamiento de las coberturas y exclusiones de las pólizas de prĆ”cticamente todos los ramos del seguro en lo referente a los daƱos causados por ciberataques.
Trasposición. El aƱo 2018 ha empezado con la promesa de una segunda estrategia europea de ciberseguridad y con la de una segunda estrategia espaƱola de ciberseguridad. Pero el campanazo, ademĆ”s del cumplimiento del RGPD en mayo, seguramente lo aportarĆ” la transposición a la legislación espaƱola de la directiva NIS, cuyo borrador ha estado hasta hace poco en periodo de consulta. La ausencia de la mención de la función de ciberseguridad, incardinada en un responsable de seguridad de la información, nos ha bajado la moral a muchos. Algunos grupos de CISOs privados y pĆŗblicos dicen haber remitido sus comentarios a la SESIAD. Y algunos particulares tambiĆ©n. Si no se hace mención en el texto que entre en el Congreso de los Diputados, y no se incluye en la tramitación en las Cortes del texto legal, la cosa serĆ” para preocuparse. Y muchos tendrĆamos razones para pensar mal.