"Ciberreservistas". Los profesionales de la ciberseguridad no salen de su asombro con las noticias del revitalizado asunto de la posible creaciĆ³n de una organizaciĆ³n de Ciberreservistas voluntarios, iniciativa que podrĆa motivar la discusiĆ³n y posterior aprobaciĆ³n de una ley en Las Cortes. La idea, que tiene mĆ”s de un lustro y que no hemos inventado en EspaƱa, estuvo referida en sus orĆgenes principalmente al Ć”mbito de la ciberdefensa militar y a expertos en ciberseguridad, lo que tiene mucho sentido. Pero ahora se baraja seriamente la posibilidad de que se extienda a otras disciplinas del saber (ciencias y letras) y a escenarios no Ćŗnicamente de la defensa militar.
No serĆ” esta revista la que critique con Ć”nimo destructivo el nada trivial proyecto en su actual fase de cogitaciĆ³n, porque de los experimentos siempre puede salir algo aprovechable. Pero sĆ conviene recordar que semejante acciĆ³n no sirve para paliar el gran problema; a saber: el riesgo asociado a la falta de expertos que el Estado necesita en la funciĆ³n pĆŗblica y los que requieren los proveedores de servicios especializados, que, a su vez, prestan apoyo a las administraciones pĆŗblicas, las IC, las empresas estratĆ©gicas y la sociedad en su conjunto.
Ya que la ciberseguridad preocupa ahora tanto a algunos polĆticos, mĆ”s valdrĆa que se afanaran en alcanzar un gran pacto para diseƱar un plan nacional ejecutable (incluso econĆ³micamente) para formar, capacitar, instruir y entrenar, en el que sĆ cupiera un epĆgrafe dedicado a ciberreservistas. SerĆa poco presentable que EspaƱa no tuviera expertos suficientes en todos los lugares en los que se necesiten sus servicios profesionales, y, sin embargo, contarĆ” con la mayor bolsa de ciberreservistas voluntarios de la vieja Europa. (Por cierto, esta palabra, ciberreservista, es imprecisa para referirse al campo de la ciberseguridad, mĆ”xime si se aplica en un contexto mĆ”s amplio que el de nuestras Fuerzas Armadas).
Ojo, que el de ciberseguridad es un ramo de mercado cuyos expertos (empleados por cuenta ajena y/o autĆ³nomos) y empresas cobran lĆcitamente por sus servicios y productos. Llevan haciĆ©ndolo desde mucho antes de que se crearan oficialmente las estructuras de la ciberseguridad nacional. Y algunos de estos especialistas, se han tirado aƱos ayudando de forma decididamente voluntaria a la mejor gestiĆ³n de la ciberseguridad de EspaƱa.
UNESPA, la UniĆ³n EspaƱola de Entidades Aseguradoras y Reaseguradoras, que representa a mĆ”s de 200 compaƱĆas, estĆ” estudiando su toma de posiciĆ³n en lo que se refiere a la problemĆ”tica que plantea al sector la cobertura de los daƱos causados por ciberataques. Esta patronal tiene previsto hacer pĆŗblica dicha posiciĆ³n en el primer semestre de este aƱo.
Como ya se ha tratado en SIC en varias ocasiones, la transferencia es una fĆ³rmula bien asentada en la gestiĆ³n de riesgos, y los de ciberseguridad no van a ser menos en este frente. Cierto es que plantean hoy gran incertidumbre a las compaƱĆas en el cĆ”lculo de probabilidad e impacto, entre otras razones porque los escenarios digitales estĆ”n hiperconectados. Y ello hace muy complicada la tarea de ir valorando en funciĆ³n de un diagnĆ³stico periĆ³dico del estado de la ciberseguridad de una entidad.
Pese a todo, se espera un crecimiento muy importante de este mercado especĆfico, que podrĆa alcanzar segĆŗn Fitch en 2022 un volumen de 12.700 millones de euros. Aunque es difĆcil prever cĆ³mo impactarĆ” la rĆ”pida convergencia de las redes IT, OT e IoT, que va a provocar un replanteamiento de las coberturas y exclusiones de las pĆ³lizas de prĆ”cticamente todos los ramos del seguro en lo referente a los daƱos causados por ciberataques.
TrasposiciĆ³n. El aƱo 2018 ha empezado con la promesa de una segunda estrategia europea de ciberseguridad y con la de una segunda estrategia espaƱola de ciberseguridad. Pero el campanazo, ademĆ”s del cumplimiento del RGPD en mayo, seguramente lo aportarĆ” la transposiciĆ³n a la legislaciĆ³n espaƱola de la directiva NIS, cuyo borrador ha estado hasta hace poco en periodo de consulta. La ausencia de la menciĆ³n de la funciĆ³n de ciberseguridad, incardinada en un responsable de seguridad de la informaciĆ³n, nos ha bajado la moral a muchos. Algunos grupos de CISOs privados y pĆŗblicos dicen haber remitido sus comentarios a la SESIAD. Y algunos particulares tambiĆ©n. Si no se hace menciĆ³n en el texto que entre en el Congreso de los Diputados, y no se incluye en la tramitaciĆ³n en las Cortes del texto legal, la cosa serĆ” para preocuparse. Y muchos tendrĆamos razones para pensar mal.
