"Ciberreservistas". Los profesionales de la ciberseguridad no salen de su asombro con las noticias del revitalizado asunto de la posible creación de una organización de Ciberreservistas voluntarios, iniciativa que podría motivar la discusión y posterior aprobación de una ley en Las Cortes. La idea, que tiene más de un lustro y que no hemos inventado en España, estuvo referida en sus orígenes principalmente al ámbito de la ciberdefensa militar y a expertos en ciberseguridad, lo que tiene mucho sentido. Pero ahora se baraja seriamente la posibilidad de que se extienda a otras disciplinas del saber (ciencias y letras) y a escenarios no únicamente de la defensa militar.
No será esta revista la que critique con ánimo destructivo el nada trivial proyecto en su actual fase de cogitación, porque de los experimentos siempre puede salir algo aprovechable. Pero sí conviene recordar que semejante acción no sirve para paliar el gran problema; a saber: el riesgo asociado a la falta de expertos que el Estado necesita en la función pública y los que requieren los proveedores de servicios especializados, que, a su vez, prestan apoyo a las administraciones públicas, las IC, las empresas estratégicas y la sociedad en su conjunto.
Ya que la ciberseguridad preocupa ahora tanto a algunos políticos, más valdría que se afanaran en alcanzar un gran pacto para diseñar un plan nacional ejecutable (incluso económicamente) para formar, capacitar, instruir y entrenar, en el que sí cupiera un epígrafe dedicado a ciberreservistas. Sería poco presentable que España no tuviera expertos suficientes en todos los lugares en los que se necesiten sus servicios profesionales, y, sin embargo, contará con la mayor bolsa de ciberreservistas voluntarios de la vieja Europa. (Por cierto, esta palabra, ciberreservista, es imprecisa para referirse al campo de la ciberseguridad, máxime si se aplica en un contexto más amplio que el de nuestras Fuerzas Armadas).
Ojo, que el de ciberseguridad es un ramo de mercado cuyos expertos (empleados por cuenta ajena y/o autónomos) y empresas cobran lícitamente por sus servicios y productos. Llevan haciéndolo desde mucho antes de que se crearan oficialmente las estructuras de la ciberseguridad nacional. Y algunos de estos especialistas, se han tirado años ayudando de forma decididamente voluntaria a la mejor gestión de la ciberseguridad de España.
UNESPA, la Unión Española de Entidades Aseguradoras y Reaseguradoras, que representa a más de 200 compañías, está estudiando su toma de posición en lo que se refiere a la problemática que plantea al sector la cobertura de los daños causados por ciberataques. Esta patronal tiene previsto hacer pública dicha posición en el primer semestre de este año.
Como ya se ha tratado en SIC en varias ocasiones, la transferencia es una fórmula bien asentada en la gestión de riesgos, y los de ciberseguridad no van a ser menos en este frente. Cierto es que plantean hoy gran incertidumbre a las compañías en el cálculo de probabilidad e impacto, entre otras razones porque los escenarios digitales están hiperconectados. Y ello hace muy complicada la tarea de ir valorando en función de un diagnóstico periódico del estado de la ciberseguridad de una entidad.
Pese a todo, se espera un crecimiento muy importante de este mercado específico, que podría alcanzar según Fitch en 2022 un volumen de 12.700 millones de euros. Aunque es difícil prever cómo impactará la rápida convergencia de las redes IT, OT e IoT, que va a provocar un replanteamiento de las coberturas y exclusiones de las pólizas de prácticamente todos los ramos del seguro en lo referente a los daños causados por ciberataques.
Trasposición. El año 2018 ha empezado con la promesa de una segunda estrategia europea de ciberseguridad y con la de una segunda estrategia española de ciberseguridad. Pero el campanazo, además del cumplimiento del RGPD en mayo, seguramente lo aportará la transposición a la legislación española de la directiva NIS, cuyo borrador ha estado hasta hace poco en periodo de consulta. La ausencia de la mención de la función de ciberseguridad, incardinada en un responsable de seguridad de la información, nos ha bajado la moral a muchos. Algunos grupos de CISOs privados y públicos dicen haber remitido sus comentarios a la SESIAD. Y algunos particulares también. Si no se hace mención en el texto que entre en el Congreso de los Diputados, y no se incluye en la tramitación en las Cortes del texto legal, la cosa será para preocuparse. Y muchos tendríamos razones para pensar mal.