La senda olvidada entre lo crĆtico y lo esencial
Ya que el sector TIC continĆŗa divulgando sus predicciones para este aƱo, incluso entrado febrero, y que ademĆ”s en la revista SIC hemos tenido la osadĆa de preguntar a 161 entidades especializadas sobre quĆ© tĆ©cnicas novedosas se espera que pongan en prĆ”ctica los ciberdelincuentes (y ellas la amabilidad de contestar), justo es que un servidor se atreva a mencionar (que no vaticinar, predecir, adivinar o pronosticar, y menos, pontificar) algunos asuntos concretos que convendrĆa aclarar, encauzar o emprender de aquĆ al 31 de diciembre, convoque o no elecciones el presidente del Gobierno. AhĆ van:
ā El reconocimiento legal y armonizado de la figura del CISO (o como a la postre se le denomine) y la función en los Ć”mbitos regulados NIS y PIC. A fecha de cierre de esta edición no se ha publicado en el BOE el desarrollo reglamentario del Real Decreto-ley 12/2018. SerĆa la primera pieza en la que esto quedara consagrado. Pero no la Ćŗnica.

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
ā Tras la elaboración de la GuĆa nacional de notificación y gestión de ciberincidentes, urge poner en servicio la Plataforma ComĆŗn de Notificación, la famosa āVentanilla Ćŗnica de notificaciónā.
ā Dotar con los medios necesarios a la FiscalĆa, a las FCSE y a las policĆas autonómicas para que no se vean desbordadas por un incremento de denuncias y por la expansión de la ciberdelincuencia.
ā Aclarar muy por lo menudo cómo se va a regular la āactividad compatibleā de la seguridad informĆ”tica en el ya largamente esperado reglamento de desarrollo de la Ley de Seguridad Privada. Lo que se haga, si se hace, habrĆ” que armonizarlo con lo que ya hay.
ā Poner en marcha la primera fase del SOC de la AGE con visión de futuro a medio y largo sobre la transformación que afecta a productos, sistemas y servicios.
ā Que los compradores empresariales, principalmente los grandes grupos y las compaƱĆas grandes y medianas, consignen la adquisición de productos y sistemas de ciberseguridad y la contratación de servicios en partidas presupuestarias especĆficas.
ā Que por higiene algunas asociaciones de empresas y personas, en feliz revoltijo, cambien de presidente y vicepresidente al menos una vez cada dĆ©cada. La supuesta falta de tiempo de otros posibles candidatos es una razón manida y desacreditada para justificar la continuidad en la poltrona. Hay que estimular el cambio.
ā Que los Consejos de Administración, Administradores y Alta dirección de empresas que aducen no entender, aprendan a interpretar si la información que se les facilita sobre el estado de la ciberseguridad de sus sociedades es o no aceptable para actuar en consecuencia incorporando en sus planes acciones de inversión y gasto si el nivel de exposición resulta inaceptable. No hay que olvidar que en el Barómetro de Riesgos de Allianz 2019, el cibernĆ©tico se suma, por primera vez, a la pĆ©rdida de beneficios como el principal riesgo para las empresas.
ā Todos estamos de acuerdo en que faltan expertos en ciberseguridad y hay que formarlos. Pero decir tal cosa sin mĆ”s es una simpleza, porque esta disciplina y prĆ”ctica se ha complicado. Conviene estudiar con urgencia quĆ© perfiles y cantidades se van a necesitar a medio y largo plazo. En esto no podemos ir de Q en Q.
ā Conviene tomarse en serio si las peculiaridades de algunos sectores esenciales y crĆticos hacen recomendable crear CERTs especĆficos.
ā Los estados, las organizaciones internacionales y supranacionales deben obligar a los fabricantes de sistemas electrónicos con IT embebida y conectividad (estoy pensando en Medicina y Sanidad, por ejemplo) a que incorporen con urgencia la ciberseguridad por diseƱo en sus equipos. QuizĆ” pueda incentivarse este particular diseƱando planes de inversión pĆŗblicos y privados para renovación y modernización. Hay que evitar desgracias.
ā Las tĆ©cnicas y mĆ©todos de Inteligencia Artificial y los sistemas basados en IA los aplican los buenos y los malos. Sucede, sin embargo, que bueno y malo son calificativos humanos.
ā ContinuarĆ”ā¦