Responsable de Seguridad de la InformaciĆ³n. El Gobierno en funciones, a travĆ©s de la SecretarĆa de Estado para el Avance Digital (Ministerio de EconomĆa y Empresa) puso este verano en trĆ”mite de audiencia e informaciĆ³n pĆŗblica el proyecto de Real Decreto de desarrollo del Real Decreto-ley por el que se transpuso a la legislaciĆ³n espaƱola la directiva NIS.
Hasta el dĆa 6 de este mes, las personas y entidades interesadas han tenido la oportunidad de enviar al ministerio correspondiente, vĆa correo-e, sus observaciones sobre el texto publicado.
El desarrollo del Real Decreto-Ley es necesario para cumplir lo indicado en la directiva NIS y, tambiĆ©n, para consagrar en nuestro ordenamiento jurĆdico las particularidades normativas que se consideren y que, ademĆ”s, pudieran servir de modelo para el avance futuro del Ć”mbito NIS comunitario. (Y quizĆ” del PIC).
Con todo, para los profesionales dedicados a gestionar la seguridad de la informaciĆ³n de los operadores de servicios esenciales, la guinda del contenido del proyecto de Real Decreto es el ArtĆculo 7, titulado āResponsable de Seguridad de la InformaciĆ³nā. Da carta de naturaleza a la figura, dibuja sus funciones, se seƱala de quĆ© deberĆa dotĆ”rsele y se intenta abrir un espacio para unificar/compatibilizar al Responsable de Seguridad y Enlace (PIC), al Delegado de ProtecciĆ³n de Datos (RGPD) y al Responsable de Seguridad (ENS).
Obviamente, y entre otros asuntos, no se definen, en un contexto de no unificaciĆ³n de funciones, las relaciones del Responsable de Seguridad de la InformaciĆ³n (RSI) con las otras figuras mencionadas; ni se entra de forma especĆfica en capacitaciones, certificaciones y titulaciones. En fin, en estos y otros frentes hay que ir con calma, porque el exceso de regulaciĆ³n no es bueno, el desencuentro entre entidades regulatorias (de darse), tampoco. Y menos todavĆa caer en el intervencionismo, del que ya se quejan algunas empresas.
Siendo positivos, lo realmente importante es que si este texto se publica en el BOE tal cual lo hemos conocido, serĆ” un gran espaldarazo (largamente demandado) para los CISOs de operadores esenciales, para los CISOs de cualquier organizaciĆ³n, para los proveedores (mencionados en el proyecto) y, en general, para todos, privados (multinacionales o no) y pĆŗblicos.
MSSPs. Esta ediciĆ³n contiene unas pĆ”ginas especiales dedicadas a este tipo de externalizaciĆ³n, esencial en la cadena de valor de la gestiĆ³n de riesgos de ciberseguridad y que mĆ”s pronto o mĆ”s tarde serĆ” objeto de regulaciĆ³n especĆfica directa.
La provisiĆ³n de servicios de ciberseguridad gestionada es una actividad especializada que canaliza una parte importante de la inversiĆ³n y el gasto en la materia de los entornos de grandes organizaciones en EspaƱa, y en el que operan prestatarios de diversa procedencia en origen (integradores, consultoras, tecnolĆ³gicas globales, operadores de telecomunicacionesā¦), tamaƱo, alcance geogrĆ”fico, entorno TIC de servicio y mayor o menor amplitud de oferta.
El momento actual es bueno para la actividad, aunque desde hace un tiempo se viene registrando un exceso de actores que, en un futuro, podrĆa ser el preludio de una disminuciĆ³n en el nĆŗmero de oferentes tradicionales, motivada por la correcciĆ³n del mercado ante precios bajos e inviables, por la transformaciĆ³n āque afecta de lleno a los MSSPs (nube, automatizaciĆ³n, robotizaciĆ³nā¦)ā y por factores econĆ³micos que conciernan a sectores demandantes clave.
Sea como fuere, queda cuerda para rato, porque la gestiĆ³n de riesgos de ciberseguridad estĆ” muy lejos de alcanzar una efectividad adecuada y una madurez organizativa Ć³ptima. Y en la consecuciĆ³n de tales objetivos, los MSSPs especĆficos que sepan adaptarse con rapidez a los cambios ambientales del contratista, se mantendrĆ”n, al igual que lo harĆ”n aquellos grandes jugadores que logren sintonizar sus enormes capacidades para prestar servicios resilientes de manera eficiente, rentable y que interesen a los usuarios corporativos.
No es la primera vez que la revista SIC dedica unas pĆ”ginas especiales a los proveedores de servicios de ciberseguridad gestionada. Y de continuo viene prestando un espacio informativo no desdeƱable a este Ć”mbito de la ciberseguridad. Pero el actual no parecĆa un mal momento, al menos para intentar facilitar que aquellas empresas que se estĆ”n incorporando a la contrataciĆ³n de este tipo de servicios tengan mĆ”s fĆ”cil separar el polvo de la paja.
