Responsable de Seguridad de la Información. El Gobierno en funciones, a través de la Secretaría de Estado para el Avance Digital (Ministerio de Economía y Empresa) puso este verano en trámite de audiencia e información pública el proyecto de Real Decreto de desarrollo del Real Decreto-ley por el que se transpuso a la legislación española la directiva NIS.
Hasta el día 6 de este mes, las personas y entidades interesadas han tenido la oportunidad de enviar al ministerio correspondiente, vía correo-e, sus observaciones sobre el texto publicado.
El desarrollo del Real Decreto-Ley es necesario para cumplir lo indicado en la directiva NIS y, también, para consagrar en nuestro ordenamiento jurídico las particularidades normativas que se consideren y que, además, pudieran servir de modelo para el avance futuro del ámbito NIS comunitario. (Y quizá del PIC).
Con todo, para los profesionales dedicados a gestionar la seguridad de la información de los operadores de servicios esenciales, la guinda del contenido del proyecto de Real Decreto es el Artículo 7, titulado “Responsable de Seguridad de la Información”. Da carta de naturaleza a la figura, dibuja sus funciones, se señala de qué debería dotársele y se intenta abrir un espacio para unificar/compatibilizar al Responsable de Seguridad y Enlace (PIC), al Delegado de Protección de Datos (RGPD) y al Responsable de Seguridad (ENS).
Obviamente, y entre otros asuntos, no se definen, en un contexto de no unificación de funciones, las relaciones del Responsable de Seguridad de la Información (RSI) con las otras figuras mencionadas; ni se entra de forma específica en capacitaciones, certificaciones y titulaciones. En fin, en estos y otros frentes hay que ir con calma, porque el exceso de regulación no es bueno, el desencuentro entre entidades regulatorias (de darse), tampoco. Y menos todavía caer en el intervencionismo, del que ya se quejan algunas empresas.
Siendo positivos, lo realmente importante es que si este texto se publica en el BOE tal cual lo hemos conocido, será un gran espaldarazo (largamente demandado) para los CISOs de operadores esenciales, para los CISOs de cualquier organización, para los proveedores (mencionados en el proyecto) y, en general, para todos, privados (multinacionales o no) y públicos.
MSSPs. Esta edición contiene unas páginas especiales dedicadas a este tipo de externalización, esencial en la cadena de valor de la gestión de riesgos de ciberseguridad y que más pronto o más tarde será objeto de regulación específica directa.
La provisión de servicios de ciberseguridad gestionada es una actividad especializada que canaliza una parte importante de la inversión y el gasto en la materia de los entornos de grandes organizaciones en España, y en el que operan prestatarios de diversa procedencia en origen (integradores, consultoras, tecnológicas globales, operadores de telecomunicaciones…), tamaño, alcance geográfico, entorno TIC de servicio y mayor o menor amplitud de oferta.
El momento actual es bueno para la actividad, aunque desde hace un tiempo se viene registrando un exceso de actores que, en un futuro, podría ser el preludio de una disminución en el número de oferentes tradicionales, motivada por la corrección del mercado ante precios bajos e inviables, por la transformación –que afecta de lleno a los MSSPs (nube, automatización, robotización…)– y por factores económicos que conciernan a sectores demandantes clave.
Sea como fuere, queda cuerda para rato, porque la gestión de riesgos de ciberseguridad está muy lejos de alcanzar una efectividad adecuada y una madurez organizativa óptima. Y en la consecución de tales objetivos, los MSSPs específicos que sepan adaptarse con rapidez a los cambios ambientales del contratista, se mantendrán, al igual que lo harán aquellos grandes jugadores que logren sintonizar sus enormes capacidades para prestar servicios resilientes de manera eficiente, rentable y que interesen a los usuarios corporativos.
No es la primera vez que la revista SIC dedica unas páginas especiales a los proveedores de servicios de ciberseguridad gestionada. Y de continuo viene prestando un espacio informativo no desdeñable a este ámbito de la ciberseguridad. Pero el actual no parecía un mal momento, al menos para intentar facilitar que aquellas empresas que se están incorporando a la contratación de este tipo de servicios tengan más fácil separar el polvo de la paja.