Responsable de Seguridad de la Información. El Gobierno en funciones, a travĆ©s de la SecretarĆa de Estado para el Avance Digital (Ministerio de EconomĆa y Empresa) puso este verano en trĆ”mite de audiencia e información pĆŗblica el proyecto de Real Decreto de desarrollo del Real Decreto-ley por el que se transpuso a la legislación espaƱola la directiva NIS.
Hasta el dĆa 6 de este mes, las personas y entidades interesadas han tenido la oportunidad de enviar al ministerio correspondiente, vĆa correo-e, sus observaciones sobre el texto publicado.
El desarrollo del Real Decreto-Ley es necesario para cumplir lo indicado en la directiva NIS y, tambiĆ©n, para consagrar en nuestro ordenamiento jurĆdico las particularidades normativas que se consideren y que, ademĆ”s, pudieran servir de modelo para el avance futuro del Ć”mbito NIS comunitario. (Y quizĆ” del PIC).
Con todo, para los profesionales dedicados a gestionar la seguridad de la información de los operadores de servicios esenciales, la guinda del contenido del proyecto de Real Decreto es el ArtĆculo 7, titulado āResponsable de Seguridad de la Informaciónā. Da carta de naturaleza a la figura, dibuja sus funciones, se seƱala de quĆ© deberĆa dotĆ”rsele y se intenta abrir un espacio para unificar/compatibilizar al Responsable de Seguridad y Enlace (PIC), al Delegado de Protección de Datos (RGPD) y al Responsable de Seguridad (ENS).
Obviamente, y entre otros asuntos, no se definen, en un contexto de no unificación de funciones, las relaciones del Responsable de Seguridad de la Información (RSI) con las otras figuras mencionadas; ni se entra de forma especĆfica en capacitaciones, certificaciones y titulaciones. En fin, en estos y otros frentes hay que ir con calma, porque el exceso de regulación no es bueno, el desencuentro entre entidades regulatorias (de darse), tampoco. Y menos todavĆa caer en el intervencionismo, del que ya se quejan algunas empresas.
Siendo positivos, lo realmente importante es que si este texto se publica en el BOE tal cual lo hemos conocido, serÔ un gran espaldarazo (largamente demandado) para los CISOs de operadores esenciales, para los CISOs de cualquier organización, para los proveedores (mencionados en el proyecto) y, en general, para todos, privados (multinacionales o no) y públicos.
MSSPs. Esta edición contiene unas pĆ”ginas especiales dedicadas a este tipo de externalización, esencial en la cadena de valor de la gestión de riesgos de ciberseguridad y que mĆ”s pronto o mĆ”s tarde serĆ” objeto de regulación especĆfica directa.
La provisión de servicios de ciberseguridad gestionada es una actividad especializada que canaliza una parte importante de la inversión y el gasto en la materia de los entornos de grandes organizaciones en EspaƱa, y en el que operan prestatarios de diversa procedencia en origen (integradores, consultoras, tecnológicas globales, operadores de telecomunicacionesā¦), tamaƱo, alcance geogrĆ”fico, entorno TIC de servicio y mayor o menor amplitud de oferta.
El momento actual es bueno para la actividad, aunque desde hace un tiempo se viene registrando un exceso de actores que, en un futuro, podrĆa ser el preludio de una disminución en el nĆŗmero de oferentes tradicionales, motivada por la corrección del mercado ante precios bajos e inviables, por la transformación āque afecta de lleno a los MSSPs (nube, automatización, robotizaciónā¦)ā y por factores económicos que conciernan a sectores demandantes clave.
Sea como fuere, queda cuerda para rato, porque la gestión de riesgos de ciberseguridad estĆ” muy lejos de alcanzar una efectividad adecuada y una madurez organizativa óptima. Y en la consecución de tales objetivos, los MSSPs especĆficos que sepan adaptarse con rapidez a los cambios ambientales del contratista, se mantendrĆ”n, al igual que lo harĆ”n aquellos grandes jugadores que logren sintonizar sus enormes capacidades para prestar servicios resilientes de manera eficiente, rentable y que interesen a los usuarios corporativos.
No es la primera vez que la revista SIC dedica unas pĆ”ginas especiales a los proveedores de servicios de ciberseguridad gestionada. Y de continuo viene prestando un espacio informativo no desdeƱable a este Ć”mbito de la ciberseguridad. Pero el actual no parecĆa un mal momento, al menos para intentar facilitar que aquellas empresas que se estĆ”n incorporando a la contratación de este tipo de servicios tengan mĆ”s fĆ”cil separar el polvo de la paja.