Vaticinios. āAmenazas y ciberataques en 2023: ĀæcuĆ”les serĆ”n los mĆ”s complejos y de gran impacto, se esperen o no?ā. Esta es la pregunta que este aƱo ha formulado SIC a 274 entidades; a saber: UE, ONU, otros actores internacionales relevantes, Autoridades PĆŗblicas Competentes espaƱolas y departamentos de la AGE, FiscalĆa General del Estado y Fuerzas y Cuerpos de Seguridad, entidades autonómicas y locales, aseguradoras, asociaciones y analistas, centros y laboratorios de investigación y evaluación, industria y servicios, organizadores de congresos especializados, actores del mercado de bug bounty, hackers y, cómo no, a ChatGPT. En total 274 entidades, lo que supone una cifra de marca en el nĆŗmero y calidad de actores significativos en esto de la ciberseguridad.
El trabajo, que forma parte de una serie que SIC inició hace ya varios aƱos en su edición de febrero, es una pieza de valor, porque encierra información en diversos niveles de abstracción de lo que se va esperando. Los actores interpelados, ademĆ”s, estĆ”n segmentados en base a criterios razonables para que tambiĆ©n personas (fĆsicas y jurĆdicas) ajenas al sector, o que desempeƱan funciones en otros frentes, puedan valorar la importancia y alcance de la gestión de riesgos de ciberseguridad con la justa amplitud y seriedad que este gremio merece. Y, de paso, se contribuye a depreciar las deficientes aportaciones de consultores aficionados, analistas de pacotilla y observatorios miopes.
Asà pues, el experto, es decir, el que sà sabe de qué va, puede contrastar aquà su opinión y propio vaticinio, y el ajeno a este mundillo puede valorar de modo mÔs preciso en qué le concierne todo esto.
NIS2, DORA y directiva de resiliencia de las entidades crĆticas. Ya tenemos aquĆ las tres piezas legislativas que nos han ocupado estos aƱos, y que forman el grueso del paquete normativo de la UE que habremos de cumplir en lo referente a garantizar un elevado nivel comĆŗn de ciberseguridad en toda la Unión (directiva NIS2), a conseguir la resiliencia de las entidades crĆticas (directiva (UE) 2022/2557), y a lograr la resiliencia operativa digital del sector financiero ampliamente entendido (reglamento DORA).
Las piezas forman un conglomerado plagado de interacciones esenciales, importantes y crĆticas. Y, aunque la trĆada parte de Europa, DORA, ademĆ”s de ser un reglamento (con lo que ello implica para su aplicación sin interpretaciones creativas de los Estados miembros), tiene naturaleza sectorial, un fuerte sabor a la doctrina clĆ”sica de la gestión de riesgos en los negocios y un alcance amplio en el que la ciberseguridad ocupa un lugar al lado de otros requisitos de resiliencia.
En pĆ”ginas interiores encontrarĆ” el lector un par de excelentes artĆculos en los que se valoran la NIS2 y DORA. El dedicado a la directiva sobre resiliencia en entidades crĆticas lo dejaremos para mĆ”s adelante para no empezar el aƱo a tortazos.
Ā”SOCorro! Los dĆas 15 y 16 de marzo, SIC va a organizar en Madrid, bajo la divisa de Espacio TiSEC, un evento especĆficamente centrado en esas āherramientasā esenciales para la operación de la ciberseguridad que son los SOC (Security Operations Centers), ya sean de cliente final, de compaƱĆa proveedora de servicios (MSSP) o de fabricantes que prestan algunos servicios directamente a clientes finales.
EspaƱa es el paĆs europeo con mĆ”s SOC identificados. Y eso tiene una notable repercusión en el servicio, en el mercado de trabajo, en los precios y en el devenir del sector. Al tiempo, nos estamos acercando al momento en que la catalogación de entidades esenciales y crĆticas empiezan a demandar una sectorización, y otras Ć”reas de actividad comienzan a generar servicios de ciberseguridad gestionada para, por ejemplo, el entramado de actores de los medios de pago normalizados (PCI-DSS).
Sea como fuere, por encima de todo esto, estĆ” la necesidad de compartir y de crear redes de centros (EspaƱa ya lo ha empezado a hacer con la Red Nacional de SOC creada por el CCN, que bien podrĆa ser el modelo de la red europea en estudio).
De todo ello se hablarĆ” en Ā”SOCorro!, que ādicho sea de pasoā como denominación no estĆ” muy alejada de lo que algunos clientes piensan.