Vaticinios. āAmenazas y ciberataques en 2023: ĀæcuĆ”les serĆ”n los mĆ”s complejos y de gran impacto, se esperen o no?ā. Esta es la pregunta que este aƱo ha formulado SIC a 274 entidades; a saber: UE, ONU, otros actores internacionales relevantes, Autoridades PĆŗblicas Competentes espaƱolas y departamentos de la AGE, FiscalĆa General del Estado y Fuerzas y Cuerpos de Seguridad, entidades autonĆ³micas y locales, aseguradoras, asociaciones y analistas, centros y laboratorios de investigaciĆ³n y evaluaciĆ³n, industria y servicios, organizadores de congresos especializados, actores del mercado de bug bounty, hackers y, cĆ³mo no, a ChatGPT. En total 274 entidades, lo que supone una cifra de marca en el nĆŗmero y calidad de actores significativos en esto de la ciberseguridad.
El trabajo, que forma parte de una serie que SIC iniciĆ³ hace ya varios aƱos en su ediciĆ³n de febrero, es una pieza de valor, porque encierra informaciĆ³n en diversos niveles de abstracciĆ³n de lo que se va esperando. Los actores interpelados, ademĆ”s, estĆ”n segmentados en base a criterios razonables para que tambiĆ©n personas (fĆsicas y jurĆdicas) ajenas al sector, o que desempeƱan funciones en otros frentes, puedan valorar la importancia y alcance de la gestiĆ³n de riesgos de ciberseguridad con la justa amplitud y seriedad que este gremio merece. Y, de paso, se contribuye a depreciar las deficientes aportaciones de consultores aficionados, analistas de pacotilla y observatorios miopes.
AsĆ pues, el experto, es decir, el que sĆ sabe de quĆ© va, puede contrastar aquĆ su opiniĆ³n y propio vaticinio, y el ajeno a este mundillo puede valorar de modo mĆ”s preciso en quĆ© le concierne todo esto.
NIS2, DORA y directiva de resiliencia de las entidades crĆticas. Ya tenemos aquĆ las tres piezas legislativas que nos han ocupado estos aƱos, y que forman el grueso del paquete normativo de la UE que habremos de cumplir en lo referente a garantizar un elevado nivel comĆŗn de ciberseguridad en toda la UniĆ³n (directiva NIS2), a conseguir la resiliencia de las entidades crĆticas (directiva (UE) 2022/2557), y a lograr la resiliencia operativa digital del sector financiero ampliamente entendido (reglamento DORA).
Las piezas forman un conglomerado plagado de interacciones esenciales, importantes y crĆticas. Y, aunque la trĆada parte de Europa, DORA, ademĆ”s de ser un reglamento (con lo que ello implica para su aplicaciĆ³n sin interpretaciones creativas de los Estados miembros), tiene naturaleza sectorial, un fuerte sabor a la doctrina clĆ”sica de la gestiĆ³n de riesgos en los negocios y un alcance amplio en el que la ciberseguridad ocupa un lugar al lado de otros requisitos de resiliencia.
En pĆ”ginas interiores encontrarĆ” el lector un par de excelentes artĆculos en los que se valoran la NIS2 y DORA. El dedicado a la directiva sobre resiliencia en entidades crĆticas lo dejaremos para mĆ”s adelante para no empezar el aƱo a tortazos.
Ā”SOCorro! Los dĆas 15 y 16 de marzo, SIC va a organizar en Madrid, bajo la divisa de Espacio TiSEC, un evento especĆficamente centrado en esas āherramientasā esenciales para la operaciĆ³n de la ciberseguridad que son los SOC (Security Operations Centers), ya sean de cliente final, de compaƱĆa proveedora de servicios (MSSP) o de fabricantes que prestan algunos servicios directamente a clientes finales.
EspaƱa es el paĆs europeo con mĆ”s SOC identificados. Y eso tiene una notable repercusiĆ³n en el servicio, en el mercado de trabajo, en los precios y en el devenir del sector. Al tiempo, nos estamos acercando al momento en que la catalogaciĆ³n de entidades esenciales y crĆticas empiezan a demandar una sectorizaciĆ³n, y otras Ć”reas de actividad comienzan a generar servicios de ciberseguridad gestionada para, por ejemplo, el entramado de actores de los medios de pago normalizados (PCI-DSS).
Sea como fuere, por encima de todo esto, estĆ” la necesidad de compartir y de crear redes de centros (EspaƱa ya lo ha empezado a hacer con la Red Nacional de SOC creada por el CCN, que bien podrĆa ser el modelo de la red europea en estudio).
De todo ello se hablarĆ” en Ā”SOCorro!, que ādicho sea de pasoā como denominaciĆ³n no estĆ” muy alejada de lo que algunos clientes piensan.
