Vaticinios. “Amenazas y ciberataques en 2023: ¿cuáles serán los más complejos y de gran impacto, se esperen o no?”. Esta es la pregunta que este año ha formulado SIC a 274 entidades; a saber: UE, ONU, otros actores internacionales relevantes, Autoridades Públicas Competentes españolas y departamentos de la AGE, Fiscalía General del Estado y Fuerzas y Cuerpos de Seguridad, entidades autonómicas y locales, aseguradoras, asociaciones y analistas, centros y laboratorios de investigación y evaluación, industria y servicios, organizadores de congresos especializados, actores del mercado de bug bounty, hackers y, cómo no, a ChatGPT. En total 274 entidades, lo que supone una cifra de marca en el número y calidad de actores significativos en esto de la ciberseguridad.
El trabajo, que forma parte de una serie que SIC inició hace ya varios años en su edición de febrero, es una pieza de valor, porque encierra información en diversos niveles de abstracción de lo que se va esperando. Los actores interpelados, además, están segmentados en base a criterios razonables para que también personas (físicas y jurídicas) ajenas al sector, o que desempeñan funciones en otros frentes, puedan valorar la importancia y alcance de la gestión de riesgos de ciberseguridad con la justa amplitud y seriedad que este gremio merece. Y, de paso, se contribuye a depreciar las deficientes aportaciones de consultores aficionados, analistas de pacotilla y observatorios miopes.
Así pues, el experto, es decir, el que sí sabe de qué va, puede contrastar aquí su opinión y propio vaticinio, y el ajeno a este mundillo puede valorar de modo más preciso en qué le concierne todo esto.
NIS2, DORA y directiva de resiliencia de las entidades críticas. Ya tenemos aquí las tres piezas legislativas que nos han ocupado estos años, y que forman el grueso del paquete normativo de la UE que habremos de cumplir en lo referente a garantizar un elevado nivel común de ciberseguridad en toda la Unión (directiva NIS2), a conseguir la resiliencia de las entidades críticas (directiva (UE) 2022/2557), y a lograr la resiliencia operativa digital del sector financiero ampliamente entendido (reglamento DORA).
Las piezas forman un conglomerado plagado de interacciones esenciales, importantes y críticas. Y, aunque la tríada parte de Europa, DORA, además de ser un reglamento (con lo que ello implica para su aplicación sin interpretaciones creativas de los Estados miembros), tiene naturaleza sectorial, un fuerte sabor a la doctrina clásica de la gestión de riesgos en los negocios y un alcance amplio en el que la ciberseguridad ocupa un lugar al lado de otros requisitos de resiliencia.
En páginas interiores encontrará el lector un par de excelentes artículos en los que se valoran la NIS2 y DORA. El dedicado a la directiva sobre resiliencia en entidades críticas lo dejaremos para más adelante para no empezar el año a tortazos.
¡SOCorro! Los días 15 y 16 de marzo, SIC va a organizar en Madrid, bajo la divisa de Espacio TiSEC, un evento específicamente centrado en esas “herramientas” esenciales para la operación de la ciberseguridad que son los SOC (Security Operations Centers), ya sean de cliente final, de compañía proveedora de servicios (MSSP) o de fabricantes que prestan algunos servicios directamente a clientes finales.
España es el país europeo con más SOC identificados. Y eso tiene una notable repercusión en el servicio, en el mercado de trabajo, en los precios y en el devenir del sector. Al tiempo, nos estamos acercando al momento en que la catalogación de entidades esenciales y críticas empiezan a demandar una sectorización, y otras áreas de actividad comienzan a generar servicios de ciberseguridad gestionada para, por ejemplo, el entramado de actores de los medios de pago normalizados (PCI-DSS).
Sea como fuere, por encima de todo esto, está la necesidad de compartir y de crear redes de centros (España ya lo ha empezado a hacer con la Red Nacional de SOC creada por el CCN, que bien podría ser el modelo de la red europea en estudio).
De todo ello se hablará en ¡SOCorro!, que –dicho sea de paso– como denominación no está muy alejada de lo que algunos clientes piensan.