Estas cuestiones abren un debate al que desde hace un quinquenio se va acercando el sector de la ciberseguridad. A saber: ¿qué ciberprotección es lícita vender a los clientes finales y cuál debe estar incorporada en los servicios que se ponen a su disposición? Pagarla la vamos a pagar. Pero la geometría del negocio y la actividad cambia mucho. Con la apuesta de la ciberseguridad por diseño, políticamente la dirección está marcada. Al menos por ahora.

Sucede, además, que por la propia importancia de los ciberataques para la estabilidad de los estados democráticos y las entidades supranacionales e internacionales, estos han ido tomando cartas en el asunto (en general con retraso) para mejor defender a las administraciones públicas, la ciudadanía (no solo a los consumidores) y, en suma, al país. Esto último, en España, se ubica en el perímetro de la seguridad nacional, en la que la ciberseguridad juega cierto papel, pero sin ponerle detrás -como sí a la primera- lo de nacional. ¿Por qué? Porque los que pueden decidir no deben saber por dónde tirar. (A lo mejor esa futura ley de ciberseguridad de la que ha hablado recientemente el ministro Escrivá lo deja todo niquelado).

En la edición de febrero del año pasado, Lorena Boix Alonso, Directora para la Sociedad Digital, la Confianza y la Ciberseguridad de la DG CONNECT de la Comisión Europea, en una entrevista amablemente concedida a SIC, manifestó que “Es fundamental que cada país disponga de una autoridad nacional a cargo de la supervisión y el cumplimiento de las obligaciones de ciberseguridad derivadas de la NIS”. Muchos países de la UE ya la tienen. Les ganamos a otros países europeos en muchos frentes de la gestión de la ciberseguridad, pero en este, no. ¿Estaremos acaso esperando a la trasposición de la NIS2 y a la actualización de ese documento gubernamental que es nuestra vigente Estrategia Nacional de Ciberseguridad?

Las comunidades autónomas llevan tiempo organizándose, si bien es cierto que no del mismo modo: Cataluña y País Vasco con agencia; Madrid, también recientemente; Comunidad Valenciana con su ejemplar CSIRT; Galicia (Amtega-CSIRT-Gal); Andalucía ADA-AndalucíaCERT); Canarias; Región de Murcia (CSIRT); Aragón (servicios de CERT a través de AST); Castilla y León; Castilla-La Mancha (SOC este año); Navarra y Baleares (que montarán agencias en 2024) y cuatro comunidades autónomas más están definiendo cómo van a centralizar sus procesos de ciberseguridad. Falta que, a efectos generales, se sigan moviendo los ayuntamientos.

Y es que por cualquier lado nos la pueden liar los ciberatacantes: privados, públicos, clientes, suministradores, internos, externos, grandes, pequeños, medianos… esto es lo que tiene hoy lo cibernético y lo ciberfísico. ¿Quién dijo que la transformación era barata? Tenemos de todo en el solar patrio: método para análisis y gestión de riesgos y herramienta asociada, ENS, Lucía para el intercambio de incidentes, inteligencia compartida con Reyes, respuesta integrada con la RNS, proyecto de certificación de SOC (¡ojo, lector de MSSP!), grupo de caza de amenazas, certificación de tecnologías. Y participamos en la iniciativa de la red europea de SOC, ENSOC, junto a Italia, Luxemburgo, Portugal, Bélgica, Austria y Países Bajos. Y para emprendedores y creación y retención del “talento”, dicen que disponemos de mucha pasta.

Pero no tenemos director de orquesta para el constructo que estamos montando. Esperemos que el asunto no caiga en el bucle ideológico de la época previa a los Juegos Olímpicos de Barcelona y la Expo de Sevilla, en la que la mitad de España creía en las autovías y la otra mitad en las autopistas.