Se busca director para la orquesta nacional de la ciberseguridad

El año pasado se reportaron más de 120 ciber incidentes críticos en España. Para 2024 se espera un punto más de desparrame en la descentralización, adobado generosamente con las prisas en seguir metiéndonos el gusanillo de la hiperconectividad. Solo con esto, y con la inclinación de mucho CIO transformador asfixiado por la superioridad jerárquica con el dulce veneno de la eficiencia ad infinitum, la confianza completa (por contraste con la Zero Trust), y atento a marcarse un tanto implantando sistemas de IA molones “que-aporten-valor-al-negocio”, la actividad de CISO va a ser más compleja.

Para colmo, la legislación (particularmente la de la UE) ha vuelto su mirada hacia los órganos de gobierno y gestión de las empresas, que son los responsables de que las cosas pudieran no hacerse todo lo bien que cabría esperar. (Ojo aquí, que las normativas todavía no traspuestas van a exigir una buena ponderación de riesgos asociados con el cumplimiento legal en materia de idoneidad y mejora de controles para que el deseo de dar facilidades a los posibles clientes para abrir cuentas bancarias con sencillez, desde cualquier sitio y por todos los canales posibles (es solo un ejemplo), no se traduzca en un incremento en engaños, posteriores fraudes y denuncias. Si hay sectores (banca y “telco”, por poner dos clásicos muy regulados) que pueden cooperar para que esto no suceda, mejor que lo hagan. Y si descubren que la cosa cuesta dinero, mejor que consensúen fórmulas intersectoriales de corresponsabilidad, antes de que se las impongan.

Estas cuestiones abren un debate al que desde hace un quinquenio se va acercando el sector de la ciberseguridad. A saber: ¿qué ciberprotección es lícita vender a los clientes finales y cuál debe estar incorporada en los servicios que se ponen a su disposición? Pagarla la vamos a pagar. Pero la geometría del negocio y la actividad cambia mucho. Con la apuesta de la ciberseguridad por diseño, políticamente la dirección está marcada. Al menos por ahora.

Sucede, además, que por la propia importancia de los ciberataques para la estabilidad de los estados democráticos y las entidades supranacionales e internacionales, estos han ido tomando cartas en el asunto (en general con retraso) para mejor defender a las administraciones públicas, la ciudadanía (no solo a los consumidores) y, en suma, al país. Esto último, en España, se ubica en el perímetro de la seguridad nacional, en la que la ciberseguridad juega cierto papel, pero sin ponerle detrás -como sí a la primera- lo de nacional. ¿Por qué? Porque los que pueden decidir no deben saber por dónde tirar. (A lo mejor esa futura ley de ciberseguridad de la que ha hablado recientemente el ministro Escrivá lo deja todo niquelado).

En la edición de febrero del año pasado, Lorena Boix Alonso, Directora para la Sociedad Digital, la Confianza y la Ciberseguridad de la DG CONNECT de la Comisión Europea, en una entrevista amablemente concedida a SIC, manifestó que “Es fundamental que cada país disponga de una autoridad nacional a cargo de la supervisión y el cumplimiento de las obligaciones de ciberseguridad derivadas de la NIS”. Muchos países de la UE ya la tienen. Les ganamos a otros países europeos en muchos frentes de la gestión de la ciberseguridad, pero en este, no. ¿Estaremos acaso esperando a la trasposición de la NIS2 y a la actualización de ese documento gubernamental que es nuestra vigente Estrategia Nacional de Ciberseguridad?

Las comunidades autónomas llevan tiempo organizándose, si bien es cierto que no del mismo modo: Cataluña y País Vasco con agencia; Madrid, también recientemente; Comunidad Valenciana con su ejemplar CSIRT; Galicia (Amtega-CSIRT-Gal); Andalucía ADA-AndalucíaCERT); Canarias; Región de Murcia (CSIRT); Aragón (servicios de CERT a través de AST); Castilla y León; Castilla-La Mancha (SOC este año); Navarra y Baleares (que montarán agencias en 2024) y cuatro comunidades autónomas más están definiendo cómo van a centralizar sus procesos de ciberseguridad. Falta que, a efectos generales, se sigan moviendo los ayuntamientos.

Y es que por cualquier lado nos la pueden liar los ciberatacantes: privados, públicos, clientes, suministradores, internos, externos, grandes, pequeños, medianos… esto es lo que tiene hoy lo cibernético y lo ciberfísico. ¿Quién dijo que la transformación era barata? Tenemos de todo en el solar patrio: método para análisis y gestión de riesgos y herramienta asociada, ENS, Lucía para el intercambio de incidentes, inteligencia compartida con Reyes, respuesta integrada con la RNS, proyecto de certificación de SOC (¡ojo, lector de MSSP!), grupo de caza de amenazas, certificación de tecnologías. Y participamos en la iniciativa de la red europea de SOC, ENSOC, junto a Italia, Luxemburgo, Portugal, Bélgica, Austria y Países Bajos. Y para emprendedores y creación y retención del “talento”, dicen que disponemos de mucha pasta.

Pero no tenemos director de orquesta para el constructo que estamos montando. Esperemos que el asunto no caiga en el bucle ideológico de la época previa a los Juegos Olímpicos de Barcelona y la Expo de Sevilla, en la que la mitad de España creía en las autovías y la otra mitad en las autopistas.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×