‘Qué será, será’
Cuando el periodista Rubén Amón dijo con fina ironía que “Somos muy buenos prediciendo el pasado”, no creo que tuviera en mente al sector profesional dedicado al análisis de riesgos asociados con la ciberseguridad. Pero, sin duda, acertó, porque el eterno anhelo de los humanos, poseer una bola de cristal, no tiene pinta de que lo vayamos a cumplir ni con algoritmos de IA bien alimentados corriendo en una suerte de red de computadoras cuánticas trabajando en el éter. Pero al menos dejaremos sin curro al ejército de profetas digitales -en general paracaidistas expulsados de otros gremios- que desde hace años ensucian el nuestro.
Eso sí, no me resisto a manifestar que –como casi todos los que trabajamos en ciberseguridad– acerté al pensar que no íbamos a trasponer a nuestra legislación en fechas la directiva NIS2. Y confieso que ni siquiera tengo claro que la vayamos a trasponer.
¿Centro Nacional de Ciberseguridad?
Tuve el honor el pasado 18ENISE de moderar un debate entre el anfitrión del evento y director general de Incibe, Félix Barrio, y el Subdirector General del CCN, Luis Jiménez, dos expertos educados y combativos. El ministerial título que me propuso la Organización, “Retos presentes y futuros en Ciberseguridad” le vale a cualquier sector en cualquier momento. Y en honor a la verdad, he de decir que me dieron la oportunidad de cambiarlo. No lo hice. ¿Por qué? Porque me brindaba la oportunidad de preguntar a los debatientes por el estado del arte del contenido del pre-anteproyecto de trasposición de la NIS2 (o lo que haya). ¡Qué mejor reto presente y futuro de la ciberseguridad!
Por más que pregunté a Don Félix y a Don Luis si vamos o no a un Centro Nacional de Ciberseguridad, si podían avanzar los criterios de clasificación y de reparto de competencias para gestionar a esenciales e importantes, si está ya diseñado el modelo para crear vasos comunicantes con DORA, sobre el papel que podría tener el CERT de la OCC, si estaban estudiando la creación de mecanismos para la compartición voluntaria de información entre organizaciones, sobre si habían encontrado el deseable equilibrio entre lo proporcional y lo disuasorio en el régimen sancionador… Como digo, por más que se lo pregunté, no pude sacar más que un ‘está en estudio’, ‘hay que cerrar los últimos flecos’, ‘más pronto que tarde lo veremos’ sobre estas materias, no sobre otras, en las que se mostraron más comunicativos y siempre brillantes. Pero este hecho no lo considero un fracaso, porque el demonio está en las preguntas. Y esas las preparé yo y tuve el privilegio de formulárselas a los contertulios sin avisar, en vivo y en directo. En el auditorio, algunas personas del público asistente mostraban sonriendo su complicidad y otros tenían cara de vender licencias de software para cumplir con esta Directiva, de la que solo conocen el acrónimo.
Trump y la ciberseguridad
Pero volvamos a las no-predicciones, es decir, a las dudas razonables que nos plantea nuestro yo anticipatorio. Resulta que la Administración Biden tenía una apretada agenda 2025 en materia de ciberseguridad: fortalecer agencias, afinar su estrategia ofensiva, criar más estándares… Pero las elecciones presidenciales las ha ganado Trump. ¿Qué pasará con lo planeado por la actual administración? ¿Qué pasará con el diálogo abierto entre la Casa Blanca y la Comisión Europea en materia de ciberseguridad y de identidad en el medio digital? Algunos que tienen el culo ‘pelao’ de comerse cambios en las administraciones públicas piensan que no va a pasar nada, que en el océano de la alta política habrá tormenta en la superficie y calma en las profundidades. (Me gustaría saber si Don Elon Musk es de la misma opinión).
Pese a todo, el planeta sigue girando, las empresas y los empleados de nuestro sector han vaporizado el récord de rotación, la industria sigue rebautizando conceptos, inventando a buen ritmo palabros, y nos espera un entretenido caminar por la senda del cumplimiento legal, al que nunca se llega.
Como guinda del pastel, el BOE nos ha regalado unos peteretes en forma de reales decretos; a saber: la aprobación del Estatuto de la Agencia Estatal de Administración Digital y la regulación de la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado. Estas piezas son prueba de la complejidad de la mente humana. Leerlas da dolor de cabeza y aprehender su contenido es una empresa titánica que puede dejarnos temporalmente inservibles las entendederas. Pero hay que hacerlo. Y más aquellas compañías que en materia TIC (ciberseguridad incluida) tienen una alta dependencia de las adquisiciones de la AGE.
Para despedirme de ustedes este año (la próxima edición de SIC verá la luz, según lo previsto, en febrero de 2025), además de desearles lo mejor voy a sucumbir al pecado de la profecía acerca de lo que nos espera el año que viene. Respuesta: pasará lo que tenga que pasar.