Durante el pasado mes de octubre se conoció una iniciativa francamente interesante para el mercado de la ciberseguridad, relacionada en concreto con los centros operativos de seguridad (SOC). El Instituto Nacional de Ciberseguridad (Incibe) lanzó una convocatoria de compra pública innovadora en ciberseguridad con una inversión de 137 millones de euros.
El diseño de esta convocatoria tiene varios elementos que deben valorarse positivamente. Primero, la dotación económica se incrementa significativa y necesariamente respecto a convocatorias anteriores. Segundo, selecciona 30 retos según el análisis realizado de las necesidades del mercado. Y tercero, las entidades participantes en esta compra pública innovadora deben concentrar su apuesta en un máximo de tres de los 30 desafíos.
Resulta significativo que la mitad de los 30 retos correspondan a la creación de SOC especializados en los distintos sectores de infraestructuras críticas actuales. No obstante, el trabajo realizado por los SOC generalistas hasta ahora ha sido tan encomiable como imprescindible. Gracias al mismo, hemos obtenido los niveles de protección y respuesta ante incidentes actuales. Pero las amenazas, los riesgos y los vectores de ataque siguen evolucionando, buscando debilidades aún no conocidas o específicas de las soluciones y sistemas propios de ciertos sectores.
Si los SOC no se especializan simultáneamente, antes o después tendremos incidentes que no podremos resolver adecuadamente.
Iniciativa acertada para los SOC
Por ello, debemos agradecer a Incibe su visión sobre la necesidad de esta especialización y el impulso que proporciona a la misma a través de su compra pública innovadora. España va a poder dotarse de capacidades de detección y respuesta de incidentes sectoriales de alta eficacia. Es una iniciativa tan acertada que los proveedores de servicios la estábamos recorriendo igualmente incluso antes de su llegada.
La iniciativa es también acertada por los diferentes grados de madurez en ciberseguridad de los sectores. El SOC actual constituye la base del SOC sectorial. Algunos sectores como finanzas, energía o tecnologías de la información y la comunicación han sido pioneros en la inclusión de la ciberseguridad como parte de su organización y procesos. Debido a esto, se encuentran en un grado de madurez mayor: conocen con más detalle sus necesidades sectoriales particulares y disponen de equipos y procedimientos entrenados. Ya han empezado su recorrido hacia el SOC sectorial, y solo precisan seguir avanzando en sus capacidades para las tipologías concretas de incidentes, activos y necesidades específicas de su sector.
Otros sectores críticos están en estadios de madurez anteriores y por ello requieren avanzar a mayor velocidad. La experiencia de las entidades que estamos involucradas en estos sectores confirma que la transición debe acelerarse: las buenas prácticas actuales son una base adecuada, pero su traslación entre sectores no siempre es inmediata: las diferencias en amenazas, tecnologías y prioridades se derivan en distintos criterios y toma de decisiones de priorización en la detección de eventos y en la gestión de incidentes. Es decir, diferente adaptación de los procesos del SOC.
Sin duda, la entrega de resultados de los SOC debe continuar su especialización sectorial. El impulso desde la Administración proporciona energía y enfoque en la línea correcta. Ahora corresponde al sector privado aprovechar la oportunidad que se nos brinda y demostrar nuestro saber hacer.