Red Seguridad 104

46 red seguridad primer trimestre 2024 protagonista segurTIC compañías americanas que, por mucho que digan que tienen un data center en Irlanda o en Zaragoza, no dejan de ser americanas y están sujetas a las direc- tivas de su país. Unas directivas que les dicen: “yo necesito que mes des infor- mación ahora, así que me la das”. ¿Cuál es su valoración sobre el impac- to que tendrá la Directiva NIS 2, sobre seguridad de las redes y sistemas de la información, en España? Veo la directiva como una evolución razonable dentro de lo que es el marco normativo europeo y está poniendo los puntos sobre las íes en muchas cosas. Por ejemplo, recoge la responsabilidad de los directivos y de los consejos de ad- ministración, algo que ya era obvio pero que ahora se escenifica un poco más. El marco normativo que se está desa- rrollando está yendo en el buen camino en cuanto que impone unas normas a quienes gestionan infraestructuras críti- cas, obligándoles a pararse a pensar lo que tienen entre manos. Y esto lo digo incluso cuando me afecta a mí directa- mente. Nosotros debemos tener mucho cuidado porque en nuestras manos está la seguridad de muchas compañías, que a su vez son infraestructuras críticas. Ahora bien, vuelvo otra vez a lo mis- mo, esto lo tenemos que asumir todos, no solo las empresas que estamos en España, sino también las que prestan servicios desde fuera. Estamos hartos de ver tecnología que no tiene la segu- mundo IT son un error de aproximación. El mundo OT es otro entorno, donde no es lo mismo ni siquiera el lenguaje. Nosotros tenemos un SOC mixto donde hay un director IT y otro de OT, porque estos entornos no tienen nada que ver. Es verdad que en un momento deter- minado se unen y las vulnerabilidades que afectan al IT pueden afectar al OT y viceversa, pero son dos campos com- pletamente distintos. El sector vive una actividad normati- va frenética con nuevas directivas, leyes, trasposiciones... ¿Cómo valora esa intensidad para configurar una re- glas comunes de ciberseguridad en la Unión Europea? Yo creo que es necesario desarrollar un marco normativo. Ahora bien, el problema es que supone un freno para nuestras empresas. Si estas normas se aplican en Europa, pero no en China o Estados Unidos, las reglas con las que estamos jugando son diferentes. Yo abogo por el modelo europeo, pero me preocupa que ese modelo no se impon- ga en el mundo, porque desde el punto de vista empresarial estaremos en una clarísima desventaja. Esto aplica a la ciberseguridad, pero también otras tecnologías como a la in- teligencia artificial. Ese es un campo en el que estamos en mucha desventaja, porque la normativa nos impide hacer determinadas cosas que nuestra com- petencia sí que puede. Tenemos aquí tendencia será la que domine en los próximos años? Yo creo que a las pequeñas y medianas empresas no les queda más remedio que ir por ahí. No tiene sentido que monten sus propios SOC ni que com- pren tecnología que después se con- vierta en un problema incluso peor por una cuestión de mantenimiento. Con lo cual, en el mundo de las pymes va a ser una tendencia creciente. En el mundo de las grandes empre- sas, la tendencia es ir hacia modelos híbridos. Yo apuesto por la tecnología europea y una operación conjunta de actores internos y externos. No puedes dejarlo todo completamente en manos externas porque estarás expuesto, pero tampoco debes confiar todo a las ma- nos internas porque, entre otras cosas, los perfiles de expertos en ciberseguri- dad se mueven muchísimo. Por otro lado, es verdad que los servi- cios gestionados están de moda, pero no todos estos servicios son iguales. Si me permites la expresión, cualquiera dice que vende seguridad gestionada, pero eso no es cierto. Gestionar un fi- rewall no es vender seguridad gestio- nada, es muchísimo más complejo que todo eso. Por tanto, creo que debemos ir hacia servicios de seguridad gestiona- da, certificados y de reconocido presti- gio, sobre todo cuando estamos hablan- do de infraestructuras críticas y de sus cadenas de suministro. ¿Es de la misma opinión en el caso de los entornos tecnológicos de opera- ción (OT)? En la parte OT es todavía peor. Yo soy ingeniero industrial y no he podido me- nos que sonreír cuando veía a grandes empresas presentar sus servicios, por ejemplo, mediante una Raspberry con un pidgey , que era un interruptor peque- ñito. Los servicios OT traídos desde el “Los servicios OT traídos desde el mundo IT son un error de aproximación”

RkJQdWJsaXNoZXIy MTI4MzQz