¿Es recomendable establecer un sistema de incentivos para ‘premiar’ a aquéllas organizaciones que están desarrollando políticas serias de ciberseguridad?
Los críticos con este tipo de medidas sostienen que no es de recibo apoyar con beneficios económicos o fiscales a aquellas compañías que hacen lo correcto, que es proteger sus sistemas de información. Sin embargo, no conviene quedarse en una idea superficial y reduccionista sobre esta cuestión. La ciberseguridad es cada vez más importante en una sociedad digital interconectada. Por tanto, la seguridad, consistencia y resiliencia de las empresas de un país es un bien común, pues constituye en última instancia una sociedad con ciudadanos e infraestructuras mejor protegidos.
Afortunadamente, el panorama en España ha cambiado y, por fin, la Ciberseguridad con mayúsculas es considerada como una disciplina prioritaria tras la aprobación de la ansiada Estrategia de Ciberseguridad Nacional en 2013, como parte de la Estrategia de Seguridad Nacional, que respalda la importancia vital para nuestro país de un ciberespacio sólido frente a las ciberamenazas. Solamente sobre los cimientos de un espacio digital seguro es posible que avance una sociedad y una economía eminentemente digitales.
El estudio “Incentivando la adopción de la Ciberseguridad”, impulsado por ISMS Forum Spain y Thiber, es pionero en nuestro país al proponer un programa de incentivos concebidos para adoptar un marco de buenas prácticas en ciberseguridad. El programa está alineado con las acciones de promoción de la financiación y el I+D+i llevadas a cabo por el Gobierno, de acuerdo con el Plan de Confianza en el ámbito Digital. En consecuencia, la industria de Seguridad TIC se verá beneficiada ante una mayor demanda de soluciones tecnológicas por parte de grandes organizaciones y pymes, motivadas por el deseo de dar un paso de gigante, estableciendo buenas prácticas en materia de ciberseguridad. El problema para muchas de ellas es que no e s sencillo e implica una inversión en formación y en soluciones tecnológicas que no se pueden permitir.
Es por este motivo que los autores del estudio (Gianluca D’Antonio, Adolfo Hernández, Enrique Fojón y Manel Medina) proponen el Programa de Incentivos en Ciberseguridad Español (PICE), el primero de esta naturaleza que se publica en España. El documento, a través de siete líneas de acción, define un esquema de estímulos económicos, convergente con las citadas tareas de promoción pública de financiación e I+D+i. A grandes rasgos, la aproximación planteada defiende que se distribuyan los costes de la ciberseguridad entre todos los actores involucrados: Administraciones Públicas, empresas y ciudadanía. Como consecuencia, se “premiará” a las organizaciones comprometidas con la protección de sus sistemas TIC, hecho que al mismo tiempo incitará la compra de soluciones de seguridad y fomentará la I+D+i en productos de esta índole.
La situación en otros países
¿Es suficiente esta aproximación para conseguir armar un ecosistema de ciberseguridad sólido? Como primer paso es ilusionante porque además significa un cambio de paradigma. En Europa tradicionalmente se han conseguido objetivos mediante políticas de sanciones a quienes no cumplen la normativa (sirva de ejemplo la LOPD). Sin embargo, para que estos incentivos funcionen no basta con generar debate; es necesaria la colaboración entre los profesionales de la industria privada y los de las administraciones públicas en un tiempo donde el escenario político apunta cambios.
¿Cómo es la situación en otros países con mayor tradición en políticas de ciberseguridad? Tal y como se puede leer en el informe de Thiber e ISMS Forum, en Estados Unidos, el Estado de Mariland concede incentivos fiscales de hasta 250.000 dólares por año para las empresas cumplidoras. En la India, también se están destinando incentivos económicos a las empresas que apuestan por su protección. En Europa es Reino Unido quien lidera políticas similares que, en este caso, dan un empujón económico a las empresas que desarrollan productos y servicios de ciberseguridad. Reino Unido mantiene un programa de incentivos a la innovación denominado innovation voucher para apoyar a las pequeñas empresas que quieran lanzar nuevos productos y servicios tecnológicos. También en Alemania están dando pasos para constituir un fondo de capital riesgo especi alizado en TI, mientras que España es posible que siga un camino parecido, ya que “la ciberseguridad se ha colado en las agendas políticas de la gran mayoría de las naciones avanzadas”, como refiere el estudio. Solo aquellos países conscientes de la importancia de proteger sus activos están llamados a garantizar una prosperidad económica y social, como ha demostrado Israel desde la década de los 90, apoyando a sus empresas en el marco un plan de “incubadoras tecnológicas” que ha sido el ‘culpable’ de que este país de Oriente Medio sea una potencia mundial en ciberseguridad.
Lo peor que podría ocurrirle a un plan tan prometedor como el PICE es que fracase por no hallar las condiciones adecuadas para germinar. Tal y como han referido en diferentes ocasiones dos de los autores del documento, Adolfo Hernández y Enrique Fojón, miembros de Thiber, son tres los peligros más acuciantes para este plan de incentivos:
• Escaso compromiso de los actores implicados en su promoción. Las organizaciones españolas que decidan invertir en la protección de sus sistemas de información deben apreciar de forma clara el retorno de la inversión que ello supone.
• Un plan por encima de las legislaturas. El marco de incentivos debería manejar un horizonte mínimo de diez años, muy por encima de los periodos de cuatro años de las legislaturas.
• No solo para el ámbito privado. Aunque la administración no sea el objeto de los incentivos que ella misma debe gestionar, los autores del estudio sostienen que el marco de control debería ampliarse también al sector público, de modo que se pueda beneficiar de este marco de buenas prácticas.
La XVII Jornada Internacional de ISMS Forum Spain contará con la ponencia inaugural de Richard Bach, subdirector de ciberseguridad del Ministerio de Negocios, Innovación y Capacitación Empresarial del Reino Unido, para analizar el mercado de la ciberseguridad en Reino Unido, y conocer de primera mano los incentivos públicos nacionales a la adopción de la ciberseguridad.