Después de casi 50 años de membresía, el 31 de enero de 2020, el Reino Unido abandonó formalmente la Unión Europea (UE), unos cuatro años después del referéndum Brexit. Este período prolongado de armonía regulatoria deja al Reino Unido (por ahora) como el “tercer país” más alineado de la UE, incluso desde una perspectiva de seguridad cibernética.
Esta historia común deja mucho espacio para un futuro colaborativo para el Reino Unido y la UE. Por ejemplo, El Reino Unido siempre ha sido visto como un líder mundial en la lucha contra los delitos cibernéticos y tiene un historial envidiable de proporcionar personal y experiencia a Europol y a la agencia de seguridad cibernética de la UE, ENISA. Mientras tanto, la UE tiene un historial actuando como un centro regional fundamental para las asociaciones de seguridad cibernética.
Luego de prolongadas negociaciones sobre las relaciones futuras, en mayo de 2021 entraron en vigencia dos acuerdos clave para proporcionar un marco para la relación de seguridad cibernética en curso entre las dos partes. Estos abarcaron el comercio y la cooperación, y la seguridad de la información (incluida) la seguridad cibernética. Aunque estos acuerdos se han visto como pasos positivos hacia una nueva era de colaboración, sigue existiendo una incertidumbre considerable en torno a la naturaleza de la relación del Reino Unido con la UE desde una perspectiva de seguridad cibernética.
El Reino Unido se enfrenta a una elección en términos de su relación de seguridad cibernética en curso con la UE: preservar su colaboración (y el comercio relacionado con la cibernética) con la UE mediante la adopción de un enfoque alineado; o adoptar un enfoque divergente que abra la puerta a oportunidades en el mercado global, a riesgo de sacrificar sus relaciones (y comercio) existentes con la UE.
Madurez del mercado del Reino Unido
Por supuesto, es importante que el Reino Unido sopese cuidadosamente su futura relación de seguridad cibernética con la UE, preguntándose si es un caso de “más vale que sepas” y preservando sus lazos existentes; o si arriesgar el dolor a corto plazo en la búsqueda de ganancias futuras (potenciales) con un enfoque divergente. Sin embargo, debe reconocerse que el mercado de ciberseguridad del Reino Unido siempre se ha asentado en una trayectoria diferente a la de otras naciones de la UE, que a su vez tienen diferencias entre sí.
Un componente clave de esta divergencia preexistente es que el Reino Unido es un mercado más maduro en lo que respecta a TI en general, y en particular a la seguridad cibernética. Siempre ha estado más abierto a los proveedores de tecnología de terceros con sede en EE. UU., de donde se originan muchas de las innovaciones de la industria, así como al concepto de incorporar especialistas de terceros para brindar capacidad de seguridad.
Entonces, por ejemplo, donde el Reino Unido adoptó rápidamente los servicios de seguridad administrados (MSS), otras geografías de la UE tardaron más en hacerlo debido a sus mayores preocupaciones sobre la retención de la visibilidad y el control internos. Sin embargo, dado el enfoque británico estereotipadamente “pragmático”, estas preocupaciones se superaron debido a los beneficios de escala, experiencia, flexibilidad, automatización y recursos que los proveedores de MSS (MSSP) brindan para respaldar mejores resultados de seguridad para los clientes.
La última iteración de esta tendencia ve al Reino Unido en un punto de transición: el crecimiento de MSS del Reino Unido (y la participación del gasto total en seguridad) se está aplanando, y el enfoque se está desplazando hacia el consumo de seguridad de la nube, según las previsiones de seguridad de abril de 2022 realizadas por IDC y Gartner. . Esto es en forma de servicios de seguridad administrados basados en la nube, pero también de software como servicio (SaaS). El Reino Unido está por delante de sus pares europeos en estas dos áreas, sobre todo debido a la mentalidad más pragmática en torno a la soberanía de datos en el Reino Unido en comparación con la UE.
Los vientos en contra geopolíticos y económicos recientes, como la crisis energética, la inflación continua, la amenaza de una recesión económica y la escasez continua de la cadena de suministro están empujando a las organizaciones a recortar presupuestos y volver a priorizar proyectos. Los datos de Gartner e IDC muestran que estamos viendo que el Reino Unido comienza a superar al resto de Europa Occidental en un retroceso en el énfasis y la demanda de software de seguridad. Pero, significativamente, este crecimiento en la demanda de software viene particularmente en forma de SaaS, es decir, software basado en la nube.
Apertura y ‘seguridad sin fricciones’
Una ramificación clave del Brexit es que, con nuevas barreras comerciales erigidas donde antes no las había, muchas organizaciones buscan reconstruir las cadenas de suministro y dirigirse a los mercados de clientes fuera de la UE en busca del libre comercio con el mundo. Combinado con la aceleración de la adopción de la nube, la movilidad y el trabajo remoto, esto ejerce una presión adicional sobre el mercado de seguridad del Reino Unido para que actúe como un habilitador seguro de la flexibilidad y escalabilidad que las empresas del Reino Unido necesitarán para capturar oportunidades a medida que surgen en el mercado activo pero competitivo. , mercado global.
Esto ha resultado en nuevas oportunidades para la industria de la seguridad del Reino Unido, a la que se le pide que apoye los objetivos de apertura e interconectividad internacionales. Se espera que la oportunidad económica resultante haga que el mercado de seguridad cibernética del Reino Unido tenga un mejor desempeño y crezca más rápido que la mayoría de Europa occidental, según IDC y Gartner. Esto será impulsado por oportunidades en áreas de crecimiento como el marco de servicios de acceso seguro perimetral (SASE), iniciativas arquitectónicas de confianza cero, seguridad de aplicaciones y migraciones seguras a la nube.
Por el contrario, la UE está adoptando un enfoque más introspectivo, centrándose en reforzar la coherencia en la región en torno a la soberanía de los datos y la iniciativa de intercambio de datos asociada dentro de los estados miembros de la UE. Esto se ejemplifica con desarrollos como la Estrategia Europea para los Datos, la Ley Europea de Gobernanza de Datos y la iniciativa Gaia-X.
Si bien estos tres ejemplos cubren mucho terreno, en general demuestran el enfoque de la UE en iniciativas como la creación de un entorno de datos común, así como la facilitación de estándares y la facilidad del flujo de datos dentro de sus límites. Es importante tener en cuenta que la UE reconoce la importancia de crear mecanismos para el intercambio de datos fuera de la UE también, aunque estos están sujetos al cumplimiento de la equivalencia reglamentaria.
Para concluir
En resumen, si bien el Reino Unido aún debe comprometerse por completo con cualquiera de los “paradigmas” de seguridad cibernética descritos anteriormente en este artículo (alineación de la UE frente a hacerlo solo), ya es evidente que los dos soberanos están en trayectorias divergentes. Parece que, como resultado del enfoque abierto y abierto que se está adoptando en el Reino Unido, podría haber una oportunidad real para la innovación en seguridad. Sin embargo, lo que deben tener en cuenta las empresas y los proveedores de seguridad cibernética del Reino Unido es garantizar que esta nueva flexibilidad, apertura e interconectividad no exacerbe la exposición al riesgo.
La respuesta del gobierno del Reino Unido a esta brecha de riesgo potencial es que ha introducido el concepto de “resiliencia cibernética” como el segundo de cinco “pilares” dentro de su Estrategia Cibernética Nacional para 2022-2030. Esto tiene como objetivo lograr el equilibrio adecuado para impulsar el crecimiento económico a través de la innovación y la interconectividad, al mismo tiempo que se toman medidas para mitigar el riesgo que representa esta apertura.
Sin embargo, igual de importante ha sido la aparición en el Reino Unido de una guía específica de la industria sobre el tema de la resiliencia cibernética. Un ejemplo clave lo proporcionan las propuestas del Banco de Inglaterra de abril de 2022 en torno a la resiliencia operativa para las empresas de infraestructura del mercado financiero (FMI) del Reino Unido.
A medida que nos acercamos a 2023, vale la pena considerar cómo los líderes de seguridad pueden posicionarse mejor como intrínsecos a la realización de objetivos comerciales más amplios. Si se persigue correctamente, este enfoque en una seguridad más fluida podría servir como modelo para una relación más simbiótica entre las dos disciplinas. De hecho, la seguridad sin fricción podría representar el “tejido conectivo” que une a los líderes empresariales y de seguridad en un enfoque unificado.
Quentin Toussaint es vicepresidente ejecutivo y Dominic Trott es jefe de estrategia para el Reino Unido en Orange Cyberdefense.