Colaborar en materia de cibserguridad, una obligación
Todas las administraciones públicas se enfrentan con sus mejores armas al desafío de la ciberseguridad, en el que entran en juego también las personas y la inteligencia artificial. Por eso, la colaboración entre todos los organismos, tanto públicos como privados, es una obligación, tal y como quedó manifiesto en un webinar celebrado recientemente por BytIC y que contó con la colaboración de Symantec.
Carlos Canitrot, jefe de consultoría de Adjudicaciones TIC, destacaba la importancia de la ciberseguridad en la estrategia de digitalización y modernización de las Administraciones Públicas (AAPP), “siendo además uno de los ejes principales de la Agenda Digital España 2026”. En su intervención, Canitrot resaltó que en España hay más de 18.000 organismos públicos, todos ellos manejando, en mayor o menor medida, datos muy sensibles. “Casi diariamente se puede decir que se están produciendo intentos de ataques”, añadía.
Según el CCN-CERT, el 34% de los ciberataques son dirigidos a las AAPP. “La IA está haciendo que los ciberataques sean cada vez más sofisticados, lo que nos obliga a disponer de todos los medios posibles para evitar que estos se produzcan”, explicó Canitrot.
Además, Canitrot señaló la importante inversión que se está ejecutando en las AAPP en lo relacionado con la ciberseguridad, con cerca de 300 millones invertidos durante 2023. “Es importante señalar y hablar de dos herramientas fundamentales: por un lado, el Esquema Nacional de Seguridad, que es un elemento necesario pero no suficiente para ser proveedor de seguridad de las AAPP. Y, por otro lado, la Directiva Europea sobre Seguridad de las Redes y Sistemas, conocida en su última revisión como NIS2”, dijo.
Canitrot también habló de algunos de los retos a los que se enfrentan las AAPP para la implantación de soluciones de ciberseguridad, entre ellos la falta de recursos, las amenazas continuas y persistentes, el trabajo remoto, las brechas de seguridad de terceros y la falta de conciencia de seguridad personal.
“Es esencial educar sobre estos riesgos y prácticas para fortalecer la postura de ciberseguridad y reducir significativamente el riesgo de sufrir un ataque. Básicamente significa estar informado y ser consciente de las amenazas y los riesgos asociados con la seguridad informática”, concluyó Canitrot.
Sin ciberseguridad no hay digitalización
Miguel de la Cal Bravo, del servicio de ciberseguridad de la Dirección General de Infraestructuras, de las Telecomunicaciones y Ciberseguridad en la Viceconsejería de Transformación Digital de la Junta de Castilla-La Mancha, destacaba la importancia de la ciberseguridad en la estrategia de digitalización y modernización de las Administraciones Públicas (AAPP). “Por mucho que hablemos de seguridad, meter la palabra también suficiente en la misma frase es complicado”, afirmó de la Cal Bravo. Según él, es fundamental contar con el capital humano necesario para operar las herramientas de ciberseguridad en el día a día.
De la Cal Bravo destacó que, a raíz de la última legislatura, se ha creado una Dirección General de Infraestructuras de las Telecomunicaciones y Ciberseguridad en la Junta de Comunidades de Castilla-La Mancha. “Esto no solamente se queda en el nombre, sino que también, evidentemente, se incluyen diferentes herramientas, diferentes tecnologías y personal”, explicó. También habló de los tres ejes o líneas de acción del plan director de seguridad de la Junta. “La primera de ellas, y es muy importante, es desarrollar y establecer una cultura de ciberseguridad dentro de la organización”, dijo de la Cal Bravo.
Además, señaló la necesidad de reforzar, potenciar y ampliar el actual sistema de gestión unificado, así como de modernizar e impulsar nuevos servicios de ciberseguridad. “Necesitamos estas capacidades de prevención, de detección y de respuesta, aprovechando las últimas tecnologías para hacer frente a estos incidentes de seguridad”, afirmó, destacando la importancia de la colaboración público-privada en el ámbito de la ciberseguridad. “Podemos añadir todas estas capacidades dentro de la administración. Creo que al final la colaboración es un elemento fundamental”, concluyó.
Además, Agramunt señaló un aspecto que considera importante y que no se suele mencionar: la poca agilidad en la contratación de las administraciones públicas. Según él, los procesos administrativos suelen ser largos, lo que puede dificultar la capacidad de las administraciones para mantenerse al día con los avances tecnológicos.
Para Pedro Castor Valcárcel, responsable de políticas y editoriales de la seguridad de la GIS, hay que tener en cuenta que trabaja una organización “enorme y muy grande”, con cientos de oficinas y prácticamente todos los españoles en sus bases de datos. A pesar del panorama “preocupante” presentado por su colega Carlos, Valcárcel quiso transmitir un mensaje positivo: las administraciones públicas están equipadas para enfrentar estos desafíos.
Además, identificó tres factores clave para el éxito en la batalla contra las ciberamenazas. En primer lugar, subrayó la importancia de tener una arquitectura de seguridad definida, con elementos de seguridad como cortafuegos, copias de seguridad, actualizaciones de sistemas y segmentación de las redes de comunicaciones. En segundo lugar, Valcárcel enfatizó la necesidad de tener servicios de ciberseguridad procedimentados. Según él, esto es actualmente la “solución menos mala” al problema de la falta de recursos. Cuando una persona se une a una organización, debe saber cómo actuar ante un ataque específico, y esta información debe estar documentada y procedimentada.
Por último, Valcárcel destacó la importancia de actuar en caso de crisis. Según él, es esencial tener un plan escrito sobre cómo actuar en caso de crisis y realizar pruebas regulares, como simulaciones de ataques de ransomware.
A pesar de los desafíos, Valcárcel concluyó con optimismo: “Con estos tres factores, no es que tengamos la batalla ganada, pero creo que es aplicable a todo el mundo. Y sí que podemos hacer frente a este panorama desolador de las ciberamenazas”.
Conocerse y compartir
Por su parte, Sergio Cabrera, el regional manager de Symantec, enfatizaba la importancia de conocerse entre los proveedores de ciberseguridad, los desarrolladores de aplicaciones y soluciones, y los clientes, en este caso, las administraciones públicas. “Es muy importante que compartamos información y seamos lo suficientemente abiertos como para poder comunicar qué problemas tenemos para poder ayudarnos”, afirmaba Cabrera, que destacaba dos aspectos clave. Primero, la arquitectura. Cabrera señalaba que cada negocio tiene unas necesidades concretas y que la arquitectura puede variar.
“Es importante que los proveedores de ciberseguridad escuchemos cuál es la problemática para que podamos dimensionar, para que podamos adaptar esa arquitectura de la mejor manera”, decía Cabrera. El segundo aspecto era la normativa. “Es esa parte de normativa saber hasta dónde tengo que adaptarme a la normativa o si tengo que ir más allá de la normativa”, explicaba Cabrera, que concluía su intervención con una reflexión sobre la importancia de la colaboración y la comunicación entre los fabricantes. “Es importante también que los fabricantes nos miremos entre nosotros y que tengamos un sistema abierto”, decía Cabrera. Según él, es necesario hacer una coreografía suficientemente buena para que los malos se entretengan todo lo que quieran en intentar entrar, pero que al final, antes o después, se consiga pararlos
Javier Armesto, Pre Sales Engineer en Symantec, cerraba un primer bloque en una mesa redonda comentando el punto de Miguel de la Cal sobre la seguridad de los datos y la inteligencia artificial. “Estamos hablando de infraestructuras muy críticas, muy atacadas con muchos ataques dirigidos, y es ahí donde realmente hace muchísimo daño el tema de la seguridad del dato y donde es muy importante esa seguridad del dato”, decía Armesto.
Armesto hablaba de entornos que manejan principalmente uno de los principales valores que tienen, esos datos a proteger. “Al final, como comentaba también Carlos, es un tema reputacional en muchos casos y, sobre todo, se convierte en algo de muchísimo valor”, afirmaba Armesto. Además, ligaba este problema con la inteligencia artificial. “Para que esa inteligencia artificial generativa nos pueda ayudar, tenemos que nutrirla de datos”, explicaba Armesto.
Armesto también hablaba sobre la falta de agilidad en las contrataciones. “Al final es muy agobiante, porque nos tenemos que dar cuenta de que el sector público tiene los mismos problemas que el privado, pero se añaden problemas más, como puede ser este punto de la contratación”, decía Armesto, que se mostraba encantado con los apuntes de las líneas o de los canales tecnológicos que al final son importantes a proteger. “Evidentemente, tenemos que tener una herramienta o unas herramientas que puedan proteger mínimo”.
Por último, Armesto comentaba que, después de todos estos puntos importantes que se habían comentado, era necesario tener tecnología. “Al final vamos a ayudar sobre todo a esos departamentos de informática que, como hemos comentado en el caso de hoy, son departamentos bastante cargados ya de trabajo como para que encima sea una problemática el poder integrar cada una de esas patas que apuntamos”, concluía Armesto.
Entre el legacy y el cloud
Miguel De La Cal destacaba que el desafío de la nube no solo radica en la seguridad, sino también en la organización y la cultura organizativa. “Debemos ser conscientes de qué personas van a utilizar los servicios y qué privilegios van a tener”, afirmaba De La Cal. También señalaba que la nube plantea numerosos desafíos, no solo de seguridad, sino también de cultura organizativa y contratación.
Pedro Valcárcel, por su parte, matizaba que la mayoría de las administraciones han subido servicios a la nube que no son los servicios nucleares de la administración, sino sistemas que ayudan a sus servicios. “Hay dos desafíos básicos en la nube. Primero, los datos ya no están bajo nuestro control físico. Segundo, el proveedor de servicios te puede garantizar que no borra los datos una vez que termine el servicio”, decía Valcárcel. Además, mencionaba que los contratos con los hiperescaladores son bastante más complicados de seguir porque tienen muchos términos con muchas matizaciones.
José Benedito, en cambio, veía el paso a la nube como una oportunidad en materia de seguridad. “Nosotros, los servicios que tenemos en nube son servicios líticos”, decía Benedito. También mencionaba que habían trasladado al proveedor una parte importantísima de las medidas de seguridad. “Hemos trasladado al proveedor una parte importantísima de esas medidas de seguridad”, afirmaba Benedito.
Este responsable también explicaba que todas las aplicaciones legacy que tenían en local querían subirlas a la nube para mejorar algo la seguridad de las mismas y empezar el proceso de rehacer y cambiar.
Miguel De La Cal, por su parte, comentaba que al final los malos utilizan la inteligencia artificial y saben utilizarla de manera inteligente. “Debemos ser conscientes y también formar en estos riesgos que podemos sufrir cualquier persona porque vemos vídeos, vemos audios que cada vez son más difíciles de detectar”, afirmaba De La Cal.
Pedro Valcárcel, en cambio, decía que todavía no tenían problemas más gordos que resolver que las simulaciones de ransomware aplicando inteligencia artificial. “Al hacer nuestro análisis de riesgos, hemos determinado que la amenaza de más riesgo es un ataque ransomware junto a otras que evidentemente, no puedo comentar, pero un ataque ransomware nos produciría más riesgo que un ataque de ingeniería social sofisticado”, decía Valcárcel.
Finalmente, José Benedito concluía que las normativas de seguridad se quedarán obsoletas con inteligencia artificial. “Es muy difícil que normativas que están ahora o que tienen unos años, cubran o prevean posibilidades que se están en este momento inventando”, afirmaba Benedito.
Cumpliendo las normas
Sergio Cabrera explicaba que el cumplimiento de las normativas era algo que les preocupaba a todos. “Al final todo marco regulatorio se regula porque ya hay unos problemas antes. Por lo tanto, llegan siempre tarde, pero sí que son una guía y unas pistas que nos ayudan a saber qué es lo mínimo que deberíamos cumplir”, decía Cabrera. También mencionaba que cuando entra el factor humano, se complica todo. “Al final, la persona humana es la que puede cometer más errores. Pero también nos basamos en la inteligencia artificial para ayudar a prever, a prevenir y para ayudar a solucionar de una manera más rápida estos ataques”, afirmaba Cabrera.
Pedro Valcárcel, por su parte, destacaba la importancia de la cooperación en el mundo de la ciberseguridad. “Dejando aparte las relaciones humanas, la cooperación es muy importante porque ni como persona ni como departamento ni como organización puedes tratar con estos riesgos”, decía Valcárcel. También hablaba sobre la importancia del esquema nacional de seguridad. “Podemos sentirnos orgullosos que en este país haya existido el esquema nacional de seguridad”, afirmaba Valcárcel.
Miguel De La Cal destacaba la necesidad de colaboración en cuanto a herramientas y servicios, que también mencionaba que los malos ya lo hacen, con sus propios departamentos bien organizados. Javier Armesto, por su parte, hablaba sobre la confianza 0 que es totalmente necesaria. “Al final, nosotros tenemos que tener en cuenta que la nube es segura y lo es porque existe una redundancia, monitorización, cifrado… existen muchas medidas que aporta ese proveedor de servicios en nube”, decía Armesto. También mencionaba que ellos utilizan la inteligencia artificial para poder saber si esas aplicaciones realmente son legítimas. “Intentamos con esa inteligencia artificial poder anticiparnos a esos males usos”, afirmaba Armesto.
Pedro Valcárcel enfatizaba que lo fundamental es la colaboración entre organismos y empresas privadas. “Cuando tienes una crisis, primero vas contrarreloj, segundo, estás nervioso. Y tercero, no sabes quién tienes al otro lado de la línea telefónica”, decía Valcárcel.
Miguel De La Cal volvía a intervenir para hablar sobre la colaboración y la comunicación. “Al final, esa colaboración y, sobre todo esa comunicación debe ser fluida y debe ser con las personas adecuadas y con la información precisa que muchas veces no es fácil por la tensión que puede haber en el momento”, afirmaba De La Cal.
Javier Armesto cerraba la mesa redonda hablando sobre la colaboración para poder ayudar entre todos. También mencionaba que ellos tienen un uso y background en todas las herramientas que ellos utilizan.
