¿Cuál es el estado real de salud de la ciberseguridad en las AA.PP?
Es indudable que la ciberseguridad se ha convertido en eje estratégico de la digitalización del Sector Público. Las inversiones económicas en este terreno así como las iniciativas y proyectos que desde el Ejecutivo se están impulsando es muestra de ello.
La actualización del Esquema Nacional de Seguridad y la vertebración que, a través del CNN o INCIBE, se está realizando nos indica que la ciberseguridad goza de relativa buena salud en las Administraciones Públicas.
Sin embargo, aún queda mucho por hacer y es que la ciberseguridad es una carrera de fondo y en continua revisión.
De hecho, son numerosos y cada vez más frecuentes los ciberataques que tienen a los organismos públicos como víctima. Fundamentalmente las AAPP se enfrentan a dos grandes riesgos: la imposibilidad de uso de sus sistemas y el robo de información. La fórmula más habitual de ataque, al contrario de lo que sucede en el sector privado, son los ataques de denegación de servicio, aunque no están exentas tampoco de sufrir ataques de ransomware.
Precisamente para evaluar la situación de la ciberseguridad en las AA.PP., desde ByTIC hemos analizado las principales conclusiones que arroja el Barómetro de Ciberseguridad realizado por Adjudicaciones TIC. Un interesante encuentro en colaboración con AKAMAI, Broadcom Software, Crowdstrike y Check Point y que nos ha permitido reflexionar sobre cuáles son los retos y las mejoras que pueden implementarse en las Administraciones en esta materia.
Una inversión que no deja de crecer
Así y para corroborar cómo desde las Administraciones Públicas la inversión en soluciones de ciberseguridad no deja de incrementarse, Carlos Canitrot, director de Consultoría de Adjudicaciones TIC arrancaba el encuentro con algunos datos extraídos del Barómetro.
“La criticidad de la ciberseguridad para la digitalización de la AA.PP. es evidente y así está reflejada en planes tan estratégicos como el Plan España Digital 2026, el Plan de Recuperación, Transformación y Resiliencia o el Plan de Digitalización de las Administraciones Públicas”, apuntaba Canitrot que reveló cómo, en el primer semestre de 2022, esto se ha visto refrendado por una inversión en ciberseguridad por parte de los organismos públicos de 121, 13 millones de euros.
De esta cifra, el 75 por ciento corresponde a la Administración General del Estado; un 11,5 por ciento al entorno autonómico y el 14 por ciento restante, a las entidades locales.
Como explicó el director de Consultoría de Adjudicaciones TIC, entre otros, algunos proyectos destacados han sido la construcción e implantación de un Centro de Operaciones de Ciberseguridad de la Administración General del Estado y Organismos Públicos para la Secretaría General de Administración Digital, adjudicado a la UTE Telefónica Soluciones e Indra Soluciones por importe de 38,34 millones de euros o el de Gobierno y Operación de la ciberseguridad para AENA, por 16,85 millones de euros y adjudicado a la UTE Inetum España, Telefónica Soluciones y Telefónica de España.
Proyectos e inversión que muestran cómo el compromiso con la ciberseguridad por parte de la Administración Pública es real pero, como explicaba Juan Manuel Granda, Major Account Manager de Check Point, aún se encuentra en un momento de transición.
Un nuevo enfoque
“El trabajo que se está haciendo a todos los niveles desde la AA.PP. refleja un estado de concienciación real pero aún está focalizado en lograr una transición entre la concepción tradicional de la ciberseguridad parcelada y acotada, la llamada seguridad perimetral, a un enfoque más global y transversal que contemple todos los ámbitos: infraestructuras, servicios, personas, etc. Es necesario un enfoque transversal tanto de un punto de vista tecnológico como organizativo y procedimental”, afirmaba Granda.
Una reflexión con la que coincidía Miguel de Castro, Sales Enginer de Crowdstrike pero que además señalaba cómo el Sector Público tiene algunos retos específicos: “El problema es que las AA.PP. no solo están interconectadas entre ellas sino que son entornos muy distribuidos que además ofrecen un servicio público y tienen que permitir que el ciudadano también se conecte a ellos. Es decir, tienen muchas puertas de entrada para los ataques y si un organismo público se ve afectado también puede convertirse en una vía de entrada de ese ataque a otro organismo público”.
Un reto al que, el portavoz de Crowdstrike añadía el proceso de contratación del Sector Público, “sujeto como no podría ser de otro modo a procesos muy detallados y escrupulosos lo que al final ralentiza el proceso de compra final”. Desafíos a los que se suman nuevas tendencias como el trabajo en remoto o la adopción de la nube, que hacen que ese “viejo” enfoque de la ciberseguridad ya no sirva.
“La ciberseguridad tiene que ser un actor principal en la transformación digital de la AA.PP. El primer aspecto para ello es el organizativo y se están dando grandes pasos como es el nuevo ENS nos pone en cabeza a nivel normativo en la Unión Europea o la creación de Agencias de Ciberseguridad en las propias comunidades autónomas… Pero hay que tener en cuenta que la sociedad se ha transformado; el teletrabajo es algo habitual, las Administraciones comienzan a adoptar la nube, etc. Por todo ello el enfoque de la ciberseguridad tiene obligatoriamente que cambiar. Lo que antes eran proxys on premise ahora son servicios que se ofrecen desde la nube, se impone una estrategia Zero Trust, situando las personas en el centro de la ciberseguridad… Es necesaria una visión global de la ciberseguridad”, apuntaba en ese sentido Josep Micolau, Regional Technical Officer de Broadcom Software (Symantec).
Prevenir y defender
Nuevos escenarios, amenazas y tecnologías marcan por tanto el mañana (ya hoy) de la ciberseguridad en la Administración Pública.
“Los riesgos que afronta la AAPP fundamentalmente son ataques de denegación de servicio, suplantación de identidad, robo de información… Y es información sensible porque es la de todos nosotros”, resaltaba Alberto Pérez, Major Account Executive de Akamai.
Y para hacer frente a esas amenazas, como el resto de participantes, Alberto Pérez también indicaba la necesidad de cambiar la estrategia de ciberseguridad tradicional y adoptar nuevos enfoques y tecnologías: “Los ciudadanos hacemos uso de los servicios que ofrece la Administración y lo hacemos a través de Internet y, por lo tanto, este entorno tiene que estar protegido. Así, por ejemplo, son esenciales soluciones de Inteligencia Artificial para prevenir amenazas, estrategias Zero Trust, de protección de acceso remoto de usuarios a las aplicaciones, de control de la navegación, de multifactor de autenticación y medidas proactivas para evitar ataques de ransomware… Y, sobre todo, soluciones de recuperación basadas en la microsegmentación, una tendencia que cada día va a tomar más peso ya que se trata de tener una red lo suficientemente segmentada y estanca como para no permitir conexiones que no deberían darse y que, en caso de que ocurra, que esto afecte lo menos posible”.
Una nueva forma de entender la ciberseguridad en la que, para Juan Manuel Granda, Major Account Manager de Check Point, deben existir tres pilares: transversalidad, especialización y evolución.
“Transversalidad por geografía, por modelos organizativos, por procedimientos, tecnologías, etc. pero también en la línea temporal; debemos pensar en términos de seguridad desde el inicio al fina, no solo en términos de funcionalidad técnica”, afirmó.
El contar con personas especializadas y elegir proveedores pensando precisamente en esa especialización en ciberseguridad y no en otros factores así como la necesidad de evolucionar hacia un nuevo enfoque más preventivo que reactivo, son, en opinión del portavoz de Check Point los otros pilares necesarios: “No se deben abandonar técnicas que ya se usan de autenticación, monitorización, etc. es decir, de defensa, pero hay que evolucionar hacia la prevención. Tener capacidad de anticipación y no solo reaccionar cuando detecto que me están atacando. La prevención es una máxima. Por que cuando el mal está ya dentro, a efectos prácticos es demasiado tarde”.
La prevención es también clave para Josep Micolau, Regional Technical Officer de Broadcom Software ( Symantec) que aseguraba que la estrategia debe tener como primer paso el principio de proporcionalidad. “Lo primero es saber clasificar la información, en función de su relevancia, categorizarla. No solo los datos, también los servicios que en la AA.PP. son clave. Y, a partir de ahí, poner las medidas de seguridad adecuadas”.
Pero además Micolau, en la misma línea que Granda, aseguró que es necesario “prevenir pero también detectar y reaccionar y para ello hay que tener en cuenta todo el ciclo. Todo se está moviendo a la nube y por ello es esencial proteger todo: las comunicaciones, los puestos de trabajo, el correo electrónico… y siempre con esa visión global”.
Los Fondos Europeos, una oportunidad
La llegada de los Fondos Europeos a nuestro país ha supuesto un acicate para que se impulsen los proyectos de ciberseguridad en el Sector Público, algo en lo que coincidieron todos los participantes. Sin embargo, sí quisieron señalar cómo en la ejecución de esos fondos económicos hay aspectos que es necesario tener en cuenta y mejorar.
En esa línea, Alberto Pérez, Major Account Executive de Akamai pedía que “sean un poco más flexibles; actualmente, es difícil que la Administración utilice esos fondos para servicios; te encuentras fondos que solo pueden destinarse a cierto tipo de inversiones y eso no siempre se ajusta a las necesidades reales de los organismos públicos. Se puede mejorar todo el proceso para que realmente sea más efectivo”.
Por su parte, Miguel de Castro, Sales Enginer de Crowdstrike pedía una estrategia a futuro. “Se están notando los fondos, eso es innegable, pero es necesario tener una estrategia a largo plazo, pensar en el día de mañana. De nada me sirve tener dinero hoy y mañana no tenerlo y no poder mantener un servicio o una solución”.