La Ciberseguridad en Defensa: Retos y Soluciones
ByTIC volvió a tener un encuentro ejecutivo en el que varios expertos en ciberseguridad y administración pública compartieron sus puntos de vista sobre los desafíos y soluciones en el ámbito de la ciberseguridad, especialmente cuando se aplica al área de Defensa.
Los participantes incluyeron a Juan Luis Vicente Carro, Jefe Departamento de Gestión TIC y Normativa en Policía Municipal de Madrid; Juan Manuel Parra, Coordinador y teniente del cuerpo de ingenieros politécnicos del Ejército; Antonio Martínez, Senior Consultant y Responsable de Pre venta en Stormshield; Sergio López García, Unidad de Monitorización de Plataformas, Calidad y Atención al Usuario (MOCAU); Felipe Oliva Encabo, Coordinador de Proyecto Informático en el Ministerio de Defensa; Sebastián Puig, Jefe del Órgano de dirección de la Dirección General de Asuntos Económicos del Ministerio de Defensa; Borja Pérez, Country Manager en Stormshield; Óscar Pastor Acosta, Director General de Transformación Tecnológica y ISDEFE; y José Javier Marín, Jefe de área de la Dirección general de Infraestructura en Ministerio de Defensa.
Ciberseguridad en defensa e industria
Sebastián Puig, del Ministerio de Defensa, destacó la importancia de la ciberseguridad en la defensa y la industria. Según él, su organización tiene una fuerte relación con la defensa en Francia y Canadá, y cada vez tiene una presencia más fuerte en Defensa en España. Ofrecen soluciones como firewalls, soluciones EDR y XDR, y soluciones de cifrado de correo y datos.
Cuando se le preguntó sobre lo más crítico para proteger las comunicaciones, Puig enfatizó la necesidad de proteger desde que nace la necesidad hasta que se efectúa el pago. Según él, es fundamental mantener la seguridad de las comunicaciones tanto en una red de propósito general como en las redes clasificadas. En el Ministerio de Defesa “desde el inicio del proyecto hasta el final del proceso es fundamental mantener la seguridad de las comunicaciones tanto si hablamos en una red de propósito general y también en las redes clasificadas”, exponía. De hecho, este ministerio es “consciente de esta necesidad” y de ahí deriva el incremento de inversiones en esta área, puesto que es cada vez más importante. Algo que se debe, según este experto, a varias razones.
En primer luga, porque “hay un compromiso por todos los países de incrementar las inversiones en defensa y por otro mejorar la resiliencia de los departamentos de defensa. La UE quiere que los países desarrollen soluciones propias que sean cooperativas y uno de los apartados en los que han incidido más es en el apartado de la ciberseguridad”.
El desafío del capital humano
Óscar Pastor Acosta, Director General de Transformación Tecnológica y ISDEFE, señaló que el principal problema siempre ha sido el capital humano. Según él, los problemas de transformación digital no tienen que ver con la tecnología, sino con la capacidad de implementarla. “El dinero, ahora mismo no supone un problema”, sentenciaba, añadiendo que los problemas de transformación digital “tampoco tienen que ver con la tecnología: siempre ha habido más tecnologías de lo que éramos capaces de implementar”. El cuello de botella es el capital humano.
Además, señalaba que hay dos aluviones presupuestarios importantes. Uno son los PRTR, donde “hay que ejecutar los presupuestos y es complicado”. El segundo punto es el compromiso para incrementar el presupuesto de defensa. “Es un compromiso muy importante que exige tener capacidad de consumir esos presupuestos año tras año, y lo cierto es que el dinero no es fácil de gastar porque para eso se necesita mucho personal. Esto es la principal dificultad”, remarcaba.
Juan Luis Vicente Carro, de la Policía Municipal de Madrid, estuvo de acuerdo en parte con esta evaluación. Según él, el dinero siempre ha sido un problema, y aunque ahora hay dinero para invertir, el desafío será mantener todo lo que se ha implementado una vez que pase la ola de los fondos de resiliencia.
“Desde 2013 a 2019 no podías invertir en esto. El ataque del SEPE supuso un cambio y el problema es que hay dinero ahora para invertir, pero ¿qué va a pasar dentro de unos años cuando haya que mantener todo lo que se ha implementado? Cuando pase la ola de los fondos de resiliencia, ¿qué va a ocurrirr? ¿Tendremos dinero para mantener toda la tecnología instalada? ¿Tendremos el personal para mantenerlo?”, se preguntaba.
Por eso, en su opinión el problema es que en unos años “seguro que van a reducir el presupuesto para ciberseguridad porque van a pensar que nadie nos ha atacado y que por tanto, no habrá necesidad de mantener el presupuesto. En cuanto al personal, el problema principal es que pagamos mal a los ingenieros, porque en el sector privado están cobrando el triple”.
Mientras, Felipe Oliva Encabo, Coordinador de Proyecto Informático en el Ministerio de Defensa, señaló que la falta de talento es una consecuencia lógica del sistema educativo español. “Si se soluciona tardaremos 15 o 20 años en que esas nuevas generaciones se incorporen al mercado laboral para cubrir la demanda”, advierte. Por eso, según él, la IA puede solucionar parte del problema si realiza las tareas tediosas a las que se dedican los ingenieros. “La IA puede solucionar parte del problema si realiza las tareas tediosas a las que se dedican los ingenieros”.
Talento y tecnología
Borja Pérez, Country Manager en Stormshield, argumentó que los fabricantes deben proporcionar soluciones transparentes y fáciles de usar para resolver buena parte de los problemas. Según él, si además de los riesgos a los que se enfrenta el usuario, se le dan herramientas difíciles de usar, entonces se está aumentando el campo para que se produzca un ciberataque.
Juan Luis Vicente Carro, Jefe Departamento de Gestion TIC y Normativa en Policía Municipal de Madrid, advertía no obstante que un problema añadido va a ser el uso de la IA por parte de los ciberdelincuentes. “¿Somos capaces de responder a un ataque realizado por IA, que es más rápida que nosotras?”, lanzaba al aire,
Felipe Oliva Encabo, Coordiandor de Proyecto Informático en el Ministerio de Defensa, apostillaba que el ambiente evoluciona “tan rápido que no da tiempo a evaluar las consecuencias de una mala decisión” y mostraba su preocupación por el aspecto organizativo, “que las decisiones las tomen personas con capacidad de evaluar el contexto en el que estamos es uno de los apartados más importantes en una estrategia de ciberseguridad”.
A renglón seguido, José Javier Marín, Jefe de área de la Dirección general de Infraestructura en Ministerio de Defensa, añadía otro reto o problema: “vamos rotando de puesto y entonces tus roles cambian totalmente y tienes que aprender a desarrollar tu nuevo trabajo sin que te hayan dado una formación. No puede ser que a un empleado al que cambies de posición le exijas que sepa adaptarse al nuevo empleo”, reflexionaba.
En este punto, Oliva recordaba que en la administración son gestores. “Si alguien cree que va a desarrollar soluciones o va a convertirse en un experto en ciberseguridad, está equivocado. Podremos aproximarnos a Google o AWS, pero no alcanzaremos el nivel de sus ingenieros, precisamente porque nos dedicamos a gestionar”, exponía. Por eso, considera que lo que tienen que hacer los profesionales como él es “centrarse en la organización: si somos pocos y encima estamos dispersos en diferentes departamentos estamos situados en unos costes que no son asumibles”.
La importancia de la organización y la certificación
José Javier Marín, Jefe de área de la Dirección general de Infraestructura en Ministerio de Defensa, destacó la importancia de la organización. Según él, uno de los problemas principales es la organización, que es la que se tiene que encargar de proporcionar dinero y un sistema que pueda solventar las necesidades no sólo del día a día, sino también las de dentro de 15 años.
En este punto, Borja Pérez, Country Manager en Stormshield, añadía que desde el punto de vista del fabricante la dificultad está en que los procedimientos se ejecutan mal. En cuanto a la IA, “no creo que haya que ser pesimista porque es verdad que se va a utilizar para atacar, pero también se va a emplear para defender. Por ejemplo, con las soluciones XDR que proponemos se lanzan alertas para tomar una acción y esto lo puede hacer la IA de manera muy efectiva, mientras que el analista se dedica a tareas de valor”, subrayaba.
En este aspecto, Sebastián Puig considera fundamental la colaboración con el fabricante. Una colaboración que, en sus palabras, debe ser de por vida, no sólo cuando se implementa la solución. Además, entiende que es fundamental formar a los profesionales y “en nuestro caso, tener a militares formados en determinadas especializaciones. En nuestro caso estamos trabajando cada vez más por procesos y está aumentando la colaboración Publio-privada. Creo que ahora tenemos los recursos, pero es cierto que nos falta personal, tanto técnico como de gestión”. Y para verificar sus palabras, aseguraba que ahora mismo en el Ministerio de Defensa hay más personal de ISDEFE que de personal propio del Ministerio.
En este punto, el Coordiandor de Proyecto Informático en el Ministerio de Defensa recordaba que la automatización de los procedimientos por IA está siendo una revolución. “La relación de los ciudadanos sin que intervenga un humano en su relación con las AAPP va aumentando. Esto es algo que debemos implementar en nuestra estrategia: creo que hay que priorizar el tipo de perfiles que se quieren incorporar”.
Sin emabrgo, Antonio Martínez, Senior Consultant y Responsable de Pre venta en Stormshield, advertía que el problema es que hay “mucho desconocimiento sobre lo que se hace en las Administraciones, de tal forma que se sacan procesos de contratación y a veces, no se apunta nadie a esos procesos, precisamente porque no se conocen”.
En cuanto a la certificación, Juan Luis Vicente Carro afirmó que es una condición necesaria pero no suficiente que tenga la certificación del CNI. Óscar Pastor Acosta añadió que es un requisito legal de cumplimiento y es un mínimo. Borja Pérez, por su parte, señaló que la certificación en su caso es muy útil porque además les sirve para mejorar el producto.
La mesa redonda puso de manifiesto la importancia de la ciberseguridad en el sector público y los desafíos que enfrenta, desde la necesidad de proteger las comunicaciones hasta la falta de talento y la necesidad de soluciones fáciles de usar. También destacó la importancia de la organización y la certificación en este ámbito. A medida que la ciberseguridad sigue evolucionando, estos temas seguirán siendo de vital importancia.
