Ciberseguridad en las Administraciones Públicas
Todas las Administraciones Públicas tiene que promover el beneficio de los ciudadanos y están obligadas, en cierta forma, a transformarse en una administración electrónica. Ello conlleva asegurar la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias. Es decir, garantizando la seguridad.
Para analizar cómo responden las AAPP a estos retos, ByTIC organizó un encuentro patrocinado por Broadcom y que contó con la participación de José Andrés Jiménez, jefe del departamento de asesoramiento técnico TIC en Congreso de los Diputados; Sonia Crespo, directora general de la Oficina Digital del Ayuntamiento de Las Rozas; Santiago Rodríguez, director del centro de seguridad de la información del GISS; Nur Pulad, head of Cyber Security Iberia de Broadcom; Carlos Canitrot, director de consultoría de Adjudicaciones TIC; Leonor Moreno, directora general de informática del Ayuntamiento de Alcobendas; Ángel Alia, área técnica de la seguridad de la información Guardia Civil; Fernando Cubillo, coronel de la Guardia Civil y responsable de ciberseguridad; y Carlos Muñoz, country manager de Broadcom.
En qué se invierte
Como decíamos antes, las AAPP deben velar por ofrecer el mejor servicio al ciudadano y garantizar los datos, por lo que la ciberseguridad es uno de los pilares de la transformación digital de las AA.PP. Teniendo en cuenta, además, que gestionan una enorme cantidad de datos muy críticos y sensibles, son muchos los riesgos que deben afrontar. En este punto, Carlos Canitrot cree que debemos preguntarnos si las inversiones que se realizan en ciberseguridad son adecuadas. En cuanto a cifras, los datos que maneja hablan de incrementos del 12% anual en inversiones de tecnología llegando a más de 200 millones de euros los correspondientes a ciberseguridad. “La inversión en TIC por parte de las AAPP es del 241% desde 2020. Las previsiones para los próximos 3 años son de 2.500 millones de euros de inversión en tecnología”, subraya.
Pero, ¿en qué se concreta estas inversiones? Santiago Rodríguez, director del centro de seguridad de la información del GISS, expone el cambio de paradigma que supone el incremento del teletrabajo. “No confiamos en el BYOD”, formula. Pero dado que la casa de un usuario también es una parte de la oficina “creemos que es importante proteger el dispositivo desde el que se va a conectar. Además, en general empezamos a incluir en la protección el apartado de cloud para proteger el tráfico que va a la nube, que, aunque ahora no es excesivo, creemos que va a crecer”. A ello habría que añadir la implementación de la autenticación con accesos de doble factor de protección.
Sonia Crespo, directora general de la Oficina Digital del Ayuntamiento de Las Rozas, apunta en este sentido que los grandes cambios se han producido después de la pandemia. Al igual que el GISS, el consistorio roceño apostó por comprar equipos portátiles para fomentar el teletrabajo. “Estamos trabajando en una plataforma centralizada de protección o SOC”, explicaba Crespo, para quien los municipios “tenemos una idiosincrasia compleja porque estamos viendo que la parte de la ciberseguridad es muy amplia y ahora mismo sólo estamos tratando con la punta del iceberg. Creemos que debe haber una colaboración publico privada para gestionar los fondos Next GEN. También creemos que es fundamental el establecimiento de una estrategia de ciberseguridad, porque se abarcan muchas materias, soluciones y problemas”.
Por su parte, Leonor Moreno, directora general de informática del Ayuntamiento de Alcobendas, considera que la ciberseguridad debe ser un pilar de la digitalización. “Hemos trabajado en gobernanza y cumplimiento, la protección de sistemas y servicios como proxys o firewalls para luchar contra la obsolescencia”, enumeraba. No son las únicas medidas, puesto que en el SOC también se han implementado mejoras en la detección, protección y respuesta, sin olvidar los sistemas de autenticación de doble factor “para proteger los dispositivos y evitar suplantaciones de identidad”. Además de estas herramientas, el consistorio también está haciendo foco en la formación de los empleados públicos.
José Andrés Jiménez, jefe del departamento de asesoramiento técnico TIC en Congreso de los Diputad, detallaba por su parte que desde su organismo se ha aprobado el contrato de servicios de ciberseguridad integral. “Tenemos un problema arrastrado de falta de talento y por eso nos enfocamos en un contrato global que abarcara tanto tecnología como servicios para poder resolver los problemas relacionados con la seguridad”, justificaba. Entre otros apartados aquí se incluyen defensas perimetrales, gestión de identidades y de accesos, soporte remoto, parte de concienciación y formación “porque el mayor problema es el propio usuario”, asegura. En cualquier caso, todo el sistema está ya desplegado “porque lo que nos importaba era tener una gestión basada en el riesgo porque nos permite ser más eficientes”.
El eslabón más débil
A colación del comentario de Jiménez, Ángel Alia, área técnica de la seguridad de la información Guardia Civil, detallaba que a sus usuarios “les concienciamos en el Esquema Nacional de Ciberseguridad para que ellos, además, puedan concienciar al resto”. No en vano, desde la Benemérita están convencidos de que esa concienciación “es una inversión a la larga, porque incluso aquellos que saben mucho, suelen ser los que más errores cometen, por eso la concienciación es lo que te da mayor valor añadido”.
Eso sí, su compañero Fernando Cubillo, coronel de la Guardia Civil y responsable de ciberseguridad, aclaraba que la concienciación “es complicada de llevar a cabo”, sobre todo porque estamos hablando de una organización de 80.000 empleados en más de 2.400 localizaciones. “En la Guardia Civil, además de dar servicio al ciudadano, tenemos activos muy críticos con datos que son muy sensibles para la seguridad nacional”, reivindicaba este coronel quien también adelantaba que el cuerpo está en fase de adaptar “toda la estrategia al plan de seguridad del Ministerio del Interior para coordinar todos los niveles”.
Hablando de empleados, si la falta de talento es un tema de conversación recurrente en la industria, si nos circunscribimos al área de seguridad, esa carencia es aún más acuciante. “El problema es que no hay perfiles especializados en ciberseguridad por lo que hay que aprovechar los procesos selectivos”, recomienda Santiago Rodríguez.
Para el jefe del departamento de asesoramiento técnico TIC en Congreso de los Diputados, el problema no solo es con los perfiles, sino que en las universidades “la mentalidad del alumnado también ha cambiado. Si los perfiles, en general, que se presentan a una convocatoria son muy básicos, si ya nos metemos en perfiles específicos es ya predicar en el desierto”, se lamenta.
La directora general de informática del Ayuntamiento de Alcobendas considera también que se está produciendo una menor vocación TIC, por lo que “encontrar perfiles es cada vez más complicado tanto para el sector público como para el privado”. Esta responsable considera que “no conocen la Administración y, por tanto, ni se plantean trabajar en ella” a lo que habría que sumar que “las retribuciones son mucho mejores en la empresa privada”.
El éxito y el fracaso
Por si fuera poco, uno de los problemas para atraer este talento, según esta misma responsable es que la ciberseguridad no es un tema atractivo “porque brillas cuando no te atacan, pero si un ataque tiene éxito, es todo lo contrario”, contextualiza.
En este punto, Nur Pulad, head of Cyber Security Iberia de Broadcom, explicaba que el problema de la ciberseguridad es que, a veces, menos es más. “No por tener más productos vas a tener mayor protección. No se trata de tener más soluciones, sino de tener un mejor diseño de la estrategia de ciberseguridad”. En su opinión, hay que pensar como un ciberdelincuente para tener una buena protección.
Además, considera que en ciberseguridad hay “un marketing infinito con la aparición de nuevos términos que no hacen más que perjudicar”, añadiendo que más del 75% de ataques son de fuentes modificadas, por lo que hay muy pocos ataques realmente novedosos. En cuanto al tipo de ataques, la gran mayoría son multivector por lo que “es fundamental descubrir el ciberataque en el primer vector, que con gran diferencia es el correo electrónico. Por eso, si un organismo tiene pocos recursos, lo fundamental es centrarse en el correo”.
En su opinión “la palabra clave en ciberseguridad es eficiencia y eso es lo que intentamos ofrecer en Symantec”.
Por último, varios expertos abordaron los problemas de contratación por parte de la AAPP. José Andrés Jiménez considera que este marco “evoluciona tan lento que es demasiado rígido”, lamentando que en esos pliegos tiene que describir aspectos que “son muy difíciles de describir” mientras que la tecnología avanza muy rápido. Una visión con la que coincide Santiago Rodríguez, para quien después de analizar todas las soluciones “te obligan a redactar un pliego que hace que no puedas elegir la mejor de las herramientas, lo que hace que acabes con 5000 productos de diferentes fabricantes”.
Como resume Leonor Moreno, “todo ello implica que hay un problema de agilidad y sucede que no puedes acceder a la tecnología en el momento en el que la necesitas”.
Un reto más al que las AAPP deben responder para poder garantizar la ciberseguridad de sus organismos y ofrecer el mejor servicio a los ciudadanos.