Encuentros y webinarsEl tiempo estimado de lectura es de 9 minutos

Claves para una ciberseguridad eficaz en el Sector Público

Arantxa Herranz
apertura ciberseguridad
Comparte la noticia

En un webinar patrocinado por HCLSoftware y gestionado por ByTIC, representantes de varias administraciones públicas debatieron sobre cuáles son las claves para que la ciberseguridad sea eficaz en el Sector Público

El estado de la ciberseguridad en las administraciones públicas españolas ha dejado de ser una cuestión técnica reservada a los departamentos de informática para convertirse en una prioridad estratégica de primer orden. La digitalización acelerada de los servicios públicos, impulsada en parte por la pandemia, ha situado a España por encima de la media europea en muchos indicadores de servicios y competencias digitales.

Sin embargo, este avance ha traído consigo un incremento notable de los ciberataques, superando los 100.000 incidentes detectados en 2024. En este contexto, responsables de ciberseguridad de la Generalitat Valenciana, el Ayuntamiento de Madrid y la empresa HCLSoftware se reunieron en un seminario virtual para analizar los retos, oportunidades y experiencias que marcan la agenda de la ciberseguridad pública en España.

La conversación arrancó con una reflexión compartida: la ciberseguridad ha dejado de ser invisible. Guillermo “Willy” Obispo, coordinador del Centro de Ciberseguridad del Ayuntamiento de Madrid, lo resumió con ironía: “El futuro ya no es lo que era. Imaginábamos unas cosas que ya no están ocurriendo. La ciberseguridad se ha puesto en el foco. Llevo 30 años en la administración pública y hasta ahora no había visto un interés y un foco tan potente en la ciberseguridad como se ve ahora, no solo en nuestro país”. Obispo reivindica la necesidad de visibilizar el trabajo que se hace en la administración, “no porque seamos una cara bonita, sino porque lo que estamos haciendo aporta valor”.

La digitalización, un arma de doble filo

Carmen Serrano Durbá, subdirectora general de Ciberseguridad de la Generalitat Valenciana y directora del CSIRT-CV, puso el acento en la aceleración digital y sus consecuencias. “El proceso de digitalización se aceleró con la pandemia y hemos entrado en una aceleración digital donde ya todo es digital, donde además estamos cada vez más expuestos porque abrimos accesos remotos. Hoy en día, quitar accesos remotos es impensable”, explicó. La apertura de la administración al cloud, la proliferación de dispositivos IoT y la dependencia de una cadena de suministro cada vez más interconectada han ampliado la superficie de exposición y, con ello, la vulnerabilidad de los sistemas públicos.

Serrano subrayó que las administraciones públicas son un objetivo especialmente atractivo para los ciberdelincuentes: “La información para ellos es dinero y es negocio. Y las administraciones tenemos mucha información de nuestra ciudadanía. Me gusta decir que no nos eligen, tienen que trabajar con nosotros, con lo cual nos tienen que dar los datos. Les tenemos que prestar servicio y a eso les debemos, tenemos una responsabilidad sobre los servicios y sobre la protección de todos los datos y los servicios que les prestamos”.

El reto de la transparencia y la normalización del incidente

Uno de los cambios culturales más relevantes, según los participantes, es la progresiva normalización de la comunicación sobre los incidentes de seguridad. “Nosotros siempre recomendamos que hay que decir lo que pasa”, afirmó Serrano. “Nadie está exento de que pase y esto hay que normalizarlo, que se entienda que puede pasar. Detrás de un gran show posiblemente haya un robo de datos previo y luego todo sale. Es mejor siempre ir por delante. También ayuda a que la gente entienda que nos atacan y que al más pintado le atacan hoy en día”.

El saber el porqué y el cómo contribuye a la mejora de la ciberseguridad

Esta transparencia, lejos de debilitar la imagen de la administración, contribuye a la concienciación colectiva y a la adopción de medidas preventivas. “Ocultar los incidentes no lleva más que a que luego se vea las consecuencias y sea peor. También ayuda a que otros aprendan y tomen medidas. El saber el porqué y el cómo contribuye a la mejora de la ciberseguridad”, añadió Serrano.

Colaboración público-privada y entre administraciones: la clave de la resiliencia

La colaboración, tanto entre administraciones como con el sector privado, fue señalada como un pilar esencial.

Obispo fue claro: “Funcionamos gracias a los adjudicatarios, porque nosotros no tenemos la velocidad ni la capacidad de adaptarnos por medios propios de manera interna con suficiente agilidad en todos los contextos. Para eso están los contratos, y ahí hay una empresa detrás. Eso tiene que funcionar”. En los procedimientos de respuesta a incidentes, la colaboración es total: “En nuestro procedimiento de actuación existe una war room técnica donde estamos nosotros, pero está el adjudicatario. La ayuda del CCN es brutal. Si te pasa algo, lo vas a contar ahí, tienes herramientas, y ahí también hay colaboración público-privada”.

Serrano, por su parte, destacó la fortaleza de la red nacional de CSIRTs y la ayuda mutua entre administraciones: “La colaboración entre nosotros es un ejemplo a nivel internacional. Nos sentimos todos parte de lo mismo y nos ayudamos y nos apoyamos mucho. La relación con el sector privado es más a nivel contractual, pero es esencial para tener una fuerza a nivel global de defensa y preparación”.

En el plano más informal, la colaboración se traduce en una red de comunicación ágil y directa: “Ponemos un chat donde nos contamos muchas cosas. Es el Tinder de la ciberseguridad de España. Me ha pasado lo mismo que a ti, haces match y dices: ¿cómo no te voy a entender si he tenido el mismo problema?”, bromeó Obispo.

La volumetría de los datos y el reto del IoT

El avance de la digitalización ha traído consigo un crecimiento exponencial de los dispositivos conectados y, con ello, de la superficie de ataque. “El volumen de IoT es salvaje, no tiene absolutamente nada que ver con la ciberseguridad convencional. Pero tienen que convivir”, explicó Obispo. El Ayuntamiento de Madrid ha creado un laboratorio específico de IoT y trabaja con universidades públicas para investigar y desarrollar estándares de seguridad. “Vamos a necesitar un SOC también para esto, vamos a necesitar todas las líneas de trabajo que hemos dicho y en algún momento, además, convergerán, con lo cual probablemente de lo que se trate sea de súper especialización”, apuntó.

Serrano identificó un problema específico en la gestión de dispositivos IoT: “El problema más grande que veo yo, sobre todo en nuestra administración, es que los IoT aparecen en contratos no TIC. Cuando se ha hecho un contrato para otra cosa y aparecen IoT, ¿nos han puesto condiciones de seguridad a esa red o a esos dispositivos? Lo primero que hemos tenido que hacer es buscar quién es el responsable de eso, porque no son proyectos IT. Tiene una problemática distinta”, relató.

La inteligencia artificial, aliada y amenaza

La conversación giró inevitablemente hacia el papel de la inteligencia artificial (IA) en la gestión de la ciberseguridad.

Daniel Olmo, responsable de sector público en HCLSoftware, fue contundente: “La única manera de conseguir disponer de esas capacidades es haciendo contratos, haciendo servicios que consoliden capacidades que trabajen desde el punto de vista de los proveedores en una economía de escala y que puedan llevaros esos servicios con los formatos y los presupuestos que sean digeribles por vuestra parte. La siguiente ola de todo esto es la inteligencia artificial, que llega como un arma total fundamental para poder manejar todas estas volumetrías”.

Obispo relató cómo el Ayuntamiento de Madrid ha integrado la IA en sus procesos: “Hace ya más de un año, casi dos, nuestro director dio instrucciones: está prohibido no utilizar la inteligencia artificial. Dijo: los malos la van a usar, nosotros no podemos no usarla. Nos ha supuesto mejoras en la detección temprana, en el análisis predictivo, en la automatización de nuestras respuestas. El volumen de incidentes que tenemos es tan grande que de manera humana sería imposible”.

Sin embargo, la IA también plantea nuevos desafíos. “La dificultad está en la gobernanza, cuestiones de explicabilidad, la ética algorítmica, la integración segura, que es muy compleja, y vamos a tener que hacer mucho trabajo previo”, advirtió Obispo. Serrano añadió: “Se está empezando a usar IA para todo. Tenemos que poner la seguridad en la IA. Otro reto que tenemos es asegurarnos y ver dónde están los datos y ver cómo”.

La IA, además, se perfila como una solución parcial al reto del talento en ciberseguridad, un recurso escaso y caro. “Son un recurso más. Nosotros internamente ya estamos utilizando agentes para realizar tareas que antiguamente las hacían los seres humanos”, explicó Obispo. Sin embargo, insistió en la importancia de la supervisión y el control humano: “Un agente dotado de recursos suficientes y bien entrenado y bien supervisado aporta un valor que sin duda no podemos dejar de lado nunca”.

El legado tecnológico y las restricciones estructurales

El peso de los sistemas legacy, aquellos desarrollos antiguos que siguen siendo críticos para la administración, es otro de los grandes desafíos. Olmo lo explicó con claridad: “Hay más sistemas legacy en la administración pública que en otros sectores, y eso ya nos aumenta el espacio de trabajo y nos complica las cosas. Muchos de ellos se construyeron en una época en la que la seguridad no era una asignatura tal a resolver. Y, además, se construyeron precisamente para formalizar procesos que funcionaban internamente a la organización pública, porque luego la cara vista de esos procesos con los ciudadanos era una ventanilla física. Y esto de la noche a la mañana se acelera la digitalización, todos somos digitales, abrimos las puertas de todo y entran los malos hasta la cocina en algunas ocasiones”.

A ello se suman las restricciones presupuestarias y las dinámicas de contratación, que dificultan la agilidad en la respuesta y la actualización tecnológica. “El ritmo es totalmente diferente en el sector privado que en la administración pública. En el sector privado, ante una necesidad pueden aprobar una compra de un servicio en un chasquido. En la administración pública debe ser de otra manera”, lamentó Olmo.

El talento, entre la colaboración y la competencia

La escasez de talento especializado en ciberseguridad es un problema compartido por todos los responsables públicos. “La administración pública no puede competir con el sector privado en la captación y en la retención de talento. Y estamos hartos de ver cómo incorporamos profesionales en equipos de trabajo en contratos en el sector privado que en cuanto cogen un poquito de currículum y se ponen el logo de que han estado trabajando en organismos de referencia de la administración pública, pues se van a mejorar su vida profesional en otros sitios, y eso es muy doloroso y es muy difícil de resolver”, admitió Olmo.

Obispo, sin embargo, propuso un cambio de paradigma: “Tenemos que pelear por erradicar la palabra competir, porque es verdad que en ocasiones competimos por colaborar. He visto el viaje al revés también: gente que ha venido a la administración pública desde la empresa privada y hacen un trabajo sensacional. A veces por servicio público, porque se ven ahí, y otras veces porque empezamos a ser competitivos. Se genera una sinergia”.

El papel garantista de la administración: freno o motor

La administración pública, por su propia naturaleza, está sujeta a un marco normativo y garantista que puede parecer un freno para la innovación. Sin embargo, tanto Serrano como Olmo defendieron que este papel es, en realidad, un motor para la ciberseguridad. “Juega a favor, porque al final, todo esto garantista nos hace no ir desbocados hacia proyectos nuevos y poner ese orden, esa gobernanza y ese tenerlo todo bajo control. Eso es bueno para nosotros para la ciberseguridad, porque sabemos que los proyectos salen controlados y también para los datos de los ciudadanos”, defendió Serrano.

Olmo coincidió: “Detrás de toda esa normativa garantista y de esas reflexiones garantistas están personas y organizaciones cuya misión es la cosa pública, es el bien común. ¿Qué puede haber mejor que eso de cara al avance de la sociedad? Si detrás de esas consideraciones estuviera un interés espurio puramente económico, yo estaría mucho más preocupado”.

Amenazas emergentes y retos de futuro

En la recta final del encuentro, la conversación giró hacia las amenazas emergentes y los retos inmediatos. Obispo fue directo: “Resiliencia. Infraestructuras críticas”. Serrano advirtió: “El principal reto es que cada vez somos más objetivo y que la presión aumenta”. Olmo añadió una preocupación por la proximidad de los atacantes: “Los ataques provienen de lugares cada vez más cercanos, hay cada vez un mayor hacker activismo que por motivos geopolíticos, incluso por motivos políticos cercanos, están empezando a tener los ataques muy cerca, con una no sensibilidad por lo que realmente se está haciendo. ¿Cómo puede haber una oferta de cursos de hacker en el mercado, pero de hackers malos, no de hackers buenos? ¿Cómo puede haber premios para ver quién consigue tumbar una infraestructura? Esto está ocurriendo dentro de nuestras fronteras en colectivos que los tenemos cada vez más cerca. Esto yo creo que es un problema creciente”.

La cadena de suministro y la colaboración con los proveedores tecnológicos se perfilan como un área crítica. “No hay nada peor que cuando tienes que ir a prensa y decir: hemos tenido un ciberataque, y el problema es el distribuidor. No puedes defenderte, te sientes impotente, y ahora tenemos la oportunidad de mejorar eso con la colaboración también de las empresas privadas que nos ayudan a robustecer el modelo”, defendió Obispo.

Serrano, desde la Generalitat Valenciana, relató una experiencia reciente: “Convocamos una reunión con todos nuestros proveedores pidiéndoles complicidad y apoyo e implicación en la ciberseguridad. Todavía queda mucho por mejorar en que estos proveedores, los servicios que nos prestan, los desarrollos que nos hagan y toda su forma de trabajar sea cada vez más segura, que nos ayuden a protegernos”.

La ciberseguridad, en definitiva, se ha convertido en un ejercicio colectivo de responsabilidad, resiliencia y aprendizaje continuo. Como resumió Olmo: “La ciberseguridad no es solamente un reto técnico. Hay una responsabilidad institucional en liderarnos, liderar a la industria privada, al sector privado y liderar a toda la sociedad en este respecto. Solo podremos tener una colaboración desde lo privado, eficiente y valiosa, si entendemos bien la misión, las necesidades, las dinámicas y trabajamos muy de la mano y os escuchamos con mucha atención”.


Comparte la noticia
Otras noticias
  • Artículos relacionados
  • Más del mismo redactor

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?