Colaboración, el arma necesaria de la ciberseguridad en las Administraciones Públicas
Asumiendo que todos, antes o después, vamos a sufrir un ciberataque, las administraciones públicas se preparan en materia de ciberseguridad para saber cuándo llegará ese momento y, sobre todo, cómo reaccionar cuando se produzca ese incidente.
Este fue uno de los principales mensajes que quedaron patentes en el webinar que ByTIC llevó a cabo con la colaboración de Exagrid y Symantec. Un encuentro en el que todos los asistentes remarcaron que la colaboración es clave para que las administraciones públicas puedan hacer frente a estas amenazas de una forma más efectiva y eficiente. Además de reclamar algunos cambios en la visión de la seguridad tecnológica como algo más transversal y que no afecta únicamente a los departamentos de sistemas, los presentes también incidieron en que para una mayor concienciación es fundamental la difusión y comunicación, sobre todo de las experiencias cuando se ha sido el protagonista de un incidente.
El impacto de los pequeños
Carlos Canitrot, Director de Consultoría de Adjudicaciones TIC, exponía desde el principio una realidad confirmada por parte de los asistentes: la trascendencia que tiene la ciberseguridad en las administraciones de menor tamaño.
Según los datos facilitados por Canitrot, si miramos el número de licitaciones que, en 2022, hubo en materia de ciberseguridad, prácticamente la Administración General del Estado (AGE) y los organismos municipales tienen el mismo número. Sin embargo, lo cierto es que en cuanto al montante económico (que se ha multiplicado por 2,5 en el último ejercicio), las cifras se descompensan: el 70% de la inversión en ciberseguridad realizada (unos 228 millones de euros) fue a parar a la AGE, mientras que el resto del capital se reparte a partes iguales entre comunidades autónomas y ayuntamientos.
Los siete principales organismos que más dinero han destinado a la ciberseguridad se reparten el 55% de la inversión total, siendo SGAD, GISS y AENA los que más han invertido.
Vicenç Vidal, Cap. de Secció de Sistemes-Comunicacions-Manteniment Municipal en el Consell de Mallorca que da soporte a los ayuntamientos de hasta 20.000 habitantes, confirmaba que estos organismos pequeños son “otro mundo” porque el presupuesto es muy pequeño. Además, considera que se enfrentan a la paradoja de “fomentar mucho la administración electrónica, pero generamos desconfianza con estos ataques”, por lo que aboga por que la ciberseguridad deba ser transversal, no solo de TIC. “El departamento de RRHH debe estar implicado para hacer más cursos de formación”, subrayaba.
Marc García, director de Ciberseguridad en el Ayuntamiento de Girona, también exponía esta falta de recursos en las administraciones locales. “Estamos centrados y concienciados con ciberseguridad”, señalaba, añadiendo que tienen que gestionar, entre cuatro personas, más de 300 servidores distribuidos en dos CPD (al que habrá que sumar un tercero este año). “Tenemos que espabilar y hacer lo mejor que podamos con los recursos que tenemos”, sentenciaba.
Tal y como reconocía Fernando Suárez, director del área de transparencia y Gobiernos Abierto en la Diputación de Ourense, “nos falta una organización como la que tienen los malos”. Además de exponer que, en muchos casos, los ayuntamientos pequeños “pueden no tener conocimientos técnicos” en esta materia, confirmaba que “hacen falta personas, que lideren y no solo tecnólogos, también políticos. Las personas deben imponer medidas, planes, etc.”.
Mayor concienciación
Además, subrayaba también la necesidad de que los empleados públicos y la ciudadanía tengan un mayor nivel de concienciación. “El mejor compañero es el que te puede acompañar y dar respuesta y sabe de tus carencias, pero te da apoyo. La colaboración es fundamental”, adelantaba.
Quien también hablaba de concienciación es Andrés Javier Prado, director Área TIC en Universidad de Castilla la Mancha. Hace dos años, la universidad sufrió un ciberataque. Una de sus primeras conclusiones tras aquel abril de 2021 (en el que la universidad se vio seriamente afectada) es que esto les volverá a ocurrir. “No asumíamos que íbamos a ser objeto de un ataque como este. Cuando empiezas a asumir que es real y que las bases de datos del CPD están cifradas, la película es de terror”, reconocía. Esta experiencia les ha hecho ver la ciberseguridad “desde una perspectiva diferente. Hemos trabajado en prevención y cumplimiento, pero poco en reacción y es fundamental”, alertaba, para añadir que la reacción “solo la tienes en cuenta si eres consciente del punto anterior, de que en algún momento te van a atacar”.
En su experiencia, la amenaza es “lo suficientemente importante como para darte cuenta de que los medios que debes poner no están a nuestro alcance”, por lo que considera que las administraciones públicas deben reflexionar en conjunto. “La prevención no te permite dormir tranquilo. Hace falta comunicación y difusión, hacia dentro y hacia fuera. Hay que insistir en la formación y capacitación de todas las personas. Hay que contar qué pasó, cómo nos ocurrió, cómo lo resolvimos y lo que aprendimos. La concienciación tiene que llegar a todos los niveles y hay que dar difusión a estas experiencias”, sentenciaba
Alex Giménez, Senior System Engineering de Exagrid, insistía en la parte de reacción. “Necesitamos, después de un ataque, reaccionar. Una vez que han entrado, hay que fomentar la resiliencia, la capacidad de la administración pública de seguir ofreciendo sus servicios en cualquier circunstancia” y defendía que las soluciones de su compañía “garantizan que se pueda recuperar la información incluso después de un ataque de ransomnware”.
Mientras, Nur Pulad, Head Cyber Security Iberia de Symantec, considera que las administraciones deben ser conscientes de que comprar más productos “no hace que tengas más protección. Diseñar es importante, pero no solo la prevención sino también la reacción”, animando a “pensar mal en la ciberseguridad” acercándose al planteamiento de los ciberdelincuentes.
Formación
Quizá por eso, uno de los puntos más importantes en los que todos los asistentes estuvieron de acuerdo es en seguir invirtiendo en la formación de todas las personas. Tal y como recordaba Fernando Suárez, director del área de transparencia y Gobiernos Abierto en la Diputación de Ourense, “el eslabón más débil son las personas y hay que hacerles partícipes de su responsabilidad”. Concienciar en privacidad o en protección de datos son algunos de los ejes sobre los que debe pivotar esta formación. Pero, en su caso, también explicaba que se hacen ejercicios y no solo formación. “El teletrabajo ha difuminado la parte profesional y personal”, lo que ha conllevado que muchos empleados públicos utilicen cualquier dispositivo para sus labores profesionales. Por eso, una de las estrategias emprendidas por la diputación y que, según este responsable, más éxito han tenido es una herramienta de simulación de ataques para “sacar” los colores a la gente y aumentar su grado de conciencia de que “pueden ser la puerta de entrada de la infraestructura” para los cibercriminales.
Una estrategia compartida por Vicenç Vidal, Cap. de Secció de Sistemes-Comunicacions-Manteniment Municipal en el Consell de Mallorca. “Hay mucho trabajo de formación que nos afecta a todos”, relataba. Tras asegurar que “es muy difícil que un trabajador haga un curso de ciberseguridad porque sí”, exponía que desde su departamento también se ha impulsado la creación y publicación de pequeñas píldoras con consejos básicos cada vez que los usuarios acceden a sus sistemas. Unas fichas realizadas en colaboración con la universidad de Baleares y que, de manera obligatoria, hacen que los empleados públicos lean, antes de iniciar su jornada laboral, un pequeño truco o consejo que les ayudará a reforzar la seguridad en todos los niveles.
Marc García, director de Ciberseguridad en el Ayuntamiento de Girona, exponía la complejidad de gestionar mil usuarios entre dos personas en tiempo de pandemia. Hasta el uno de enero de 2023 no se ha creado un departamento de ciberseguridad en el ayuntamiento de Girona, “aunque éramos conscientes del problema”, asegura. Tras defender que tiene que haber una unidad específica, también sostiene que la ciberseguridad debe ser algo transversal, dado que afecta a toda la organización. “La pandemia nos ayudó a definir una dirección a seguir. Los usuarios se fueron a casa, con máquinas bajo nuestro control a conectarse con máquinas que no eran nuestras y fuera de nuestro control. Había que proteger al usuario”.
Además, reclamaba que los departamentos de recursos humanos se involucren más en estas tareas de formación en ciberseguridad. Porque, tal y como explicaba Andrés Javier Prado, director Área TIC en Universidad de Castilla la Mancha, después de sufrir un ciberataque cambia la participación de los destinatarios. “La ciberseguridad se ha asociado normalmente a temas normativos que había que conocer. Pero los funcionarios deben entender que nuestra posición es clave. Hay que entender que es nuestra responsabilidad, del propio funcionario, garantizar la seguridad”. Aunque, según su experiencia, haber sufrido un ciberataque “nos permite avanzar”, asegura que sigue habiendo mucho camino por recorrer.
En este sentido, Nur Pulad, Head Cyber Security Iberia de Symantec, considera que muchos de los planes de ciberseguridad fallan porque “no nacen de una reflexión correcta. Nos llevamos por el trending topic. Deberíamos poner el foco en función del tanto por ciento de daño que nos provoca un incidente, no por la cantidad de veces que intentan acometer esos ataques. La prioridad no es donde más ocurre, sino donde más daño me pueden hacer”, enfatizaba.
Colaboración
Para Alex Giménez, Senior System Engineering de Exagrid, la administración pública es más holística en la prevención de la seguridad. “Las organizaciones son más fluidas y menos estancas en sus departamentos, por lo que los proyectos no son solo de seguridad de forma tradicional, sino de la respuesta a todo el proyecto”, argumentaba.
De hecho, Vicenç Vidal considera que muchos proyectos de ciberseguridad se han hecho después de sufrir un ciberataque. “Los políticos buscan el dinero después de un ciberataque”, aseguraba.
Por eso, y aunque el reto presupuestario es muy grande para toda las administraciones, los responsables de todas ellas consideran que, lo fundamental, es abordar los retos de manera distribuida y colaborativa para combatir al enemigo.