Cómo proteger los datos en la nube mirándose en el espejo de GISS
Datos. Seguridad. Nube. No son los tres vértices del triángulo de las Bermudas, pero sí que son tres de los componentes clave de muchas de las administraciones públicas. En un encuentro ejecutivo organizado por ByTIC con el patrocinio de Netskope, la compañía no solo se presentó ante muchos de los responsables de los diferentes organismos públicos, sino que les mostró, como en un espejo en el que mirarse, el proyecto realizado por GISS (Gerencia de Informática de la Seguridad Social).
A este almuerzo exclusivo asistieron Pedro Hernández, Subdirector General TIC en Ministerio de Trabajo y Economía Social; Óscar Robledo: Vocal asesor TIC en Ministerio de Hacienda, Enrique José Gamero Lirio, Director del Centro de Infraestructuras y Sistemas GISS; Juan Luis Vicente, Jefe Departamento de desarrollo de sistemas y explotación de Samur /Protección Civil del Ayuntamiento de Madrid; José Andrés Jiménez Martín, Jefe del Departamento de Asesoramiento TIC en Congreso de los Diputados; Fernando Martín Moreno, Supervisor de Apoyo Informático Presidencia Tribunal de Cuentas, Eloy Cámara, Subdirector de Digitalización Corporativa (CIO) INECO, David Sánchez, Regional Account Manager Public Sector Netskope; Miguel Ángel Martos, Country Manager Iberia Netskope; y Javier Campo Azofra, Sales Engineer at Netskope
Escenario de trabajo
Antes de arrancar, Carlos Canitrot, director de consultoría de AdjudicacionesTIC, destacó la importancia de la ciberseguridad en las administraciones públicas durante su intervención. Según Canitrot, la ciberseguridad ha adquirido una relevancia estratégica en los últimos años, convirtiéndose en un punto clave para la transformación digital de las administraciones. Esta transformación ha sido impulsada por el creciente número de ciberataques y la digitalización acelerada de los servicios públicos.
Canitrot subrayó que “el sector público es un objetivo clave para los ciberataques debido a la interconexión tecnológica sin precedentes”. Los ciberataques no solo comprometen datos sensibles, sino que también pueden interrumpir servicios esenciales, socavar la confianza en las instituciones y tener un impacto económico significativo. En España, hay aproximadamente 18.000 organismos públicos que manejan datos muy sensibles, desde información personal hasta datos de seguridad nacional. Según el Centro Criptológico Nacional, el 34% de los ciberataques se dirigen a las administraciones públicas, lo que confirma que es uno de los sectores más atacados.
Tanto es así que en 2022 se produjeron 55.000 ciberataques, cifra que aumentó a casi 207.000 en 2023. Para finales de 2024, se espera que los ataques alcancen los 150.000. Canitrot destacó que “la inteligencia artificial está haciendo que los ciberataques sean cada vez más sofisticados”. Además del impacto económico y físico, los ciberataques también afectan el prestigio y la confianza en el sector público.
En cuanto a la inversión en ciberseguridad, Canitrot mencionó que “el pasado año se superaron los 300 millones de euros en servicios y hardware”. Sin embargo, la inversión pública ha disminuido este año, aunque el porcentaje de inversión en ciberseguridad sobre el total de la inversión pública ha aumentado. El plan de recuperación, transformación y resiliencia, financiado con fondos europeos, ha sido uno de los principales motores de esta inversión.
Canitrot también habló sobre el marco normativo, destacando dos herramientas fundamentales: el esquema nacional de seguridad y la Directiva Europea sobre Seguridad de las Redes y Sistemas (NIS2). El esquema nacional de seguridad establece requisitos para garantizar la protección adecuada de la información del sector público, mientras que la NIS2 busca mejorar la seguridad de las redes y sistemas de información en sectores críticos.
Finalmente, Canitrot concluyó que “la ciberseguridad en las comunidades públicas españolas está en proceso de consolidación, con un aumento de la inversión y la implementación de políticas avanzadas”. La adopción de tecnologías emergentes, como la inteligencia artificial y el aprendizaje automático, será clave para detectar y mitigar amenazas en tiempo real. Sin embargo, la evolución de las amenazas y la creciente complejidad de los entornos tecnológicos requieren una vigilancia constante y una mejora continua en las estrategias.
Presentaciones obligadas
Miguel Ángel Martos, Country Manager de Netskope, destacó en su primer turno de intervención la importancia de la ciberseguridad en las administraciones públicas durante su. Martos subrayó que la Directiva Europea NIS2 menciona por primera vez la necesidad de implementar políticas de prevención ante fugas de información en organizaciones sensibles a la adopción de la NIS. “La NIS2 tiene una mención específica a la protección de la información”, afirmó Martos.
Este directivo explicó que la aproximación de Netskope es ofrecer servicios de ciberseguridad que faciliten el proceso de transformación digital de las administraciones. “El mundo digital está cambiando, hoy funcionarios públicos trabajan en casa, trabajan en cualquier oficina”, señaló. Las aplicaciones y servicios ya no están siempre en un data center, sino que están distribuidas en la nube, lo que requiere una nueva aproximación a la seguridad.
Netskope se posiciona como una plataforma de ciberseguridad en la nube que permite conectar cualquier usuario, dispositivo y aplicación de forma segura. “Nuestra aproximación es una plataforma de ciberseguridad en cloud para favorecer toda esta conectividad”, explicó Martos. Esta plataforma evoluciona a un motor que facilita la transformación digital y mejora la experiencia de usuario.
Martos destacó que la ambición de Netskope es que la experiencia de usuario no solo no sea peor cuando se conecta a los servicios de seguridad, sino que sea mejor. “Nuestra aspiración es que un funcionario, cuando llegue por la mañana a trabajar, pueda abrir su PC y su experiencia de conectividad a la nube sea la misma, esté en una oficina o en un Starbucks”, afirmó.
Netskope asegura haber invertido en la mayor infraestructura de ciberseguridad propia en el mundo, con tres nodos de acceso a su nube en España. “Casi tres millones de usuarios únicos navegan en algún momento del año a través de nuestra nube en España”, señaló Martos. Esta infraestructura permite ofrecer servicios ubicuos para conectar cualquier usuario, dispositivo y tecnología a cualquier servicio corporativo de manera eficiente.
Martos también mencionó que Netskope ha pasado de ser solo una plataforma de ciberseguridad a convertirse en un proveedor puro SASE, lo que significa que no solo ofrecen la plataforma de seguridad en la nube, sino que también controlan el acceso a esa plataforma. “Hemos lanzado nuestra oferta de SD-WAN en nivel 2”, explicó.
Finalmente, Martos anunció que Netskope saldrá a bolsa en menos de un año, con una valoración de 20.000 millones de dólares americanos. “Se espera que la salida a bolsa nos dé una visibilidad todavía mayor de la que ya tenemos”, concluyó Martos.
Perspectiva local
Mientras, David Sánchez, Regional Account Manager de Netskope, destacó la consolidación de Netskope en el mercado y su crecimiento continuo. “Estamos dentro del Esquema Nacional de Seguridad como calidad alta. Es decir, la máxima”, afirmó Sánchez. Explicó que tener tres data centers en España ayuda a clarificar muchos pliegos y diferenciarlos de la competencia. “Estamos en el mejor momento ahora mismo para poder ayudar”, señaló. Sánchez también mencionó que Netskope es una empresa con base española con casi 30 personas en su equipo, lo que refuerza su compromiso con el país.
Sánchez destacó la importancia de la infraestructura de Netskope y su capacidad para ofrecer soluciones únicas y diferenciadas. “Una de las cosas importantes es que es solución única, consola única”, explicó. Esto permite a Netskope crecer y diferenciarse en el mercado. Además, mencionó que Netskope licencia todo por usuario, lo que facilita la gestión presupuestaria a largo plazo. “Nosotros licenciamos todo por usuario porque tenemos nuestras propias nubes”, afirmó.
Finalmente, Sánchez resaltó la capacidad de Netskope para adaptarse y crecer rápidamente, mencionando la creación de nuevos data centers en respuesta a la demanda. “Cuando hemos crecido en poco tiempo, montamos otro data center”, explicó. Concluyó destacando la tranquilidad y seguridad que Netskope aporta a la administración pública y a las empresas privadas. “Aportamos tranquilidad, seguridad y somos una empresa consolidada”, afirmó Sánchez.
Mientras, Javier Campo, Sales Engineer de Netskope, subrayó la relevancia de la red global de Netskope, especialmente para el sector privado. “Tener gente en China, en Seattle, en Lima, era muy interesante”, afirmó Campo. Sin embargo, señaló que para la administración pública en España, la prioridad es cómo la red de Netskope facilita la vida dentro del país. Explicó que la independencia de Netskope de proveedores como Azure, AWS o Google Cloud es crucial para la contingencia. “Con Netskope es una red completamente independiente”, aseguró.
Campo destacó que esta compañía puede garantizar el procesamiento del 100% de los datos en España sin sobrecoste adicional, gracias a sus tres data centers en el país. “No hay nada más robusto que eso, y sin coste adicional”, afirmó. Además, mencionó que el tráfico de los usuarios sigue siendo procesado en el espacio europeo, incluso si viajan fuera de España, lo cual es crítico para la protección de datos y el cumplimiento de normativas como la NIS2. “Esa red es por lo que nosotros estamos tan orgullosos”, concluyó Campo.
David Sánchez, por su parte, enfatizó la capacidad de Netskope para cumplir con los requisitos de compliance, asegurando que el tráfico de datos no salga de Europa y comparó esta capacidad con su experiencia en otras empresas donde la dependencia de proveedores externos complicaba el cumplimiento de estas normativas.
Sánchez también mencionó la importancia de tener el control total sobre la infraestructura tecnológica para adaptarse rápidamente a las necesidades de compliance y cumplimiento del cliente.
El caso del GISS
Como decíamos, el encuentro sirvió, sobre todo, para que todos los responsables de los organismos públicos pudieran conocer con más detalle la experiencia recorrida por la Gerencia de Informática de la Seguridad Social. Enrique Gamero, del GISS, destacó en su intervención cómo las soluciones de Netskope han sido cruciales para resolver diversas problemáticas a lo largo del tiempo.
Gamero explicó que, durante la pandemia, se tomó la decisión corporativa de utilizar soluciones en la nube como Teams, Office y Power Apps, lo que planteó desafíos en términos de protección y control de datos. “¿Cómo se protege? ¿Cómo se asegura? ¿Cómo llevamos el control de lo que se utiliza arriba?”, cuestionó Gamero.
Para abordar estos desafíos, se implementaron soluciones de tipo CASB, promovidas por el departamento de seguridad, que permitieron controlar el acceso de los usuarios tanto dentro como fuera de la infraestructura corporativa. “Todos los usuarios los haces pasar por allí, tanto los que estén dentro como los que estén fuera”, explicó Gamero.
Además, Gamero mencionó la importancia de las soluciones de backup para el correo corporativo y la implementación de un proxy web para controlar la navegación por internet de todos los puestos corporativos. “Cuando alguien está por VPN o está conectado con su PC o con su portátil en nuestra red, sabes que está protegido por todo ese tipo de seguridad perimetral que tienes montado. Pero cuando estás en tu casa, ¿qué haces?”, planteó Gamero.
Un aspecto crítico que destacó Gamero fue la gestión de vulnerabilidades en dispositivos VPN. Relató un incidente en el que se detectaron evidencias de un ataque que aprovechaba una vulnerabilidad cero. Afortunadamente, lograron mitigar el ataque y reducir la superficie de ataque mediante la captura del tráfico de VPN corporativo y la eliminación del acceso VPN corporativo en internet.
Backup y vulnerabilidades
Además, Gamero mencionó la importancia de las soluciones de backup para el correo corporativo y la implementación de un proxy web para controlar la navegación por internet de todos los puestos corporativos.
Finalmente, Gamero subrayó la importancia de implementar soluciones de tipo ZTL para garantizar un acceso transparente y segmentado a los sistemas internos. “El acceso del usuario debe ser transparente, de manera que cuando arranque su PC en su casa y tenga sus unidades de red”, concluyó Gamero.
Enrique Gamero también abordó la renovación del equipamiento de firewall y la duplicación de líneas de trabajo en GISS. Para mejorar la gestión del tráfico, se dividieron las líneas en una corporativa y una de negocio, lo que permitió separar el tráfico de gestión del tráfico de los usuarios.
Gamero destacó que, desde 2020, GISS ha estado inspeccionando el tráfico de Office 365 en producción, lo que ha sido fundamental para la protección contra malware y la fuga de información. “GISS lleva desde 2020 inspeccionando el tráfico de Office 365 en producción con el parque de los 30.000, 35.000 clientes desplegados”, afirmó Gamero.
Otras cuestiones
El encuentro sirvió también para abordar otras cuestiones relacionadas con la seguridad, los datos y la nube. Miguel Ángel Martos destacó la complejidad de los modelos de seguridad actuales, señalando que “ya no es solo evitar que se infecte el PC o que roben la información, sino entender lo que está ocurriendo con la información”. Subrayó la necesidad de desarrollar sistemas sofisticados para detectar comportamientos anómalos y contextos sospechosos, ya que “un anti-malware no detecta si alguien está descargando ficheros con credenciales robadas”.
Javier Campos y David Sánchez enfatizaron la responsabilidad de la administración en proteger la información de los ciudadanos. Campos afirmó que “la información que puede salir de nuestros archivos es fundamental”, mientras que Sánchez añadió que “un ciberataque que bloquee servidores y pida un rescate es manejable, pero la fuga de datos es crítica”.
La discusión también abordó la implementación de sistemas de ciberseguridad en la administración pública. Algunos de los responsables presentes relataban cómo la discriminación a la que se ve sometida la seguridad les impuso implantar medidas sin medios suficientes, lo que ha dificultado alcanzar el nivel necesario de protección. Sin embargo, se reconoció que la concienciación en seguridad ha ayudado a dimensionar mejor los recursos dedicados a la ciberseguridad.
Así, también se destacó la importancia de cerrar puertas y apagar sistemas cuando se detecta una amenaza en algún organismo, ya que “el riesgo de ataque puede venir de donde menos te lo esperas”. Juan Luis Vicente añadió que justificar el presupuesto destinado a seguridad es complicado, ya que “el valor añadido es nulo hasta que te pillan”.
Finalmente, Gamero y Miguel Ángel Martos discutieron la migración a un modelo de seguridad zero-trust. Gamero señaló que “mover esto a la nube nos facilita y mejora la seguridad”, mientras que otros defendieron la tecnología VPN a pesar de sus vulnerabilidades, destacando que “el modelo zero-trust quita la superficie de ataques y micro-segmenta las aplicaciones”.
Los responsables destacaron la complejidad de los modelos de seguridad actuales, señalando que “ya no es solo evitar que se infecte el PC o que roben la información, sino entender lo que está ocurriendo con la información”. Subrayó la necesidad de desarrollar sistemas sofisticados para detectar comportamientos anómalos y contextos sospechosos, ya que “un anti-malware no detecta si alguien está descargando ficheros con credenciales robadas”.
Javier Campos y David Sánchez enfatizaron la responsabilidad de la administración en proteger la información de los ciudadanos. Campos afirmó que “la información que puede salir de esos archivos es fundamental”, mientras que Sánchez añadió que “un ciberataque que bloquee servidores y pida un rescate es manejable, pero la fuga de datos es crítica”.
Otras voces destacaron la importancia de la seguridad en las comunicaciones y cómo puede aportar valor en otros segmentos y la dificultad, en ocasiones de desplegar la seguridad por todas las oficinas”. Como se escuchó decir en el almuerzo, “la seguridad ha sido primordial o secundaria dependiendo de la entidad”, y que muchas decisiones se toman por el impacto mediático.
Además, se mencionó el impacto de los fondos europeos en la inversión en ciberseguridad, señalando que “ha habido mayor inversión en los últimos tres o cuatro años, pero el mantenimiento de la tecnología es un desafío a largo plazo” aunque, tal y como expresaban otras voces, “una vez que se acaben los fondos, el presupuesto será un problema”, por lo que se advirtió sobre el futuro, diciendo que “en 2027, con un ajuste presupuestario, será como la tormenta perfecta: mucho gasto y recortes”.