Protección del dato en la AA.PP: la mejor ciberdefensa es contar con una buena estrategia

El dato es un elemento esencial para el funcionamiento de cualquier tipo de organización. En el caso de las Administraciones cobra todavía más importancia, sobre todo porque buena parte de los mismos contienen información muy sensible que es necesario proteger. El problema es que no basta con tener las mejores herramientas, sino que es necesario implementar una correcta estrategia que permita a los organismos públicos prevenir ataques y afrontarlos en el caso de sufrir uno.

Proteger el centro de datos, gestionar dispositivos IoT y proteger el Edge, establecer una estrategia de recuperación o asegurar los entornos multicloud son sólo algunos de los apartados que deberían incorporarse a esa estrategia de ciberdefensa.

Este ha sido el objeto de reflexión y debate del webinar organizado por ByTIC, con la colaboración de Infinidat y VMware y que ha contado con la participación de los expertos Esther Muñoz Fuentes, subdirectora General de Ciberseguridad de Madrid Digital; Ignacio Pérez, CISO de Aragonesa de Servicios Telemáticos; José Benedito Agramunt, jefe de Servicio de Informática de la Diputación de Valencia; Ignacio Arrieta, Solutions Engineering Director for VMware; Luis Menéndez, director Técnico de Infinidat; y Carlos Canitrot, director de Consultoría de Adjudicaciones TIC.

Un encuentro en el que todos coincidieron, como punto de partida, en la importancia y necesidad de contar con un sólida estrategia en ciberseguridad.

“En nuestro caso, damos servicio a más de 100.000 empleados públicos, a más de 5.000 sedes físicas, interconectadas con nuestras y también a otros organismos físicos, conectados a la red SARA. En definitiva, gestionamos una gran cantidad de datos diariamente y, con ello, tenemos mucho que proteger”, afirmaba Esther Muñoz Fuentes, subdirectora General de Ciberseguridad de Madrid Digital.

Esther Muñoz Fuentes.

Una protección que además se ha visto ampliada con la propia presencia en Internet de la Comunidad de Madrid, “que no deja de crecer”, y con la implantación del teletrabajo, “que ha hecho que el perímetro de seguridad se difumine”, añadía la representante de Madrid Digital.

Por todo ello, Esther Muñoz defiende una estrategia con plazos y objetivos claros pero viva, en constante revisión y mejora.

Algo que también apuntaba Ignacio Arrieta, Solutions Engineering Director for VMware al afirmar que “aunque no hay ninguna estrategia que aguante un tiro, haciendo una simulación al entorno militar, tenerla hay que tenerla”.

Y además, en opinión de Arrieta, esta estrategia debe ser holística, contemplando “desde cómo se desarrollan las aplicaciones hasta cuándo se consumen, cómo se securizan también las redes, los dispositivos… Tiene que ser algo global y transversal a toda la organización”.

En esa visión integral coincidía Luis Menéndez, director Técnico de Infinidat: “La seguridad frente a ataques debe ser concebida de extremo a extremo”, aseguraba al tiempo que añadía un elemento imprescindible en cualquier estrategia de ciberseguridad: la capacidad de recuperar la información y/o servicios después de un ataque.

Luis Menéndez.

Y es que como ya nadie duda cualquier organización puede ser víctima de un ciberataque, algo que en el caso de las Administraciones Públicas podría poner en jaque información crítica, la de los ciudadanos, y servicios públicos de gran valor. Por ello, además de intentar contar con una estrategia sólida de ciberseguridad que permita prevenir y detectar cualquier incidente, es esencial disponer de una estrategia que contemple además la recuperación posterior.

“El foco debe situarse en la información”, señalaba en este sentido Ignacio Pérez, CISO de Aragonesa de Servicios Telemáticos. “Que es el servicio este disponible es generalmente la prioridad pero no es lo más importante al final; lo importante es la información que maneja y sobre la que se sustenta ese servicio. Como Administración Pública nos debemos a que los servicios sigan funcionando pero también a que la información del ciudadano de esos servicios este bien custodiada”.

Y para ello, como recomendación, probar y probar los planes y medidas de ciberseguridad, antes de que suceda nada, apuntaba Luis Menéndez, director Técnico de Infinidat: “Cuando una entidad sufre un ciberataque es cuando es consciente de su impacto no solo económico sino reputacional. Normalmente tenemos copias de seguridad y nos sentimos más o menos seguro pero los ciberdelincuentes también van a por ellas. Por eso, es necesario anticiparse al ataque; hacer pruebas y maniobras para comprobar que todo funcionaría correctamente antes de que realmente ocurra”.

¿Los datos están más seguros en la nube?

Ignacio Pérez.

Si hay una tendencia en la transformación tecnológica que están experimentando los organismos públicos esa es la adopción de la nube. La tecnología cloud está introduciéndose de forma creciente en la AA.PP. por la escalabilidad, eficiencia y ahorro de costes, entre otras ventajas, que este modelo permite.

Sin embargo y en materia de ciberseguridad o protección de la información, ¿es más seguro el modelo cloud?

Ignacio Arrieta.

“No, la nube no es más segura. La nube es igual de segura o insegura que las prácticas de gobernanza del dato que una organización tenga”, respondía el experto de VMware.

Y es que, como señalaba, al adoptar un modelo cloud la responsabilidad no puede ni debe dejarse únicamente en el proveedor de ese servicio en la nube. “El organismo o la entidad sigue teniendo una responsabilidad y, por eso, es indispensable tener estrategias de seguridad, planes de contingencia, recuperación, etc. y sobre todo, probarlos, ver que realmente funcionarían en caso de tener que hacerlo”, reiteraba.

Aunque, como también argumentaba, José Benedito Agramunt, jefe de Servicio de Informática de la Diputación de Valencia, es cierto que la nube, aun con esa corresponsabilidad organismo-proveedor, ofrece una seguridad “extra”: “En las AA.PP. podemos y exigimos por contrato unas prestaciones de ciberseguridad que difícilmente podemos implementar en on premise por nosotros mismos”.

“Nuestro trabajo es que un día de calma estés pensando en el desastre para que un día de desastre estés pensando con calma. Lo que tienes que pensar es que en la nube sí pasa y es responsabilidad tuya y no solo del proveedor”, recalcaba en la misma línea el CISO de Aragonesa de Servicios Telemáticos.

José Benedito Agramunt.

Algo que no siempre ocurre, por falta de concienciación pero, especialmente, por falta de recursos.

“Hay dos tipos de dificultades, uno relacionado con las propia AA.PP, que radica en el modelo de contratación que tenemos, sumamente lento y en el que, por ejemplo, introducir conceptos como el gasto por uso, tan propio de la nube, es casi una odisea”, apuntaba José Benedito Agramunt, jefe de Servicio de Informática de la Diputación de Valencia.

Pero además del económico, otro obstáculo a salvar en la protección de la información que se gestiona y genera en la Administración Pública, una vez más, el la falta de recursos humanos.

“No contamos con los profesionales que necesitamos; es muy difícil atraer talento y más especializado en temas como la ciberseguridad porque, simplemente, no podemos competir con la empresa privada en cuanto a salarios”, añadía el jefe de Servicio de Informática de la Diputación de Valencia.

Desafíos a los que también se enfrenta la subdirectora General de Ciberseguridad de Madrid Digital: “Es verdad que estamos en un momento en el que la inversión en tecnologías de ciberseguridad es más elevada que nunca, probablemente. Pero, por ejemplo, en todo lo que tiene que ver con los fondos europeos, establecen que esa inversión la destinemos a software y hardware y yo lo que realmente necesito en el área de ciberseguridad son mayoritariamente servicios”.

Una inversión que no cesa

Precisamente, Carlos Canitrot, director de Consultoría de Adjudicaciones TIC, exponía cómo esa inversión en tecnologías que permitan proteger la información y las infraestructuras del Sector Público está en constante crecimiento.

Como revelaba, en el caso concreto del Plan Nacional de Ciberseguridad aprobado por el Ejecutivo, se contemplan más de 130 actuaciones con una inversión de 1.000 millones de euros de presupuesto.

“En los nueve primeros meses de 2022, la inversión de la Administración Pública en materia de ciberseguridad ya ha supuesto más de 160 millones de euros. Desde 2019, la inversión en este tipo de tecnologías ha crecido más de un 213 por ciento”, afirmaba.

Carlos Canitrot
Carlos Canitrot.

Y todo apunta a que estas cifras no dejarán de incrementarse: “A finales de 2022, estaríamos hablando de una inversión en ciberseguridad por parte del Sector Público superior a los 200 millones de euros”, explicaba Carlos Canitrot al tiempo que ponía sobre la mesa cómo esa inversión, en línea con lo que demandaban los participantes en el evento, se focalizará en infraestructuras cloud y servicios.

Como recordaba además el director de Consultoría de Adjudicaciones TIC, otro aspecto clave en este plan de inversión será superar la barrera cultural y la resistencia al cambio con acciones de formación y concienciación, “aspectos clave de la estrategia del Gobierno y esenciales para la lucha contra los ciberataques”.

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

portada

Suscríbete a nuestra Newsletter

ByTIC Media