Retos de la resiliencia digital en el sector público
En un reciente encuentro ejecutivo de la Comunidad ByTIC, patrocinado esta vez por Lenovo y Veeam Software, representantes de diversas entidades públicas analizaron los retos de la resiliencia digital a los que se enfrentan en sus organizaciones.
La transformación digital del sector público español tiene ante sí una encrucijada marcada por la escasez de talento cualificado, la rigidez de los procesos de contratación y la complejidad de modernizar sistemas tecnológicos heredados, según se desprende de los comentarios realizados por estos altos responsables de entidades clave como Grupo Tragsa, Renfe, AENA, Correos, la Agencia Tributaria, la Oficina Española de Patentes y Marcas y la Casa Real. Unas barreras comunes que dificultan garantizar servicios públicos resilientes y sostenibles en un entorno cada vez más exigente.
De nuevo el talento
La falta de personal vuelve a aparecer como el principal obstáculo, un problema que trasciende las limitaciones presupuestarias del pasado. Cristóbal Rodríguez, subdirector de sistemas en Grupo Tragsa, fue contundente al describir la situación. «Básicamente, la falta de medios por la dificultad de tenerlos», afirmó, para luego precisar: «La falta de recursos de personas. Hemos llegado a una situación, iba a decir absurda, pero no podemos gastar todos los medios económicos que tenemos por falta de recursos». Rodríguez detalló las dificultades inherentes a su condición de empresa pública, con «limitaciones de contratación inmensas», contratos temporales de solo seis meses y «tablas salariales absolutamente fuera de mercado».
Esta visión es compartida en Correos, donde la búsqueda de talento es una lucha constante. Verónica Crespo, jefa de área en la Dirección de Tecnología, señaló que «para nosotros también es el principal problema, no encontrar personal cualificado, poderlo contratar internamente». Aunque recurren a la externalización, Crespo subrayó la necesidad de equipos internos para «retener ese conocimiento». Su compañero, Jon Sarasola, responsable de explotación de infraestructuras, añadió otro desafío crítico: «el tema de legacy, la obsolescencia tecnológica también es uno de los retos con lo que estamos luchando constantemente».
En Renfe, el problema es una combinación de factores. Pedro Galián, responsable de seguridad, explicó que la estrategia de la compañía ha sido externalizar el área técnica a través de una filial, creando centros tecnológicos en la llamada «España vaciada». Sin embargo, la retención del talento sigue siendo un hándicap. «El personal que está en Madrid cuesta mucho, y es la misma empresa», comentó Galián, reconociendo que, si bien han reducido la rotación, esta «empieza otra vez» si las condiciones económicas no son competitivas. Además, la agilidad para adoptar nuevas tecnologías se ve frenada por la burocracia. «El poder ir a una cloud nos cuesta. No tenemos esa capacidad de decir ‘me voy a la cloud y voy mañana’. Esa capacidad de contratación o de actualización tecnológica nos cuesta porque no contratamos directamente», lamentó.
Desde la Oficina Española de Patentes y Marcas, Ana Redondo, directora de la división de tecnología, apuntó a un reto más organizativo y cultural. Con una gran cantidad de «activos de software que tienen muchos años y que funcionan muy bien», el principal desafío es adaptar la seguridad a un paradigma en constante cambio. «El mayor reto, que es el que estamos afrontando ahora, es desde el punto de vista organizativo. Montar una buena estructura que sea capaz de reaccionar rápido», declaró Redondo. «Culturalmente es algo que cuesta», admitió, destacando la importancia de que cada miembro interiorice su rol ante situaciones inesperadas.
Mariano Domingo, CIO de AENA, describió un panorama de cierta complejidad en el que, a pesar de ser una empresa muy atractiva, experimentan similares condicionantes. «Estamos sujetos, desde el punto de vista de contratación de personal interno, a toda la legislación pública», explicó. Una de las consecuencias es una dificultad para atraer y retener talento IT interno. En el caso de la contratación de proveedores externos, lo que si advertimos por parte de nuestros proveedores, es una alta rotación en áreas críticas como la ciberseguridad dado que son recursos altamente demandados”. «En un año o dos años, los proveedores externos en este ámbito, han rotado aproximadamente un 25% de las plantillas», estimó. Mariano Domingo también introdujo otro reto mayúsculo: la gestión desde el punto de vista de ciberseguridad, de un «perímetro cada vez más amplio y más dinámico,», especialmente en la convergencia de los mundos IT y OT (Tecnología de la Operación). «Estamos llevando el ámbito de ciber al mundo OT. Como infraestructura crítica que somos, desde el punto de vista de ciberresiliencia, nos está planteando un gran reto que estamos afrontando con determinación «, afirmó, mencionando la necesidad de mejorar la protección de activos OT como sistemas del ámbito security o safety “.
Por su parte, Luis Amper, responsable de ciberseguridad en la Casa Real, identificó el presupuesto como el principal desafío histórico. «En nuestro caso, el mayor reto siempre debe ser presupuestario. Llevamos muchos años con presupuesto controlado», indicó. A esto se suma la dificultad para incorporar personal y «las propias limitaciones que impone el propio usuario a la hora de innovar», describiendo su entorno como una de las «administraciones más conservadoras».
Finalmente, José Borja Tomé, director del Departamento de Informática Tributaria de la Agencia Tributaria, añadió una variable social que impacta directamente en la contratación: la demanda de teletrabajo por parte de los nuevos profesionales. «Me sorprende. Hay gente que dice ‘no, que aquí no se puede teletrabajar’, pues no me interesa», relató, confirmando que esta se ha convertido en una de las primeras condiciones en las entrevistas laborales, un reflejo de cómo las nuevas expectativas del mercado laboral chocan con las estructuras tradicionales de la administración.
Inteligencia Artificial, ¿salvavidas o espejismo?
Ante esta cruda realidad de que el modelo actual de desarrollo tecnológico es insostenible, se puso sobre la mesa la opción de que la inteligencia artificial (IA) sea esa herramienta disruptiva que genera tanto esperanza como escepticismo.
La demanda de nuevas funcionalidades crece de forma exponencial, mientras que los recursos, humanos y presupuestarios, son finitos. Esta tensión obliga a una búsqueda incesante de eficiencia que, paradójicamente, puede mermar la capacidad de las organizaciones para afrontar imprevistos.
José Borja Tomé, de la Agencia Tributaria, fue contundente al diagnosticar el problema de raíz. «A mí me gusta decir que tenemos un problema básico y es que la tecnología no es sostenible, nuestra tecnología no es sostenible», afirmó. «Todo lo que hacemos lo tenemos que mantener el resto de la vida, pero cada año la sociedad, nuestros clientes, nos demandan que construyamos funcionalidades adicionales». Esta dinámica crea una presión insostenible. «Si tus recursos no son crecientes hasta el infinito y más allá, pues siempre hay un momento en el cual, por lo que quiera que sea, te vas a encontrar en una situación de estrecheces, que solamente puedes resolver de una manera que es haciéndote más eficiente», señaló.
Sin embargo, la eficiencia tiene sus límites y un coste oculto. «La eficiencia está reñida con la resiliencia, porque evidentemente cuando no tienes grasa, pues es muy difícil que puedas pasar el invierno», advirtió el directivo. «Cuando te vienen mal dadas, resulta que ya no tienes ningún recurso adicional».
Ante este panorama, la conversación giró inevitablemente hacia el papel de la IA. ¿Puede ser la solución a la falta de recursos? La visión general de los participantes muestra ciertos recelos o, al menos, cautelas. «La inteligencia artificial, como cualquier otra tecnología y en este caso disruptiva, en la medida en la que nos pueda ayudar a ser más eficientes, pues al menos durante un tiempo nos permitirá lo mismo que nos han permitido otros cambios tecnológicos», comentó Tomé. Sin embargo, advirtió sobre los costes asociados: «Hoy por hoy, si hablamos sobre todo de IA generativa, tampoco es barata. El coste del entrenamiento es muy grande y el coste de la inferencia también tiene un coste que existe».
La discusión se centró en el impacto real de la IA en el desarrollo de software. Lejos de sustituir a los programadores más cualificados, la tecnología parece, por ahora, una herramienta para potenciar su trabajo. «Tú con IA generativa puedes sustituir… ni siquiera voy a decir a un mal programador. Lo que puedes hacer es que tareas de un buen desarrollador que hasta ahora le llevaban más tiempo, puede hacerlas en menos tiempo», explicó Tomé.
Otras organizaciones, sin embargo, ya están encontrando aplicaciones prácticas. Ana Redondo, de la Oficina Española de Patentes y Marcas, reveló su uso para mejorar la calidad del software desde sus fases iniciales. «La inteligencia artificial no la usamos para desarrollar, para programar, pero sí que la utilizamos para desarrollar historias de usuario», compartió. Según explicó, la IA generativa ayuda a «recopilar todos los matices que son necesarios para realmente hacer algo que luego funcione». Además, su organización, que gestiona un volumen masivo de documentación, la emplea para optimizar procesos como las prebúsquedas del estado de la técnica para los examinadores de patentes.
Desde Grupo Tragsa, se están explorando tres vías principales. Además de buscar mejoras de eficiencia en el desarrollo, el foco está en la asistencia al usuario. «El Grupo Tragsa tiene ahora mismo 30.000 empleados y generamos cerca de 100.000 casos al año. Lo que estamos intentando es desarrollar una especie de chatbot que nos resuelva al menos el 25% de esas incidencias», detalló Cristóbal Rodríguez. La tercera línea de trabajo es la redacción de pliegos para licitaciones, aunque con ciertas reservas.
En Correos, la IA se perfila como una aliada clave para la predicción y la automatización en infraestructuras. «La IA esperamos que nos ayude precisamente a ser más predictivos, a identificar patrones, a poder reaccionar más rápidamente, incluso a la automatización, a dar una respuesta rápida ante incidentes», comentó Jon Sarasola.
La IA y la ciberseguridad
La irrupción de la IA generativa ha desatado una carrera por su adopción, generando tanto expectativas de eficiencia como una profunda preocupación por los nuevos riesgos en ciberseguridad. La dualidad de esta tecnología es clara: una herramienta poderosa para la resiliencia, pero también un arma que los ciberdelincuentes están adoptando a una velocidad alarmante.
Mariano Domingo, de AENA, admitió cierta presión inicial por adoptar estas tecnologías como la IA generativa. «Adicionalmente a iniciales medidas de seguridad y de cumplimiento del Reglamento Iact, junto con la ejecución de pilotos, una de las primeras actuaciones que hemos hecho es gestionar un poco cierta ansiedad que se genera. Parecía que, si en un año no hacías algo, se venía todo abajo», confesó. A pesar de su convicción de que la IA generativa es disruptiva y generará eficiencias, uno de los principales riesgos reside en la ciberseguridad. «Estoy convencido de que va a generar eficiencias, que va a generar impacto y valor, que nos va a ayudar, pero a la vez tenemos que ser conscientes que va a ser un riesgo que hay que gestionar. Los “malos” son más early adopters que las empresas, organismos, etc…
La conversación viró hacia el marco normativo NIS 2 y su capacidad para preparar a las organizaciones. La normativa, que obliga a reforzar la ciberseguridad en la cadena de suministro, fue vista como un avance crucial. «En ciberseguridad, no solo tienes que estar tú preparado, sino todas las empresas con las que estás relacionado y tus stakeholders, y NIS 2 aborda la cadena de suministro, que es uno de los principales riesgos en ciberseguridad», señaló Domingo, destacando la dificultad de asegurar que todos los proveedores cumplan. Cristóbal Rodríguez, de Tragsa, reveló una dura realidad: «Nuestros incidentes de seguridad que hemos tenido este año, todos han sido por la cadena de suministro y de proveedores».
Desde la perspectiva de los fabricantes de infraestructura como Lenovo, la respuesta comienza en el nivel más fundamental. Carlos Hernández, responsable comercial de la compañía, explicó su filosofía de «arrancarla desde el silicio», detallando el exhaustivo proceso para garantizar la seguridad desde la fábrica hasta el cliente final, que incluye «tener firmados criptográficamente los firmwares para evitar corrupciones» y exigir certificaciones a todos sus proveedores.
Por su parte, empresas de software como Veeam están redefiniendo su rol. José García, responsable comercial, declaró: «No podemos escurrir el bulto de que no somos una empresa de ciberseguridad, porque el backup y la resiliencia de datos se ponen ahora mismo un activo vital». La estrategia de la compañía se centra ahora en cubrir todo el ciclo de vida del dato, lanzando soluciones para «escanear y etiquetar todos los datos que hay en una organización» y así establecer controles que garanticen un uso seguro.
El debate también distinguió entre la IA que las organizaciones construyen y la «IA embebida» que adquieren a través de productos de terceros. «Es muy importante que cuando hablamos de la IA siempre tiramos a pensar en lo que vamos a construir, pero el mayor apoyo lo tenemos en la IA de todo el set de productos que tenemos», argumentó Pedro Galián, de Renfe. Sin embargo, esta dependencia crea un nuevo desafío: la responsabilidad. «No delegas la responsabilidad, la responsabilidad sigue siendo tuya», sentenció José Borja Tomé.
Finalmente, Mariano Domingo compartió una experiencia reveladora con la implementación de herramientas como Microsoft Copilot. La estrategia seguida de adopción controlada permitió sacar a la luz un aspecto relevante de gestión de la información. «De repente, algunos usuarios vimos que teníamos acceso a información que no recordábamos, porque en algún momento hemos participado en algún proyecto donde se compartió información a las personas que estábamos autorizados” explicó. Esta circunstancia nos obligó a «hacer más énfasis en la formación relativa al acceso a la información con copilot” . demostrando que incluso las aplicaciones de IA aparentemente más inocentes, es necesario gestionarlas y adoptarlas con rigor, adoptando todas las medidas de seguridad necesarias.
El papel de la regulación en la resiliencia digital
Más allá de la eficiencia, la principal preocupación y el único punto en común para la vasta aplicación de la IA es la necesidad de un marco regulatorio sólido que proteja los datos y reduzca los riesgos. Desde la administración pública hasta el sector tecnológico, la regulación se perfila como una guía indispensable para una implementación segura.
Cristóbal Rodríguez, de Tragsa, destacó la importancia de la concienciación de los usuarios como primer paso. «Nosotros estamos haciendo un SICAPE ahora, antes de implantar una EIA oficial del puesto de trabajo, en la formación y concienciación de los usuarios, que sepan, que sean conscientes de la información que tengan, que la califiquen», explicó. «O le das una formación al usuario, que tiende a ser siempre el eslabón más débil, o al final vas a salir en los periódicos más tarde o más temprano».
Carlos Hernández, de Lenovo, argumentó que la heterogeneidad de la IA hace que la regulación sea su único anclaje universal. «Para mí, el único punto común que tiene la IA es precisamente el regulatorio, el de la protección. La IA toca todas las ciencias», afirmó. Comparó su revolución con la llegada de internet, señalando la velocidad como su principal aporte. «Para mí la IA, fundamentalmente, como cualquier herramienta de revolución histórica, lo que aporta es velocidad. El resultado de todos los factores que podamos abordar ahí es que cualquier persona, en cualquier ciencia, puede trabajar más deprisa».
Otro de los interlocutores valoró positivamente el papel de la regulación como una herramienta para la planificación. «La regulación es necesaria. De alguna manera te hace planificar, reflexionar, pensar a lo mejor de una manera más estructurada antes de ponerte en movimiento», expresó, añadiendo que su fin último es humanista, ya que «protege al humano».
Se citó el sector bancario como un ejemplo de cómo una estricta regulación puede impulsar la vanguardia en resiliencia. «Yo creo que es un ejemplo de cómo la regulación te obliga, te permite estar, digamos, a la última, o sea, estar muy preparado», señaló un participante. Esta idea fue respaldada por Mariano Domingo, quien reconoció que marcos como el Esquema Nacional de Seguridad y las directivas europeas están impulsando la adopción de medidas de ciberseguridad en su sector. «Quien nos está empujando a adoptar medidas en el ámbito de resiliencia, junto con la gestión de riesgos, la diligencia debida, experiencia, recomendaciones, etc.., en gran parte, es la regulación cada vez más exigente. Yo lo veo necesario, veo necesario que la regulación exija y ayude a todos los que estamos en todos nuestros sectores».
