Carlos Tortosa, responsable de Grandes Cuentas de ESET
“La Administración no debe tener miedo y apostar por tecnologías de calidad contrastada”
Cada día son más los riesgos que, en materia de ciberseguridad, corren nuestros organismos públicos. Los ciberdelincuentes han puesto en el punto de mira a la Administración aprovechando años de falta de inversión en actualización de dispositivos o de escasez de recursos en políticas de ciberseguridad, entre otros muchos aspectos.
Sin embargo, para Carlos Tortosa, responsable de Grandes Cuentas de ESET, esto ha cambiado y hoy, además de una mayor concienciación, los organismos públicos cuentan con una importante inyección económica, principalmente derivada de los Fondos Europeos, a la que se suma la necesidad de adaptarse al nuevo Esquema Nacional de Seguridad (ENS).
El caldo de cultivo más propicio para que, realmente, los organismos públicos decidan apostar por políticas, soluciones y servicios de ciberseguridad.
¿Qué presencia tiene actualmente ESET en la Administración Pública española? No sé si puede comentarnos algunos proyectos relevantes que hayan realizado…
Actualmente gestionamos una cartera de clientes importante en este entorno, desde ayuntamientos de cualquier tamaño hasta Administración central pasando por Diputaciones o Administraciones Autonómicas; de hecho, ESET España es un diferencial dentro del ecosistema mundial de ESET por la importante presencia en esta tipología de cuenta. Esta situación se debe principalmente a diferentes características de nuestros productos que nos permite ofrecer la totalidad de nuestras funcionalidades en equipos con recursos muy limitados.
En cuanto a proyectos concretos, únicamente podría reseñar los Ayuntamientos de Sevilla o Valencia y la Consejería de Fomento de la Junta de Andalucía, por cuestiones contractuales.
En el punto de mira de los ciberdelincuentes
El Sector Público se encuentra inmerso en un proceso de digitalización en el que los Fondos Europeos se presentan como una palanca esencial. ¿Cómo cree que va a impactar esta inyección económica en la transformación de la Administración española y qué papel quiere jugar ESET en ese proceso?
Las AA.PP. han tenido de manera endémica una falta de inversión en actualización de dispositivos o una escasez de recursos con respecto a la aplicación de políticas de ciberseguridad, entre otros muchos aspectos.
Esta inyección económica permitirá a una gran parte de estas Administraciones lanzar proyectos que permitan mejorar los dos aspectos que he citado. En ese sentido desde ESET tenemos claro que debemos estar al lado de estas organizaciones participando ya en la definición de los propios proyectos aportando nuestra experiencia y, en segundo término, nuestro catálogo de soluciones que cubren muchos de los aspectos que hasta ahora no se tenían en consideración pero que ahora sí pueden abordarse.
Las AA.PP. cada día están más en el punto de mira de los ciberataques. ¿Por qué cree que se está produciendo este incremento? ¿Es distinto el riesgo que supone para un organismo público un ciberataque que para una empresa privada?
Los riesgos inherentes en un ciberataque no se diferencian en absoluto si el objetivo en una empresa privada o una Administración Pública; lo que sí es diferente es el motivo del ataque o el objetivo que se persigue.
En las AA.PP. están aumentando estos ataques con dos objetivos claros: el beneficio económico, algo que se aplica tanto en ataques a entidades privadas como públicas y,el otro, la denegación de servicio, que muchas veces viene asociado al primer motivo que citábamos y que permite al atacante tener visibilidad pública del delito cometido, porque al final cualquier ciberataque que se produce es por definición un delito digital.
Teniendo en consideración estas observaciones podríamos también afirmar que en muchos casos las AA.PP. han aplicado políticas de seguridad menos robustas que las empresas privadas, teniendo en cuenta lo que comentábamos anteriormente: la falta de recursos. Pero esto que afirmamos nosotros los atacantes también lo saben conformando la siguiente estructura a la hora de diseñar un ataque a un organismo públlico: baja protección + beneficio económico + denegación de servicio (publicidad).
Cambios en el ENS
¿Y cree entonces que, actualmente, los organismos públicos sí están realmente concienciados de la importancia de securizar sus infraestructuras e información?
Precisamente con la llegada de los Fondos Europeos y la adecuación al nuevo Esquema Nacional de Seguridad (ENS) el mercado tiene la percepción de que está aumentando la sensibilidad de la AA.PP. en ese sentido. Si bien por el propio objetivo de estas organizaciones, facilitar servicios al ciudadano y consecuentemente almacenar sus datos, debería ser suficiente para que el nivel de protección fuera el máximo posible, habitualmente los administradores de sistemas o técnicos de ciberseguridad se han encontrado constantemente trabas para poder implantar las mejores medidas posibles. Principalmente estas trabas han sido las económicas, que ahora quedarían mitigadas por los Fondos, pero además nos encontramos con el obligado cumplimiento del ENS que también ayudará en todo este escenario.
¿Cómo debe ser la estrategia de seguridad de un organismo público?
No debe diferir mucho del que se aplicaría a una empresa privada, pero de manera esquemática diría que: primero que nada, definir activos y procesos aplicables a la ciberseguridad, evaluar riesgos y perímetro, definir medidas y conformar una política de ciberseguridad que debe ser aplicada y explicada a todos los niveles. A partir de aquí ya se podría hablar de contratar soluciones y servicios para poder aplicar la política definida.
Ahora bien, en el ámbito de las AA.PP. hay otras variables como el cumplimiento normativo: la adecuación al ENS, la protección de la información de carácter personal incluida en el RGPD, etc., que se tendrían que ir aplicando dentro de la estrategia en todos los niveles.
Concienciar al ciudadano
En ese camino hacia la Administración Digital segura un aspecto fundamental es la concienciación y formación de los empleados públicos y de los ciudadanos. ¿Cómo pueden ayudar o qué iniciativas está liderando ESET en ese reto de formar digitalmente a los ciudadanos?
ESET se ha volcado siempre en todo aquello que tenga que ver con la formación y concienciación en cualquier ámbito de la ciberseguridad. Estamos acostumbrados a participar en foros específicos o en impartir formaciones en institutos o universidades, pero también colaboramos con empresas privadas y Administraciones Públicas donde podemos aportar nuestra experiencia a la hora de ampliar los conocimientos en estos ámbitos.
Respecto a la ciudadanía en general considero que se ha de contar con herramientas colaborativas y de fácil acceso para cualquier ciudadano que sean concienciadoras, intuitivas y de contenidos ajustados a cualquier nivel de conocimientos; de esta forma tendremos capacidad de democratizar la tecnología y su seguridad a cualquier nivel.
¿Cuáles considera que deben ser las claves para que realmente el Plan de Digitalización de las AA.PP. del Gobierno sea un éxito? ¿Qué líneas estratégicas cree que deben marcar ese plan para que sea finalmente la oportunidad única que como país todos señalan?
Dentro del Plan de Recuperación, Transformación y Resiliencia se ha puesto en marcha el llamado Plan de Digitalización de las AA.PP. cuyo periodo de validez finaliza en 2025. Los objetivos definidos en dicho plan hablan específicamente de accesibilidad, modernización y democratización por lo que las normas básicas a aplicar para llevar a cabo el citado plan vendrán definidas por los propios objetivos. Pero al mismo tiempo se deberán aplicar una serie de criterios que permitan que los objetivos se cumplan con unas mínimas garantías de calidad: hablaríamos de formación, como ya hemos comentado y de los diferentes niveles tecnológicos aplicables a los ciudadanos o hablaríamos también de seguridad, donde esta accesibilidad a la información debe mantener las máximas normas aplicables a la hora de proteger los datos.
Considero que el Plan puede ser un éxito y realmente se podrá poner en el siglo XXI a toda la Administración Pública si tenemos en cuenta que es necesario definir claramente las necesidades de cada una de ellas y magnificar los recursos requeridos a la realidad y no a la teoría; de ahí que las estrategias diferirán según la tipología de la entidad y requerirán de un estudio pormenorizado, en muchos casos externo, para definir las mismas.
Apostar por la tecnología
Y ya desde el lado más concreto del negocio de ESET. ¿Qué le piden a la Administración para poder seguir siendo la compañía que son en nuestro país? ¿Qué demandas tienen o qué mejoras podría realizar el Ejecutivo para ayudarles a seguir invirtiendo y apostando por España?
La primera frase que me viene a la cabeza sería “no tener miedo”. Una parte de las AA.PP. mantiene cierta inercia en el uso de soluciones y servicios por mucho que se pueda constatar que el mercado ha evolucionando, proporcionando tecnología puntera, por lo que pediríamos que aplicaran criterios que son más palpables en la empresa privada: cada nueva necesidad se ha de buscar en el mercado, testar y confirmar que cumple con las expectativas depositadas en esta tecnología.
En cuanto a las demandas directas al Ejecutivo diría que es difícil de encuadrar en mejoras concretas: tenemos presencia y mantenemos buena relación con una gran parte de la AA.PP, cuestión que ya hemos comentado; además colaboramos de manera altruista con los cuerpos de fuerzas y seguridad del estado, aplicándose aquí lo que seria para nosotros nuestra política de responsabilidad social, devolviendo a estos estamentos toda nuestra inteligencia como especialistas en ciberseguridad. Por lo que para conseguir una mejora no iríamos a cosas concretas, sino más bien a mejorar la percepción que en general tienen las AA.PP. de tener políticas, soluciones y servicios de calidad contrastada.