“Tenemos que hacer malabares con recursos limitados, lo que nos obliga a ser realmente creativos e innovadores”
En el corazón de Bizkaia se encuentra Abadiño, un municipio de apenas 7.500 habitantes que tiene en Gorka Arroyuelos a su CIO desde 2022. Este experto, con más de dos décadas de experiencia en el sector, ha asumido el reto de liderar la transformación digital del Ayuntamiento.
En esta entrevista con ByTIC, Gorka Arroyuelos, CIO de Abadiño, desgrana algunos de los principales retos a los que se enfrenta en su puesto
¿Cuáles son las principales responsabilidades que tiene en su cargo?
Mi rol como CIO es ser el catalizador de la innovación tecnológica en nuestro municipio, equilibrando las necesidades actuales con una visión de futuro, siempre dentro de nuestras limitaciones presupuestarias y operativas propias de una administración local de nuestro tamaño.
Nuestro municipio tiene la particularidad de abarcar gran extensión de territorio y estar muy diseminado, por lo que mis funciones abarcan un espectro más amplio que la seguridad informática, centrándome en la gestión integral de la tecnología y la información para impulsar la eficiencia y la innovación en nuestro ayuntamiento.
Mi responsabilidad principal es liderar la estrategia tecnológica del municipio, alineándola no solo con los objetivos del equipo de gobierno sino con nuestros objetivos generales como administración local. Esto implica la supervisión de los sistemas de información, desde la infraestructura de red hasta los servicios digitales para los ciudadanos.
En el ámbito de la transformación digital, estoy al frente de iniciativas de modernización de nuestros procesos administrativos. Hemos implementado una plataforma de e-administración que permite a nuestros ciudadanos y a todas las personas y empresas que deben estar en contacto con nosotros la realización de trámites en línea, reduciendo significativamente los tiempos de espera y mejorando la accesibilidad de los servicios municipales.
Otra área de enfoque es la implementación de soluciones de ciudad inteligente. Estamos comenzando con el despliegue de sensores IoT para optimizar servicios como la gestión del alumbrado público, el servicio de aguas o acceso a zonas del municipio. Estos proyectos no solo han de mejorar la calidad de vida de los ciudadanos del municipio, sino que también han de contribuir a la sostenibilidad del municipio.
La formación del personal municipal en competencias digitales es otra de mis prioridades. Estamos organizando talleres y programas de formación para asegurar que nuestros usuarios internos puedan aprovechar al máximo las herramientas tecnológicas que ponemos a su disposición.
En cuanto a la seguridad, trabajo en estrecha colaboración con nuestro equipo de seguridad para garantizar que nuestras iniciativas tecnológicas cumplan con los estándares de seguridad y las normativas vigentes.
¿Cómo responde a ellas?
Mi enfoque para responder a las responsabilidades y desafíos es integral y dinámico, combinado estrategias preventivas y reactivas para mantener nuestros sistemas seguros y eficientes.
El día a día siempre es complicado, especialmente en un municipio con nuestra particularidad, que está en la frontera entre pequeño y mediano. Constantemente estoy tratando de estar al tanto de las últimas actualizaciones tecnológicas, lo que se siente como una carrera sin fin contra las ciberamenazas. Además, me enfrento al desafío de gestionar las expectativas no solo de los ciudadanos sino del equipo de gobierno, equilibrando sus demandas con nuestras capacidades técnicas y presupuestarias. Esta tarea requiere una comunicación constante y clara para asegurar que todos entiendan nuestras prioridades y limitaciones en materia de seguridad y transformación digital.
Luchando para optimizar nuestros recursos limitados, priorizamos nuestras inversiones en seguridad basándonos en un análisis detallado de riesgos. Esto nos permite enfocarnos en soluciones de seguridad consolidadas como firewalls de última generación, mientras avanzamos en la implementación de un modelo de arquitectura Zero Trust. Este enfoque no solo mejora nuestra postura de seguridad, sino que también nos ayuda a maximizar el impacto de cada inversión en un contexto de presupuesto limitado. Además, estamos explorando colaboraciones con otras administraciones locales para compartir recursos y conocimientos, lo que nos permite acceder a capacidades que de otro modo estarían fuera de nuestro alcance.
Ahora bien, no todo es prevención. También tenemos que estar preparados para lo inesperado. Por eso, hemos desarrollado un plan de respuesta estructurado para gestionar incidentes de seguridad. Este plan es nuestro manual de emergencia digital. Para asegurarnos de su eficacia, realizamos simulacros y ejercicios periódicos que nos permiten probar y mejorar nuestros procedimientos de respuesta. Estos ejercicios son cruciales para que todo el equipo, no solo el personal de TI entienda su papel en caso de una cibercrisis.
Lo implementamos para garantizar que nuestros servicios municipales críticos sigan funcionando incluso en situaciones de crisis. Aunque nada te asegura una tranquilidad absoluta, intentamos estar lo más preparados posible para enfrentarnos y recuperarnos de posibles ciberincidentes. Además, mantengo relaciones estrechas con otras administraciones locales y forales, lo que nos permite compartir experiencias y mejores prácticas en materia de ciberseguridad.
Dada la limitación de recursos que tenemos como municipio pequeño, la colaboración con nuestros proveedores externos especializados es esencial. Me permite acceder a conocimientos y tecnologías avanzadas que, de otro modo, estarían fuera de nuestro alcance.
Y, por supuesto, nunca dejo de aprender. Me mantengo en constante formación para anticiparme a las nuevas amenazas. Es fascinante y a la vez desafiante cómo evolucionan las ciberamenazas y como tenemos que estar siempre alerta.
Este enfoque 360 me permite abordar de manera efectiva mis responsabilidades. Asegurando la protección de nuestros activos digitales de nuestro municipio y, al mismo tiempo, fomentando la innovación tecnológica dentro de nuestras limitaciones. Es un equilibrio delicado, pero es lo que hace que mi trabajo sea tan gratificante y crucial para nuestra comunidad.
¿Y los principales retos o desafíos?
El equilibrio entre seguridad y recursos limitados es, sin duda, uno de nuestros mayores retos. Con un presupuesto ajustado, debemos priorizar cuidadosamente nuestras inversiones en seguridad, enfocándonos en las soluciones que ofrezcan el mayor impacto. Esto implica un análisis constante de riesgos y una gestión creativa de los recursos disponibles.
La concienciación del personal es otro desafío crucial. Los usuarios son a menudo el eslabón más débil en la cadena de seguridad, y concienciarlos sobre las mejores prácticas de ciberseguridad es una tarea continua. Organizamos regularmente sesiones de formación y campañas de concienciación, pero mantener el interés y la atención de los usuarios en estos temas sigue siendo un reto.
Mantenerse al día de las ciberamenazas en constante evolución es particularmente desafiante para un municipio pequeño, sin el presupuesto de las grandes organizaciones, debemos ser especialmente creativos en nuestra aproximación.
Esto implica aprovechar al máximo los recursos gratuitos disponibles, como las alertas del CCN-CERT o el INCIBE, y colaborar estrechamente con otras administraciones locales para compartir conocimientos y mejores prácticas.
La falta de personal técnico especializado es otro reto significativo. En un municipio pequeño, a menudo es necesario asumir múltiples roles, lo que puede dificultar la profundización en áreas específicas de la seguridad informática.
Estos retos exigen una aproximación estratégica, priorizando las iniciativas más críticas y buscando soluciones innovadoras que nos permitan maximizar la seguridad dentro de nuestras limitaciones presupuestarias y de personal.
¿Cómo han cambiado, tanto los retos como las responsabilidades, a lo largo de los años?
Los retos y responsabilidades de los CIO en la administración pública han experimentado una transformación significativa a lo largo de los años, reflejando la evolución tecnológica y las crecientes demandas digitales de la sociedad.
En el pasado, la seguridad en un ayuntamiento se centraba en proteger elementos básicos como el correo electrónico y las bases de datos. Sin embargo, la transformación digital ha ampliado considerablemente el alcance de estas responsabilidades. Ahora, nos enfrentamos ciberamenazas más sofisticadas que apuntan a nuestros sistemas críticos como las plataformas de e-administración y los sensores IoT, que se han vuelto objetivos potenciales para los ciberataques.
Esta evolución ha llevado a un cambio fundamental en el papel del CIO, pasando de ser un mero proveedor de tecnología a convertirse en un asesor estratégico y socio comercial clave. Las responsabilidades actuales incluyen la gestión estratégica, planificación a largo plazo, el establecimiento de alianzas con otras administraciones y la implementación de programas de formación para el personal.
El auge de la nube ha sido otro factor transformador. Los CIO ahora navegamos por un entorno híbrido, equilibrando las ventajas de la flexibilidad en la nube con la gestión de costes y la seguridad de nuestros datos.
Además, los CIO nos enfrentamos al desafío de atraer y retener talento en el sector público, así como de mantener actualizadas las habilidades de nuestro equipo en un panorama tecnológico en rápida evolución. La formación continua y la adaptación a nuevas tecnologías como la inteligencia artificial, el machine learning y la robótica se han vuelto esenciales.
La pandemia del COVID-19 aceleró aún más estos cambios, poniendo a prueba nuestra capacidad para mantener la continuidad del negocio y la seguridad en un entorno de trabajo remoto, debiendo implementar VPN, para garantizar las conexiones seguras, doble factor de autenticación y la gestión de identidades y accesos, dejando atrás el clásico usuario y contraseña.
Por concluir, el papel del CIO ha evolucionado de ser un gestor de tecnología a un facilitador de la transformación digital, un estratega de seguridad y un impulsor clave de la innovación en la administración pública. Los retos actuales requieren una visión 360 que integra la tecnología con los objetivos estratégicos de la organización, siempre manteniendo un equilibrio entre la innovación y la seguridad.
¿Qué particularidades tiene el ser responsable de un ayuntamiento de un municipio “pequeño”?
Las particularidades son únicas y desafiantes. El presupuesto es siempre nuestro mayor reto. A diferencia de las grandes ciudades, nosotros tenemos que hacer malabares con recursos limitados, lo que nos obliga a ser realmente creativos e innovadores en nuestras soluciones.
Lo fascinante es que, en esencia, hacemos lo mismo que los municipios grandes, pero con menos dinero y mayor creatividad. Implementamos plataformas de e-administración, desplegamos sensores IoT para ciudades inteligentes, gestionamos la ciberseguridad y modernizamos nuestros servicios digitales. La diferencia radica en que tenemos que ser mucho más ingeniosos en cómo aprovechamos cada euro invertido.
Un día estás gestionando la seguridad de la red, al siguiente estás planificando la implementación de un nuevo sistema de e-administración, y al otro estás formando al personal sobre ciberseguridad. Es un trabajo que requiere versatilidad, ya que no siempre contamos con un equipo técnico especializado detrás. Muchas veces me toca asumir múltiples roles, desde experto en seguridad hasta gestor de proyectos.
Pero no todo son desafíos. Una de las cosas que más disfruto es que en un municipio de nuestras características, puedes ver directamente el impacto de tu trabajo. Cuando implementamos un nuevo servicio online o mejoramos la seguridad de nuestros sistemas, recibimos feedback inmediato. Esta cercanía nos permite una comunicación más directa y efectiva, lo que facilita la implementación de cambios y nos ayuda a ajustar nuestras estrategias rápidamente.
Ser el responsable tecnológico de un ayuntamiento mediano – pequeño es como ser un chef en un restaurante familiar: tienes que ser creativo con los ingredientes que tienes, adaptarte rápidamente a los gustos cambiantes de tus comensales, y al final del día, la satisfacción viene de ver cómo tu trabajo mejora directamente la experiencia de tu comunidad. La clave está en nuestra capacidad para innovar y hacer más con menos, igualando los servicios de las grandes ciudades, pero con un toque de ingenio y cercanía que solo un municipio pequeño puede ofrecer.
¿Cómo es su relación con otras administraciones (tanto locales como autonómicas o nacionales)?
La relación con otras administraciones es fundamenta, te diría que independientemente del tamaño. Nuestra colaboración con entidades autonómica, forales y locales es estrecha y constante, especialmente en temas de ciberseguridad, atención ciudadana y cumplimiento normativo.
¿En qué tecnologías confía más? ¿Por qué?
Confiamos especialmente en tecnologías que nos permiten optimizar recursos y mantener una postura de seguridad robusta.
En particular, hemos apostado por implementar soluciones de acceso de Confianza Cero (ZTNA) y redes MPLS.
La arquitectura ZTNA ha transformado nuestra forma de gestionar el acceso remoto. A diferencia de las VPN tradicionales, ZTNA nos permite proporcionar un acceso granular a aplicaciones específicas, en lugar de a toda la red. Esto ha mejorado significativamente nuestra seguridad, ya que seguimos el principio de “nunca confiar, siempre verificar”. Cada vez que un usuario intenta acceder a un recurso, su identidad y la postura de seguridad de su activo son rigurosamente verificadas.
Una de las ventajas clave de ZTNA para nuestro municipio es que facilita el acceso seguro desde cualquier ubicación y activo. Esto ha sido particularmente valioso durante la transición al trabajo remoto. Ahora podemos ofrecer una seguridad consistente independientemente de dónde se encuentren nuestros usuarios o a los recursos que necesiten acceder.
Por otro lado, seguimos confiando en redes MPLS para nuestras conexiones críticas. Las MPLS nos proporcionan un alto rendimiento y baja latencia para aplicaciones sensibles, como videoconferencias o sistemas de gestión en tiempo real. La combinación de ZTNA para acceso remoto y MPLS para conexiones críticas nos permite mantener un equilibrio entre seguridad, rendimiento y flexibilidad.
Esta estrategia nos ha permitido ser más ágiles y seguros, adaptándonos a las necesidades cambiantes de nuestro municipio y nuestros ciudadanos, todo ello dentro de las limitaciones presupuestarias propias de una administración local de nuestro tamaño.
¿Puede dar nombres de empresas con las que trabaje y los ámbitos en los que lo hace?
Colaboramos con diversas empresas para cubrir nuestras necesidades tecnológicas y de seguridad. En el ámbito de la seguridad de redes, trabajamos con empresas como Palo Alto, Cisco y Aruba que nos proporcionan soluciones robustas y adaptadas a nuestras necesidades específicas.
Para el mantenimiento de nuestras infraestructuras, contamos con diversos proveedores, pero nuestro mayor apoyo es ITS-Ayesa, que nos ofrecen un servicio cercano y personalizado.
Es necesario pensar que nuestros proveedores son en la mayor parte de las ocasiones consecuencias de licitaciones públicas, por lo cual es muy importante que las bases tecnológicas sobre los que se adjudican esas licitaciones sean robustas y estables.
¿Entienden las empresas de tecnología las particularidades de las AAPP?
La comprensión de las particularidades de las Administraciones Públicas pequeñas por parte de las empresas de tecnología es variada.
Las empresas que realmente destacan en este ámbito son aquellas que comprenden nuestras restricciones presupuestarias y los procesos burocráticos más lentos que caracterizan a esta tipología de AAPP.
Un aspecto crucial es que las empresas deben entender que nuestros tiempos de implementación y toma de decisiones suelen ser de forma general más largos debido a los procesos administrativos y legales que debemos seguir y la falta de personal. Las empresas que tienen éxito trabajando con nosotros son aquellas que pueden ajustarse a estos plazos y ofrecer un soporte continuo durante todo el proceso y son conscientes de la importancia de la transparencia y la rendición de cuentas en el sector público.
Sin embargo, aún quedan empresas, cada vez menos, que no asumen que tenemos presupuestos limitados o que no podemos tomar decisiones rápidas sin considerar los procesos de contratación pública. Esto, en ocasiones, nos lleva a propuestas que, aunque tecnológicamente avanzadas, no son viables en nuestro contexto.
¿Puede la Administración Pública ser innovadora en materia tecnológica? ¿Qué ejemplos (propios o de otras AAPP) destacaría en este sentido?
Por supuesto, la Administración Pública no solo puede ser innovadora en materia tecnológica, sino que debe serlo. A pesar de nuestras limitaciones presupuestarias y los procesos burocráticos más lentos, muchas administraciones están implementando soluciones tecnológicas innovadoras para mejorar los servicios a los ciudadanos y la eficiencia interna.
Entre los ejemplos destacados de innovación tecnológica en la Administración Pública podemos hablar del desarrollo de las Ciudades inteligentes, la digitalización de trámites, la app Mi Carpeta Ciudadana y el cambio de paradigma en el acceso a la información de los servicios públicos, el uso de Inteligencia Artificial y el uso de asistentes virtuales.
¿De qué proyecto se siente más orgulloso?
Elegir un proyecto del que me sienta orgulloso es como elegir entre un hijo y otro, ya que cada iniciativa tiene su propio valor y significado. Sin embargo, lo que realmente me llena de orgullo es cómo afrontamos la crisis provocada por la COVID-19. En una mañana, logramos adaptarnos y estar completamente operativos, lo que demuestra no solo la resiliencia y la capacidad de respuesta de nuestro equipo, sino el trabajo que habíamos ido realizando durante los años anteriores, anticipándonos a unas necesidades de movilidad que la COVIDd-19 ha adelantado.
Nuestro equipo hablaba de movilidad cuando en nuestra organización no se planteaba esta necesidad.
La transición de una infraestructura cerrada a una política de seguridad perimetral fue un desafío monumental, pero lo hemos manejado con eficacia. Implementar esta nueva estrategia no solo ha implicado cambios técnicos significativos, sino también una reestructuración en nuestra forma de trabajar y colaborar.
La rapidez con la que pudimos adaptarnos a las nuevas circunstancias y garantizar la continuidad de los servicios municipales es un testimonio del compromiso y la dedicación de todo el equipo.
Este proyecto no solo resalta nuestra capacidad para enfrentarnos a posibles crisis, sino que también establece un precedente para futuras iniciativas de modernización y transformación digital en nuestro municipio. La experiencia adquirida durante este proceso ha sido invaluable y ha fortalecido nuestra postura en materia de ciberseguridad, preparándonos mejor para cualquier desafío futuro
¿En qué planes de futuro trabaja para modernizar su administración?
Nuestros planes de futuro para modernizar la administración se centran en dos áreas clave.
En primer lugar, estamos trabajando en la configuración de la telemetría para implementación de un Centro de Operaciones de Seguridad (SOC) a escala municipal. Este es un paso crucial para mejorar nuestra postura de ciberseguridad.
El SOC nos permitirá monitorizar y analizar continuamente nuestra infraestructura de TI, detectar amenazas en tiempo real y responder de forma rápida a cualquier incidente de ciberseguridad. Dada nuestra limitación de recursos, me gustaría explorar la posibilidad de colaborar con municipios vecinos para crear un SOC compartido, lo que nos permitiría aprovechar economías de escala y compartir conocimientos.
En segundo lugar, estamos explorando el uso de inteligencia artificial y machine learning para mejorar la gestión de incidencias y servicios a la ciudadanía.
Veo un gran potencial en la IA para la automatización de tareas rutinarias, analizar grandes volúmenes de datos y proporcionar insights que nos ayuden a tomar mejores decisiones.
Por ejemplo, estamos considerando la implementación de chatbots impulsados por IA para proporcionar atención a la ciudadanía 24/7 y sistemas de análisis predictivo para anticipar las necesidades de servicios municipales.
Por último, el gobierno del dato es otra área en la que estamos trabajando de forma muy intensa. Se trata de establecer políticas claras sobre cómo se manejan, almacenan y protegen nuestros datos. Esto no solo incluye la protección de información sensible, sino también garantizar que cumplimos con las normativas vigentes. Al tener un enfoque sólido en el gobierno del dato, podemos gestionar mejor los riesgos asociados a la seguridad y garantizar la integridad y disponibilidad de la información municipal.
Estos proyectos representan un equilibrio entre mejorar nuestra seguridad y ofrecer servicios más eficientes a nuestros ciudadanos. Aunque somos un municipio pequeño, creemos que estas iniciativas nos permitirán ofrecer servicios de calidad comparable a los de ciudades más grandes, siempre adaptándonos a nuestras limitaciones presupuestarias y aprovechando al máximo las nuevas tecnologías.
Algo que le gustaría poder hacer y que aún no ha logrado
En primer lugar, mi objetivo profesional más ambicioso es implementar una estrategia de ciberseguridad completamente automatizada que incorpore inteligencia artificial y machine learning. Esta solución nos permitiría responder a posibles ciberincidentes de forma ágil y en tiempo real, mejorando significativamente nuestra postura de seguridad. La IA y el ML nos ayudarán a detectar amenazas de manera más eficiente, analizar patrones de comportamiento anormales y tomar decisiones rápidas para mitigar riesgos.
Otro aspecto que me entusiasma es la posibilidad de canalizar toda mi experiencia en la formación de las nuevas generaciones. Me gustaría participar en programas de máster o colaborar con escuelas de negocios para compartir conocimientos prácticos sobre ciberseguridad en el sector público. Creo que es fundamental preparar a los futuros profesionales para los desafíos únicos que enfrentamos en municipios pequeños.
Y, por último, pero no menos importante, en el plano puramente personal, tengo un fuerte deseo de contribuir en la lucha contra el ciberbullying. Considero que es crucial formar a las nuevas generaciones en este aspecto. Me gustaría desarrollar e implementar programas educativos integrales que aborden la prevención del ciberacoso, la promoción de una ciudadanía digital responsable y el uso ético de la tecnología.
