“La Inteligencia Artificial y el Aprendizaje automático puede ser un gran aliado en seguridad”

María Remedios González Hernández, CISO del Ayuntamiento de Murcia

María Remedios González es la máxima responsable de seguridad del Ayuntamiento de Murcia. Sus funciones y responsabilidades están definidas en la Política de Seguridad interna y, como tal, debe elaborar y dar a conocer la Política y Normativa de Seguridad de la Información. En esta entrevista repasa sus principales retos y cómo los afronta.

¿Cuáles son las principales responsabilidades que tiene en su cargo?

Debo velar por el cumplimiento del marco normativo mediante la validación de la implantación de los requisitos de seguridad tal y como establece el Real Decreto 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

En el ámbito de la aplicación de RGPD, coordino y controlo las medidas de seguridad tanto técnica como organizativa que apliquen en virtud a lo dispuesto en base al ENS para garantizar la disponibilidad, confidencialidad e integridad de la información.

Validar los Planes de Continuidad de Negocio y las directrices propuestas que elabora el Responsable de Sistemas, para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios. En este sentido no solo de los Sistemas internos sino también de aquellos sistemas que ofrezcan servicios al Ayuntamiento de Murcia y tengan apoyo en las Tecnologías de la Información mediante la revisión de todos los contratos o licitaciones que desde nuestra organización se generen.

Para garantizar el nivel de seguridad definido, se ha creado un Plan de Análisis Riesgos de nuestros activos, y las soluciones para mitigar las amenazas y vulnerabilidades a las que nos podemos encontrar expuestos así como la probabilidad e impacto que pudiera tener un incidente. En caso de que algún sistema se viese comprometido, debo gestionar y analizarlo con el fin de mitigar en lo máximo posible dicho impacto sobre los activos de la organización revisando de manera periódica el estado de la Seguridad de la Información: eventos, logs, etc, que se generan sobre los sistemas, para detectar de manera temprana algún comportamiento extraño o poco usual.  

Los límites económicos y humanos nos han obligado a tener que innovar para poder protegernos en seguridad

Otra de mis responsabilidades recae en el ámbito de la formación y concienciación, muy importante por ser uno de los principales vectores de ataques dentro de cualquier organización, elaborando anualmente o cuando las circunstancias así lo requieran, los Planes de Formación y Concienciación del personal municipal en materia de Seguridad de la Información y definiendo junto con el mismo las campañas de ingeniería social orientadas conocer y reforzar el nivel de Concienciación de nuestros usuarios.

Las labores de consultoría también recaen sobre mi persona con el fin de adecuar nuestros, desarrollos, accesos, servicios, infraestrunturas, comunicaciones, m redes, sistemas, etc, se adecúan a los procedimientos y normativas definidos para una correcta auditoría. Todos estos documentos, son documentos vivos que vamos adaptándolos a las circunstancias y momentos.

Previo a la auditoría que por ley debemos someternos y tratando que estas se realicen con la frecuencia necesaria, realizo las consultorías sobre nuestros sistemas para conseguir el nivel de madurez deseado y siempre de la mano Real Decreto del ENS.

¿Cómo responde a ellas?

Trabajando en estrecha colaboración con todas las áreas del Servicio Municipal de Informática para determinar los niveles aceptables de riesgos de seguridad de TI en las infraestructura y comunicaciones, implantando procesos de gestión de riesgos, adquisición y administración de tecnología adecuada en materia de ciberseguridad,  diseño de estrategia TI en redes, evitar que no se produzcan infracciones internas, determinando la causa de las violaciones de datos internas y externas, aplicando las acciones correctivas adecuadas, respuesta ante incidentes, establecer estándares apropiados, administrar tecnologías de seguridad.

¿Cuáles son los principales retos?

No cabe duda que una brecha de seguridad puede provocar una gran impacto no solo económico si no reputacional, poniendo en peligro la continuidad de los servicios que el Ayuntamiento de Murcia ofrece no solo a nivel interno si no de cara a la ciudadanía, es por esto mismo que se están implantando soluciones basadas en la ciber-resiliencia para que en caso de que suframos un ciberataque sobre nuestros sistemas, poder restablecer los servicios lo más pronto posible sin que la continuidad del negocio se vea afectada.

El puesto o rol de CISO no ha tenido gran relevancia hasta la fecha

¿Cómo han cambiado, tanto los retos como las responsabilidades, a lo largo de los años?

Los retos junto con las responsabilidades han variado mucho desde la pandemia pero donde han tenido un mayor punto de inflexión, ha sido a raíz de la guerra de Rusia-Ucrania. En pandemia con ataques al teletrabajo, ya que muchas organizaciones como AAPP no estaban preparadas para ofrecer servicios vía RDP, viéndose afectadas en este sentido por no disponer de las herramientas, medios y en especial conocimiento a nivel de ciberseguridad por haber sido un área que hasta ese momento siempre había quedado en un segundo plano, pero con la guerra el papel y el rol del CISO ha adquirido una mayor relevancia e importancia, ya que los ataques son mucho más sofisticados. Actualmente igual que existen empresas orientadas en ofrecer servicios en ciberseguridad avanzada, también nos encontramos con empresas que se dedican al desarrollo de herramientas ciberofensivas tomando gran protagonismo de esta forma el área de ciberseguridad en cualquier organización.

¿Cree que se ha puesto en valor la figura del responsable de seguridad en los últimos tiempos? ¿Por qué y a qué cree que es debido?

Esta pregunta está muy relacionada con la anterior, ya que el puesto o rol de CISO no ha tenido gran relevancia hasta la fecha. Las formas de delinquir han variado y evolucionado a ser unas de las formas con las que más dinero se genera frentes a los modelos tradicionales. El hecho de que un ciberdelincuente desde su propia casa pueda delinquir, sin ser expuesta su identidad y con tan solo una conexión a internet, ha hecho que surjan diferentes tipos de delincuentes, desde delincuentes aficionados hasta más avanzados y sofisticados como pueden ser empresas especializadas en ciberataques.

¿Cuál es, en su opinión, la principal amenaza a la que tienen que hacer frente los ayuntamientos como el suyo?

Un ataque ransomware, al menos en mi caso, por el impacto y gravedad que pueda ocasionar en la organización repercutiendo en la indisponibilidad de servicio. En caso de que no se disponga de un buen sistema de backup y recuperación, los daños pueden ser incontables. Es por ello muy importante tener diseñado un Plan de Continuidad de Negocio basado entre otros por los planes de Contingencia de las Tecnologías de la Información y Comunicaciones y Plan de Recuperación ante Desastres, nos va a permitir tener planificada las actuaciones a llevar a cabo en aras de conseguir una restauración ágil, progresiva y ordenada de los Sistemas de Información, centrándose en el restablecimiento de los servicios y la infraestructura que soportan los procesos críticos.

¿Y qué parte de la seguridad es más difícil de gestionar? ¿Por qué?

Yo diría que más que un área es la gestión en sí misma, cuando hablamos de ciberseguridad generalmente tendemos a simplificarlo a disponer de un antivirus, un cortafuegos, contraseñas robustas, etc, pero nos olvidamos de que para poder implantar una zona segura hay muchos otros frentes que debemos abordar, desde disponer herramientas más sofisticadas para una detección temprana, como personal más cualificado y en constante formación sobre herramientas, nuevas formas de ataque, como concienciar al usuario de la importancia de hacer un correcto uso de los medios que se les pone a su alcance.

¿En qué tecnologías confía más? ¿Por qué?

Sin ninguna duda la Inteligencia Artificial, permite analizar rápidamente millones de eventos mediante su correlación e identificar diferentes tipos de amenazas, desde malware que explota vulnerabilidades de día cero hasta identificar comportamientos de riesgo que pueden conducir a un phishing, a un ciberataque o descarga de código malicioso desde cualquier sitio. Esta tecnología junto con el Aprendizaje automático puede ser un gran aliado basándose en hechos ya acontecidos para identificar nuevos tipos de ataques en el presente creando patrones de comportamiento basados en perfiles, activos y redes, lo que permite una mejor respuesta. Pero no solo es un gran aliado en la ciberdefensa de nuestros sistemas, también están siendo usadas y explotadas por los ciberdelincuentes para perpetrar ataques más sofisticados y explotación de vulnerabilidades.

¿Entienden las empresas de tecnología las particularidades de las AAPP?

Yo creo que sí, al menos eso es lo que me han demostrado. El hecho de que el pasado año se reformara el Real Decreto sobre el Esquema Nacional de Seguridad, donde también se exige a las empresas privadas que ofertan servicios tecnológicos como productos, que estén certificadas en el Esquema Nacional de Seguridad o que sus soluciones se encuentren en catálogo STIC 105 del CCN, ha hecho que los intereses sean similares cubriendo mejor nuestra demanda y necesidades.

¿Puede la Administración Pública ser innovadora en materia tecnológica? ¿Qué ejemplos (propios o de otras AAPP) destacaría en este sentido?

Yo creo que sí por los límites  que tenemos, ya sea tanto económico o como humanos, esto nos ha obligado a tener que innovar e inventar para poder protegernos de una manera más eficiente y segura. Pues creo que en este sentido está la Red Nacional de SOC impulsada por el Centro Criptológico Nacional para integrar y coordinar los Centros de Operaciones de Ciberseguridad del sector público. A este red todos los organismos públicos se han adherido, para compartir información y mejorar con ello las capacidades nacionales de defensa, detección y respuesta a posibles ciberincidentes.

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?

ByTIC Media