La Comunidad de Madrid y ByTIC analizan la ciberseguridad de los ayuntamientos madrileños

Alcaldes, responsables de TI y CISOs de organismos públicos, proveedores de Tecnología… Más de 120 personas se congregaban en el primer evento organizado por ByTIC y la Comunidad de Madrid con un protagonista absoluto: la ciberseguridad en los ayuntamientos.

Un evento en el que los participantes no solo evidenciaban cómo la ciberseguridad se ha convertido en uno de los ejes prioritarios de sus entidades sino que, además, pudieron compartir las experiencias, consejos y necesidades que ellos mismos están viviendo en su reto por proteger la información que gestionan.

La Agencia de Ciberseguridad de Madrid

Información crítica ya que es la de los propios ciudadanos y por ello “hay que protegerla y salvaguardarla con todos los medios posibles, independientemente del color político”, afirmaba Carlos Izquierdo, el consejero de Administración Local y Digitalización de la Comunidad de Madrid que no quiso perderse el evento.

Izquierdo detallaba además durante su intervención la gran apuesta que la Comunidad madrileña está realizando para en el área de la ciberseguridad donde, entre otras iniciativas, pondrá en marcha una Agencia de Ciberseguridad, que actuará en entidades locales de menos de 20.000 habitantes que no disponen de estrategias ni medios para proteger sus redes y sistemas, además de impulsar la seguridad informática en relación con las empresas, en concreto con las pymes y los ciudadanos.

Así, la Comunidad de Madrid está reforzando sus capacidades de ciberseguridad, especialmente de la propia Administración Pública, lo que incluye la información y servicios digitales del sector público y los servicios e infraestructuras esenciales: SERMAS; Canal de Isabel II; 112; Metro de Madrid; o Consorcio Regional de transporte; o Madrid Digital. “Por ello, vamos a incluir entre las diez líneas de las que consta la nueva Estrategia Digital, una específica dedicada a la ciberseguridad, ante el aumento de los ataques y amenazas de estas características en una sociedad cada vez más avanzada digitalmente. Este proyecto servirá de guía para impulsar y consolidar la innovación en todo el territorio, llegando al 100% de la Administración, las empresas y al conjunto de los madrileños”, añadía Carlos Izquierdo.

Cultura de ciberseguridad

La futura Agencia de Ciberseguridad madrileña fue también destacada por Alberto Retana, el director General de Política Digital de la Comunidad de Madrid, “un organismo que será esencial en el contexto en el que vivimos, con un incesante incremento de los ciberataques a los organismos públicos” y que contribuirá a “generar la tan necesaria cultura de ciberseguridad”.

Precisamente sobre cómo generar esa cultura versaba la mesa redonda en la que participaron Fernando de Pablo, director General de la Oficina Digital en Ayuntamiento de Madrid; Enrique Ávila, Director Centro de Análisis y Prospectiva de Guardia Civil; Rosalía Machín, Jefe de Proyectos TIC / Inteligencia Artificial Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad SGSICS-SES del Ministerio del Interior; y Andrés Prado, director del área TIC en UCLM.

Una charla en la que Fernando de Pablo afirmaba que “la dificultad estriba en encontrar el equilibrio entre ciberseguridad y accesibilidad” al tiempo que demandaba una gobernanza a nivel internacional ya que “la colaboración e integración de sistemas de información entre países es esencial para hacer frente a las cada vez más frecuentes y dañinas amenazas a la que todos estamos expuestos”.

Esa colaboración y cooperación fue puesta de manifiesto también por Rosalía Machín que afirmaba cómo, en su día a día, “la colaboración interministerial e intraministerial es básica” y recalcó además la importancia de contemplar la ciberseguridad desde el diseño mismo de cualquier solución o sistema de información.

Por su parte, Enrique Ávila iba más lejos y apostaba por elevar a norma jurídica el Esquema Nacional de Ciberseguridad e, incluso, plantear sanciones por su incumplimiento así como “a fijar una asignación obligatoria presupuestaria por ley en ciberseguridad, tanto en recursos económicos como en talento”.

La experiencia en primera persona frente a un ciberataque tenía la voz de Andrés Prado que compartió con los asistentes cómo la UCLM sufrió un ataque de ransomware hace unos meses y cómo pudieron recuperarse de él, un proceso difícil y muy estresante para el que también solicitaba más cooperación y “sistemas de respuesta más rápidos”.

Amenazas que no cesan

Para mostrar precisamente cómo sobrevivir a un ciberataque un responsable del equipo de respuesta e incidentes en CNN-CERT y Miguel Ángel Castro, SE en CrowdStrike explicaron a los asistentes las distintas amenazas a las que tiene que hacer frente una entidad pública y los diferentes objetivos que las mueven, como los económicos o los políticos.

Así, ambos coincidieron que, para sobrevivir a este tipo de incidentes es primordial una comunicación clara, la implicación total de la dirección o el trabajo en equipo así como investigar para comprender el problema. “Saber qué ha pasado y por qué es la única forma de poder prevenir nuevos ataques”, afirmaban.

La implementación del Esquema Nacional de Seguridad era otro de los grandes temas de la jornada organizada por ByTIC y la Comunidad de Madrid y para explicar cómo lograrla y además en Categoría Alta de Entidades Locales participaba Juan Suárez Iglesias, director de proyectos de tecnologías disruptivas en Fundación UNED, la primera entidad local en conseguirlo.

Un proceso nada fácil pero que Suárez animó a todos a iniciar ya que, según sus palabras, “es necesaria una mayor concienciación y que no se entienda como  cómo un tema obligatorio únicamente”.

Contratación pública y agilidad

Jaime Pintos, abogado experto en contratación pública fue el encargado de analizar otro de los grandes retos que se encuentran las entidades públicas y especialmente los ayuntamientos a la hora de adquirir tecnología y soluciones en su lucha contra las ciberamenazas.

Así, Pintos explicó mecanismos de adquisición como la Compra Pública Innovadora o los Acuerdo Marco que calificó de insuficientes. “Es necesario repensar el modelo para de verdad dotarle de la agilidad necesaria que requieren los organismos públicos. Adquirir tecnologías no puede suponer un proceso de meses; eso va directamente en contra de la tan necesaria innovación”.

Innovación que para Mabel González, jefe servicio de seguridad sistemas de información (CISO) en el Servicio Madrileño de Salud (Sermas) es crucial en temas de ciberseguridad ya que, en el caso de su entidad, además se trata de proteger datos tan críticos como son los relativos a la salud de los ciudadanos.

Un desafío en el que la concienciación de los empleados públicos en crucial así como la necesidad de tomar nuevas medidas adicionales de ciberseguridad ya que la propia digitalización de la sanidad hace que “cada vez tenemos esa barrera del perímetro más difuminada y sea necesario securizar nuevos entornos”.

Inversión en ciberseguridad

Una jornada en la que la ciberseguridad fue eje y denominador común como también lo es de las inversiones que se están realizando desde la Administración española como mostró Carlos Canitrot, director de Consultoría de Adjudicaciones TIC que compartía con todos los presentes cómo la inversión en esta materia no deja de incrementarse.

“La ciberseguridad es uno de los vectores estratégicos del Plan de Recuperación, Transformación y Resiliencia del Gobierno y así se refleja en los más de 121 millones d euros que ha invertido en esta área entre enero y junio de 2022”.

Una cifra de la que el 74,5 por ciento se ha invertido desde la Administración General del Estado; el 11,4 por ciento desde las Comunidades Autónomas; y el 14 por ciento desde las entidades locales.

En concreto, la Comunidad de Madrid encabeza el ranking geográfico de esta apuesta por la ciberseguridad, según explicaba Canitrot, con 13,46 millones de euros invertidos y acciones como el Plan Estratégico 2026 en el que la ciberseguridad y la seguridad de la información constituyen uno de sus pilares.

Una jornada de reflexión y compartir ideas que fue posible gracias a el apoyo de compañías como Crowdstrike, Aruba, Commvault, evolutio, Forcepoint, Grupo Ica, Offshoretech, Trend Micro, Veeam y WatchGuard y en la que los asistentes pudieron además conocer y acceder a formar parte de la Comunidad ByTIC, la Comunidad de Innovación y Tecnología en las Administraciones Públicas para el fomento de las tecnología y la innovación en el Sector Público.