Public Sector Day: el sector público ante el cloud y la seguridad
El cloud es un viejo conocido y la ciberseguridad una prioridad para todas las administraciones públicas. Pero entre ambos fenómenos hay muchas líneas y zonas intermedias que las administraciones públicas gestionan de diferente forma. Con el fin de echar un vistazo a la situación actual, así como a los desafíos y retos de cara al futuro (incluso el más inmediato), ByTIC celebró recientemente su Public Sector Day de la mano de AWS y Zscaler.
En este encuentro, representantes de diferentes organismos públicos pudieron debatir y conocer más acerca de cómo conviven la nube y la seguridad.
Las inversiones TIC en el sector público español
En el evento Public Sector Day, Carlos Canitrot, director de consultoría de AdjudicacionesTIC, ofreció una radiografía exhaustiva de la evolución de las inversiones tecnológicas en la Administración Pública española, revelando una trayectoria marcada por los fondos Next Generation y los desafíos post-pandemia.
Así, Canitrot describió una evolución sorprendente de las inversiones TIC. Desde la caída del 19% en 2020 durante la pandemia, el sector experimentó un crecimiento exponencial. «Año 2021, una subida de casi el 100%. Año 2022, casi rozamos los 6.000 millones de inversión total», señaló. El punto álgido llegó en 2023, con una «explosión de inversión» que superó los 8.000 millones de euros.
Sin embargo, 2024 marca un punto de inflexión. «Ha disminuido casi un 29%, pero se mantiene a un nivel similar a 2022», explicó Canitrot, matizando que esta reducción es inevitable tras el impulso de los fondos Next Generation.
Ciberseguridad: Una necesidad imperiosa
En el ámbito de la ciberseguridad, Canitrot fue tajante: «El sector público es el sector más atacado de todos los sectores». Según datos del CCNCERT, las administraciones públicas sufrieron alrededor de 150.000 ataques, lo que justifica las continuas inversiones.
Los principales inversores en ciberseguridad para 2024 fueron la ESGAT, el Ministerio del Interior y Renfe, con una inversión conjunta que representa casi el 50% del total. Telefónica Soluciones emerge como el actor principal, apareciendo en las tres principales adjudicaciones.
Cloud: Una inversión estratégica
Respecto a las inversiones en cloud, Canitrot observó un cambio de tendencia. «Las inversiones en cloud son más una elección», comentó, explicando que tras las grandes migraciones iniciales, ahora se están realizando proyectos más pequeños y específicos.
Carlos Canitrot, director de consultoría de AdjudicacionesTIC
Mirando hacia 2025, Canitrot reveló datos esperanzadores. En ciberseguridad, hay aproximadamente 500 adjudicaciones por valor de 115 millones de euros susceptibles de renovación. En cloud, el panorama es aún más prometedor, con más de 500 millones de euros y 900 licitaciones potenciales.
«Confiemos en que este nivel de inversión continúe», concluyó Canitrot, transmitiendo un mensaje de cautela pero optimismo sobre el futuro tecnológico del sector público español.
AWS y Zscaler exponen su mirada
Tras esta intervención, representantes de AWS y Zscaler mostraron su compromiso con la ciberseguridad en España
Así, Diego Vejero, representante del equipo de sector público de AWS, destacó la significativa inversión de la compañía en España. «Hemos ampliado nuestra inversión a más de 15.700 millones, la cifra más grande de inversión extranjera en España, mucho más que la de Volkswagen», afirmó Vejero1. Además, subrayó la importancia de la ciberseguridad para AWS, mencionando su colaboración con el CCNCER y la alianza global con Zetascaler.
Pablo Chapinla y Diego Vejero
Por su parte, Pablo Chapinla, encargado del sector público en Zscaler, explicó el papel de su compañía en la transformación de la arquitectura de seguridad de sus clientes. «Somos una compañía cloud native que permite una transición suave del mundo on-prem a la nube de manera segura», comentó Chapinla. También destacó la importancia del cumplimiento normativo, mencionando que Zscaler cuenta con el certificado del Esquema Nacional de Seguridad nivel alto.
Acto seguido, su compañero Asier Ortega, Senior Solutions Consultant de Zscaler, ofreció una visión detallada sobre cómo la compañía puede actuar como un catalizador en los proyectos de transformación digital de las administraciones públicas, especialmente en lo que respecta a la seguridad en entornos cloud.
Ortega comenzó su intervención destacando la rápida evolución que han experimentado las administraciones públicas y otros sectores en el ámbito de la transformación digital. «Todos sabemos, y me imagino que todos lo estáis viviendo, que hay una parte de transformación digital muy importante», señaló el experto, subrayando el esfuerzo y la inversión realizados para trasladar servicios y aplicaciones a la nube.
Sin embargo, Ortega identificó un desequilibrio en este proceso de transformación. Mientras que la migración de servicios y aplicaciones a la nube ha avanzado a un ritmo acelerado, los aspectos relacionados con la conectividad y la seguridad no han seguido el mismo paso. «Ha habido una progresión o una implantación muy rápida en lo que es la parte de nube en los servicios y aplicaciones, pero en las partes de conectividad y seguridad de acceso a estos servicios no ha habido una transformación digital tan rápida», explicó.
El consultor de Zscaler hizo hincapié en que muchas organizaciones siguen utilizando métodos de conectividad y seguridad basados en soluciones on-premise, que no se adaptan adecuadamente a los entornos cloud. «Estamos intentando muchas veces aplicar modelos de seguridad y modelos de protección a entornos en nube, que en realidad en entornos en nube no tienen mucha validez», advirtió Ortega.
En este contexto, Zscaler se posiciona como una compañía nativa en nube, diseñada desde sus inicios para acompañar a las organizaciones en su transición hacia la nube y en sus procesos de transformación digital. Ortega destacó la solidez de la empresa y su cumplimiento normativo: «Zscaler es una compañía pública, es una compañía norteamericana, estamos en Nasdaq y tenemos una solidez. Y sobre todo, tenemos unas certificaciones internacionales y tenemos un cumplimiento normativo que podemos garantizar».
Asier Ortega, Senior Solutions Consultant de Zscaler
El concepto central de Zscaler, según explicó Ortega, es proporcionar a los usuarios conectividad con las aplicaciones, independientemente de dónde se encuentren estas. «Nos abstraemos de ese concepto de red, nos abstraemos de dónde están esas aplicaciones ubicadas. Y esto encaja con el modelo de transformación digital hacia la nube, mover servicios a la nube», afirmó.
Ortega detalló las principales soluciones de Zscaler, incluyendo la protección de acceso a Internet, el acceso seguro a aplicaciones privadas y la monitorización de la experiencia del usuario. Además, subrayó la capacidad de la plataforma para actuar como un backbone de conectividad segura, no solo para usuarios individuales, sino también para la comunicación entre aplicaciones y dispositivos IoT.
Un aspecto crucial de la presentación fue la explicación de cómo Zscaler se integra con AWS para facilitar la transformación digital. «Nosotros nos gusta describirnos como facilitadores de este proceso de transformación digital hacia la nube», declaró Ortega. La compañía propone integrar la seguridad y la conectividad dentro del ciclo de desarrollo continuo y la filosofía de despliegue en arquitecturas cloud.
Ortega hizo hincapié en la importancia de adaptar los modelos de conectividad y seguridad a la filosofía del cloud, que se basa en la automatización y la rapidez. «La filosofía del cloud es poder hacer las cosas de forma rápida y de forma automatizada», explicó, añadiendo que los modelos tradicionales de seguridad y conectividad a menudo chocan con esta filosofía.
Para abordar este desafío, Zscaler propone integrar la seguridad y la conectividad en el proceso de despliegue automatizado de nuevos servicios en la nube. «Lo que nosotros queremos es integrar la seguridad y la conectividad dentro de este ciclo de desarrollo continuo, de ese famoso CICD y de esta filosofía de despliegue en las arquitecturas cloud de nuevos servicios», afirmó Ortega.
El consultor también destacó la capacidad de Zscaler para facilitar la migración de servicios desde arquitecturas legacy a la nube, ofreciendo una transición suave y transparente para los usuarios. «Con nuestra solución de acceso remoto seguro, a nosotros no nos importa si el servicio está desplegado en data center, está desplegado en cloud o incluso podemos balancear qué usuarios acceden al datacenter, qué usuarios acceden al cloud», explicó.
En conclusión, la intervención de Asier Ortega en el Public Sector Day puso de manifiesto el papel crucial que pueden desempeñar soluciones como Zscaler en la aceleración y optimización de los procesos de transformación digital en el sector público, especialmente en lo que respecta a la seguridad y la conectividad en entornos cloud. Su enfoque en la integración con las herramientas y filosofías propias del cloud, como AWS, presenta una propuesta de valor significativa para las administraciones públicas que buscan modernizar sus infraestructuras tecnológicas de manera eficiente y segura.
El papel del cloud
Por su parte, Daniel Martín, Solutions Architect de AWS, desgranó las claves de la estrategia de seguridad de la compañía y su creciente presencia en España. El experto hizo hincapié en la importancia de la infraestructura cloud para el sector público y cómo AWS está trabajando para garantizar los más altos estándares de seguridad y cumplimiento normativo.
Martín comenzó su exposición explicando la arquitectura de las regiones de AWS, un concepto fundamental para entender la robustez y la redundancia de la infraestructura de la compañía. «Una región no es un data center», aclaró el arquitecto, desmintiendo un malentendido común. «Una región, como la que tenemos ubicada en Aragón, es la composición de tres o más zonas de disponibilidad, donde cada zona de disponibilidad, a su vez, es la agrupación de uno o más centros de datos», explicó.
Daniel Martín, Solutions Architect de AWS
Esta estructura no solo proporciona una alta disponibilidad, sino que también permite a AWS ofrecer servicios con baja latencia y cumplir con requisitos de residencia de datos. Martín destacó que «las ventajas de tener una región en España nos van a permitir desplegar aplicaciones que requieran baja latencia y poder ubicar los datos del cliente dentro de la propia región».
La inversión de AWS en España fue otro punto focal de la presentación. Martín reveló que «en mayo de 2024, la inversión se incrementó hasta los 15.700 millones hasta el año 2033». Esta inyección económica no solo refleja el compromiso de AWS con el mercado español, sino que también promete un impacto significativo en la economía local. «Esto va a suponer, según estimaciones, un incremento de 17.500 puestos de trabajo y un incremento en el PIB de 21.600 millones hasta el año 2033», afirmó el experto.
Un aspecto crucial de la estrategia de AWS es su modelo de responsabilidad compartida en materia de seguridad. Martín explicó que «AWS es el encargado de gestionar la seguridad de la nube, mientras que nuestros clientes son los encargados de gestionar la seguridad en la nube». Esta distinción es fundamental para entender cómo se reparten las responsabilidades entre el proveedor y el cliente, asegurando que cada parte se enfoque en sus áreas de expertise.
La colaboración de AWS con el Centro Criptológico Nacional (CCN) fue otro punto destacado de la intervención. «Desde el año 2019, hemos establecido un trabajo de años con el CCN que se ha materializado en la inclusión de hasta 22 servicios de AWS dentro del catálogo de productos CPSTIC», señaló Martín. Además, esta colaboración ha dado como resultado la elaboración de guías de configuración segura alineadas con el Esquema Nacional de Seguridad (ENS), un recurso valioso para las administraciones públicas que buscan implementar soluciones cloud de manera segura y conforme a la normativa.
Martín también hizo hincapié en la importancia de la certificación ENS para los servicios de AWS. «Actualmente, la última actualización de esta certificación ha sido el año pasado, que abarca ya hasta 171 servicios certificados para el esquema nacional de seguridad, incluido el servicio de inteligencia artificial generativa Amazon Bedrock», destacó, subrayando el compromiso de AWS con la seguridad y el cumplimiento normativo en sus servicios más innovadores.
El arquitecto de soluciones concluyó su intervención presentando el sistema AWS Nitro como ejemplo de la filosofía de seguridad integrada de la compañía. «Nitro es un ejemplo de cómo servicios ponen de manifiesto la importancia que AWS da a la seguridad y que por supuesto ofrecemos a nuestros clientes como prueba en la cual se materializa la importancia que le damos a la seguridad», afirmó Martín.
La presentación de Daniel Martín en el Public Sector Day no solo ofreció una visión detallada de la infraestructura y los servicios de seguridad de AWS, sino que también reafirmó el compromiso de la compañía con la innovación, la seguridad y el crecimiento económico en España. Para las administraciones públicas que buscan modernizar sus infraestructuras tecnológicas, el mensaje es claro: AWS se posiciona como un socio estratégico con una fuerte presencia local y un enfoque inquebrantable en la seguridad y el cumplimiento normativo.
El cloud y la ciberseguridad en el sector público
El Public Sector Day se cerró con una mesa redonda que reunió a cuatro destacados expertos del sector que compartieron sus experiencias y visiones sobre la adopción de tecnologías cloud y la ciberseguridad en sus respectivas organizaciones.
El debate, moderado por Arantxa Herranz, contó con la participación de Guillermo Obispo, Coordinador del Centro de Ciberseguridad CCMAD del Ayuntamiento de Madrid; Julián Hernández, Subdirector General TIC del Ministerio de Presidencia; Antonio Fuentes, Subdirector de Sistemas y Seguridad de RedIRIS/Red.es; y Raúl Martín García, Subdirector Adjunto de la Secretaría General de Tecnologías de la Información y Comunicaciones del SEPE.
La adopción de la nube en el sector público español está avanzando a diferentes velocidades, con algunos organismos apostando decididamente por este modelo y otros manteniendo un enfoque más cauteloso. Guillermo Obispo destacó la estrategia «cloud first» del Ayuntamiento de Madrid para sus nuevos proyectos y servicios. «La seguridad y la funcionalidad son cosas que no van nunca de la mano. Entonces creo que aquí lo justo es apelar al sentido común y al equilibrio, básicamente», afirmó Obispo, subrayando la importancia de encontrar un equilibrio entre seguridad y funcionalidad en los entornos cloud.
Por su parte, Julián Hernández ofreció una perspectiva más conservadora desde el Ministerio de Presidencia. «Nosotros hicimos en su día… Te estoy hablando de antes de la nubesara Next Generation de ahora, sino la anterior, cuando todavía estaba muy, si recordamos, Cora se montó en el 13 y lo del servicio centralizado de infraestructura como servicio empezaron a hablarse de ello en el año 15», explicó Hernández. A pesar de no tener actualmente servicios en la nube, reconoció que en muchos casos puede ofrecer mayores garantías de seguridad que los entornos on-premise.
Antonio Fuentes compartió la experiencia de RedIRIS en la adopción de servicios cloud. «Nosotros fuimos en el viaje casi… Al final, nosotros también somos un proveedor de servicios. Al final, proveemos servicios de comunicaciones avanzadas, con lo cual hay muchos de los servicios que ofrecemos que evidentemente no los podemos llevar a la nube por su propia naturaleza», explicó Fuentes. Sin embargo, destacó el uso de plataformas cloud para servicios como el filtrado de correo electrónico y la protección DNS.
Raúl Martín García aportó la visión del SEPE, un organismo con una gran base de usuarios y servicios críticos. «En nuestro caso, yendo al principio de la pregunta, claro, en el SEP estamos muy enfocados al ciudadano y la rapidez y flexibilidad son fundamentales porque cada vez nos piden respuesta a más corto plazo», señaló Martín García. El SEPE está explorando el uso de la nube para nuevos proyectos estratégicos, buscando un equilibrio entre la agilidad y la seguridad.
Un tema recurrente en la conversación fue la complejidad de la contratación de servicios cloud en el sector público. Hernández profundizó en este punto: «Uno de los principales… Aparte de los dolores que expliqué antes, el dolor de la contratación, que ya de por sí lo es, en la nube… es que ya entras en el campo filosófico de explicar a la intervención lo que significa contratar un servidor que hoy te cuesta 10 y mañana 15 y pasa 8 y luego 0».
Fuentes compartió una iniciativa europea que podría facilitar la contratación de servicios cloud para las administraciones públicas: «Nosotros, como decía antes, tenemos una iniciativa, o no, todas las redes académicas, a través de GEAN, que es la red académica europea, pues firmamos, o sea, hicimos un tender para, digamos, contratar servicios de todas las nubes cloud públicas».
La formación y la necesidad de contar con equipos especializados en tecnologías cloud fue otro aspecto destacado. Hernández enfatizó: «Yo creo que es un factor crítico de éxito tener un equipo en el cloud nativo que sea capaz de articular soluciones en nube para los problemas que se le planteen, tanto desde TIC como desde negocio».
Obispo, por su parte, subrayó la importancia de la seguridad en los entornos cloud: «Hay que tener en cuenta que la seguridad en la nube es un modelo de responsabilidad compartida. No podemos simplemente confiar en que el proveedor se encargue de todo. Tenemos que ser proactivos y asegurarnos de que nuestras configuraciones y políticas sean las adecuadas».
En cuanto a la seguridad en entornos cloud, los expertos coincidieron en que las principales plataformas ofrecen altos niveles de cumplimiento normativo. Fuentes señaló: «Si están certificados en NS alto, yo creo que una de las bazas que tiene la nube, incluso cuando tú pasas la certificación ISO o el NS, si ya te vas a la nube ya tienes la certificación alta».
Martín García destacó la importancia de la flexibilidad en la prestación de servicios públicos digitales: «Hay que hacer las cosas bien, seguras y flexibles. Estoy con Willy que lo que pasa que… Hay que dar los mecanismos y hay que ayudar, por ejemplo, a los equipos de desarrollo a que sean flexibles, pero haciendo las cosas, pero lo que decía antes, no solo seguras y con calidad de código y que cumplan unos mínimos de rendimiento».
El debate también abordó el impacto de la pandemia en la aceleración de la transformación digital del sector público. Obispo comentó: «La pandemia nos obligó a repensar nuestros procesos y a adoptar soluciones cloud de forma más rápida de lo que habíamos previsto. Esto ha tenido sus desafíos, pero también nos ha permitido ser más ágiles en la prestación de servicios a los ciudadanos».
Fuentes añadió una reflexión sobre la importancia de la soberanía de datos en el contexto europeo: «Estamos viendo un creciente interés en soluciones cloud que garanticen que los datos de los ciudadanos europeos se mantengan dentro de la UE. Esto está influyendo en nuestras decisiones sobre qué proveedores y servicios utilizar».
Hernández concluyó con una visión a futuro: «Creo que en los próximos años veremos una mayor adopción de modelos híbridos y multicloud en la administración pública. Esto nos permitirá aprovechar lo mejor de cada mundo y adaptarnos a las necesidades específicas de cada proyecto y servicio».
Es decir, la mesa redonda puso de manifiesto que la adopción de la nube y la mejora de la ciberseguridad son prioridades clave para el sector público español. Los expertos coincidieron en la necesidad de abordar retos como la contratación, la formación de personal especializado y la adaptación de los procesos de seguridad a los entornos cloud, siempre con el objetivo de mejorar la eficiencia y la calidad de los servicios públicos digitales. El camino hacia la transformación digital del sector público es complejo, pero los participantes mostraron un optimismo cauto sobre las oportunidades que estas tecnologías ofrecen para modernizar la administración y mejorar la atención al ciudadano.
