Que los datos son el nuevo petróleo de la economía nadie lo duda al igual que a nadie escapa que la irrupción de tecnologías cloud ha transformado su gestión. En la era digital, extraer el valor que los datos esconden se ha convertido en la piedra angular de cualquier negocio y, sin duda, de la Administración Pública. Analizar la información que los organismos públicos manejan para, de este modo, una toma de decisiones inteligente es uno de los objetivos en la transformación digital que está acometiendo el Sector Público. Pero, para ello, no solo es necesario recopilar, almacenar y explotar de forma correcta los datos. Hoy, más que nunca, es necesaria un política de seguridad añadida que garantice dicha información y el acceso a la misma.
En ese sentido, el backup que se venía realizando, sobre todo en las AA.PP. con equipos on premise ha cambiado al surgir soluciones en la nube y modelos as a service. Un nuevo escenario en el que surgen nuevas oportunidades pero también nuevos desafíos.
La correcta gestión de los datos
La cantidad de datos que se generan y gestionan diariamente en los organismos públicos no deja de crecer. Datos estructurados y no estructurados conviven con sistemas heredados o silos de información lo que no siempre hace sencilla la correcta gestión de los mismos. Sin embargo, esa gestión es cada día más necesaria para los propios organismos públicos que ven cómo necesitan dotarse de mayor agilidad y eficiencia en su propio funcionamiento al tiempo que responder a la demanda de servicios al ciudadano digitales, más accesibles e inteligentes.
La AA.PP. debe gestionar los datos y securizarlos en un nuevo escenario marcado por la progresiva adopción de tecnologías cloud
“La pandemia ha hecho que muchas organizaciones, en especial las Administraciones Públicas, identificaran que no estaban exprimiendo al máximo sus capacidades, y eso pasa por no estar haciendo una buena gestión y gobierno de los datos de los que disponen. Poco a poco, las entidades públicas están trabajando para cambiar esta situación, potenciando la cultura del dato; ejemplo de ello es la Ley de Datos en la que está trabajando la Unión Europea o el impulso que desde España se está intentando marcar con la puesta en marcha de la Oficina del Dato a nivel nacional. Los gobiernos estatales y locales deben encontrar maneras de utilizar los grandes volúmenes de datos para recopilar, generar, proteger y compartir información con el fin de mejorar la toma de decisiones que beneficien a los ciudadanos. En este sentido, una arquitectura de datos moderna da pie a una gestión inteligente de la información y, en última instancia, ayuda a ofrecer servicios específicos a la población, a proteger contra el fraude y el abuso de los recursos gubernamentales, y a administrar más eficazmente los datos de los sensores desde dispositivos IoT, desde el transporte público hasta el mantenimiento de edificios”, explica Juan Carlos Sánchez de la Fuente, Regional Director de Cloudera Iberia.
Pero, ¿cómo diseñar esa estrategia? ¿Cómo debe afrontar la AA.PP. la gestión de los datos que maneja, en un entorno marcado, generalmente, por sistemas heredados y en muchos casos obsoletos, programas que no “hablan” entre sí y silos de información?
“En primer lugar, y para definir una ruta clara, es fundamental saber para que se quieren los datos y a dónde quieres ir apoyándote en ellos. En este viaje, es necesario pasar de datos a información útil para mejorar el negocio, empezando por la analítica descriptiva (analizando el presente y el pasado) para evolucionar a la analítica predictiva que nos permite anticiparnos a lo que va a pasar”, afirma Javier Campelo, Head Analytics & AI de aggity.
Un viaje en el que, definido el objetivo, también son necesarios varios pasos como explica Jorge Martínez, director regional de OpenText para España y Portugal: “La recopilación es la primera fase del proceso, en la que es esencial llevar a cabo una buena criba, descartando aquellos datos que no sean relevantes. Como segundo paso, es necesario llevar a cabo el almacenamiento de los datos. En este sentido, la elección del formato y el lugar dónde se almacenarán es esencial. Después de este proceso, en el que la nube ha cobrado especial relevancia en los últimos años como almacenador de datos, es importante la seguridad de los mismos. Es uno de los puntos clave a lo largo del ciclo de vida de los datos, sobre todo con el aumento de los ciberataques, resulta necesario tener una buena política gestión de datos para evitar estos ataques.
Por último, para una buena gestión de datos, es indispensable su protección. Hay que definir detalladamente el acceso a los datos, quién puede acceder a qué y con qué permisos, y disponer del software adecuado para gestionar estos accesos”.
La nube, un cambio de paradigma
Y es que, como señalan, la irrupción de la nube ha cambiado radicalmente la gestión de la información que se realiza en la Administración Pública. Aunque su adopción todavía no es masiva y, en su mayoría, los organismos públicos están adoptando modelos de nube híbrida, las tecnologías cloud suponen un antes y un después en su operativa y, sobre todo, en la protección de la información.
Concretamente, según datos de Adjudicaciones TIC, en 2021, la inversión por parte de las AA.PP. en tecnologías cloud alcanzó los 321 millones de euros, con una cuota de inversión del 12,86% respecto de los servicios TI, y del 6,07% del total de la inversión.
Además, el análisis de Adjudicaciones TIC muestra cómo esa cifra de inversión en servicios cloud se desglosa en 71,14 millones destinados a Infraestructura como Servicio (IaaS); 44,68 millones a Plataforma como Servicio (PaaS); y 205,76 millones a SaaS o Software como Servicio, la partida más elevada.
En 2021, la inversión por parte de las AA.PP. en tecnologías cloud alcanzó los 321 millones de euros, con una cuota de inversión del 12,86% respecto de los servicios TI
“Con los servicios en la nube, cambia de forma radical la forma de usar los recursos informáticos, tanto si se trata de espacios de archivo (almacenamiento en la nube), entornos de desarrollo, software u otros. Ya no se utilizan recursos propios, sino en forma de servicio (as a service). En la práctica, en lugar de comprarlos, el hardware y el software se alquilan a los proveedores de servicios en la nube y eso ofrece numerosas ventajas. Para responder a las expectativas y necesidades de los ciudadanos, la Administración debe ofrecer al ciudadano un buena experiencia onmicanal, a través de todos los medios de que disponga. Los usuarios deben percibir que reciben el mejor servicio y, para ello, pueden optar por modelos híbridos (los más frecuentes), o completamente digitales”, apunta Jesús Galindo, Area Vice President del Sector Público de Salesforce.
Ese modelo híbrido es también el que defiende el Regional Director de Cloudera Iberia: “Apostar por una solución de nube de datos híbrida que ayude a las administraciones a estar preparadas para el crecimiento exponencial y continuado de los datos es una apuesta segura. Con ella, además, se puede proporcionar acceso a la información en cualquier momento y lugar de forma segura, un aspecto que, como he comentado, es fundamental”.
Y añade: “Las AA.PP. deben modernizar sus estrategias de datos para conseguir sus objetivos. Aunque los presupuestos ajustados y la obsolescencia de la infraestructura IT dificultan la labor, dar el salto a entornos de nube híbrida o pública, permite resolver parte de sus desafíos empresariales y tecnológicos gracias a la agilidad, flexibilidad, escalabilidad y eficiencia que aporta esta infraestructura”.
Agilidad, flexibilidad, escalabilidad… La nube es una de las tecnologías que mayor peso está cobrando tanto en el sector privado como en los organismos públicos pese a que su adopción no siempre es sencilla.
Así lo explica el Area Vice President del Sector Público de Salesforce: “El problema estriba en que los sistemas tecnológicos de las Administraciones Públicas están construidos sobre infraestructuras heredadas que, en muchos casos, están cercanas a la obsolescencia. En la era pospandemia el ciudadano espera interactuar con la Administración tal y como lo haría en el sector privado. Esto se debe a que, necesariamente, el mundo empresarial ha reaccionado de forma más rápida ante la pandemia, y las experiencias de usuario que ofrecen se han convertido en el estándar esperado».
«La forma de avanzar en este campo y cumplir con las exigencias del ciudadano es mediante la innovación. La falta de presupuestos y recursos y el hecho de trabajar con tecnologías anticuadas dificulta la puesta en marcha de nuevos servicios. Por lo tanto, las administraciones tienen que apostar por un nuevo tipo de tecnología (la nube) que permita la puesta en marcha de nuevos servicios. No es posible hacer un cambio drástico de todos los sistemas, pero añadir una capa adicional de soluciones y aplicaciones que actúen a modo de interfaz (con los funcionarios y con los ciudadanos) y que estén conectadas con los sistemas legacy”, añade.
Seguridad as a service, ¿la opción?
Todos coinciden en que la adopción de la nube ofrece numerosas ventajas a la Administración Pública pero, como siempre ocurre, también algún que otro riesgo. Y es que a la hora de llevar los datos que los organismos públicos gestionan a la nube muchos son los a los que les preocupa cómo garantizar la seguridad y protección de los mismos y más en un momento en el que los ciberataques a las AA.PP. no dejan de ganar relevancia y frecuencia.
Así, María Remedios González Hernández, CISO del Ayuntamiento de Murcia explica que “la gestión de la información es la parte más crítica dentro de cualquier organización pero adquiere especial importancia cuando hablamos de los datos y en este sentido hemos desarrollado una Normativa y Procedimientos internos bajo el paraguas del Real Decreto del Esquema Nacional de Seguridad en el ámbito de la administración electrónica con el objetivo de sentar las bases sobre las cuales los usuarios del Ayuntamiento y los ciudadanos puedan acceder a los servicios de manera segura mediante la protección de datos de carácter personal asegurando el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información”.
En esa labor que, en el caso del Ayuntamiento de Murcia, desde el área de Ciberseguridad se concreta en “mantener una vigilancia activa en los más de 2000 puestos de trabajo de usuario y en la capa de más de 500 servidores que prestan servicio tanto interno como para la ciudadanía”, el backup sigue siendo esencial.
En el área de Ciberseguridad del Ayuntamiento de Murcia se mantiene una vigilancia activa en más de 2.000 puestos de trabajo
“Los sistemas de backup forman parte de uno de los pilares y estrategias dentro del ámbito de la ciberseguridad buscando garantizar la continuidad del negocio cuando los sistemas se vean comprometidos. Bajo mi opinión, creo que no solo es necesario tener aislado en redes diferentes los sistemas de backup, o incluso llevarnos la parte más crítica a la nube, para garantizar que ante un ataque por ejemplo de ransomware, se pueda evitar una propagación hacia los sistema de backup y estos se vean afectados. La recuperación es muy importante, se deben tener implementadas estrategias de recuperación de los datos y llevar cada cierto tiempo pruebas de recuperación para garantizar una rápida continuidad del negocio”, detalla María Remedios González Hernández.
Sin embargo, el backup ha sido una acción tradicionalmente ligada en los organismos públicos a sistemas y aplicaciones on premise algo que, con la nube, también cambia de forma radical.
La llegada de tecnologías cloud y, sobre todo de modelos as a service ha hecho que sean muchos los organismos públicos que empiecen a considerar adoptar estas nuevas posibilidades en la gestión y seguridad de sus datos.
“Hay políticas que se han llevado a cabo durante años y que puede parecer que se han quedado obsoletas, pero al contrario de lo que pueda parecer, éstas evolucionan y crecen al mismo ritmo que lo hacen las circunstancias. Por suerte, los modelos tradicionales como los on premise siguen vigentes y tienen un gran recorrido. La seguridad y confianza que aportan tanto a las instituciones y a los ciudadanos es lo que les permite seguir siendo una de las políticas más usadas. Además, disponer de un servicio interno que se ocupe de las instalaciones on premise significa mantener la autonomía sobre el almacenamiento de los datos”, señala el director regional de OpenText para España y Portugal.
Ahora bien, añade “cada institución debe conocer cuál es el modelo que mejor se adecúa a sus circunstancias, capacidades y recursos. Aquí es donde entran los terceros, como los proveedores, fabricantes o consultores, que garantizan la disponibilidad, la seguridad y el buen funcionamiento de las diferentes aplicaciones y datos que se generan en las AAPP a aquellos que prefieren delegar en otros la gestión del software y hardware. Y es en este contexto donde el modelo as a service, sobre el cual existe aún un gran desconocimiento respecto a su enorme potencial, así como cierta desconfianza que todavía no se ha dispersado del todo. Algunas de las ventajas que proporciona este modelo, son como ya hemos comentado, poder delegar en terceros toda la puesta en marcha de los servicios y procedimientos a los ciudadanos, así como su mantenimiento. Facilita así a las Administraciones el trabajo y simplemente será necesario que sus empleados públicos puedan acceder a internet para poder llevar a cabo su trabajo como lanzar procedimientos rápidamente o gestionar expedientes de forma automatizada y sin errores acortando así plazos y agilizando la resolución de trámites”.
Un modelo que, en opinión del Head Analytics & AI de aggity cobra cada día más sentido si tenemos en cuenta además tecnologías como la Inteligencia Artificial o la automatización. “Con la disrupción tecnológica se ha producido un cambio de paradigma, con el que eliminamos las tareas de bajo valor para poner foco en lo realmente importante. Con sistemas que garantizan la durabilidad al 99,999… (11 nueves), la recuperación automática desde cualquier punto, la escalabilidad automática hasta muchos TB y millones de usuarios concurrentes, la preocupación por la infraestructura, los backups o este tipo de cosas resulta secundario. Además, se tiende a utilizar tecnología complementaria como RPA (Robotic Process Automation) que permite automatizar tareas manuales repetitiva, incluso complementado con Inteligencia Artificial (Cognitive Automation). Ahora existen muchas modalidades as a service que garantizan un servicio de calidad y máxima disponibilidad sin necesidad de grandes inversiones iniciales. Esto cobra mucho sentido también en los modelos predictivos ya que gran parte de ellos (un porcentaje cercano al 70%) no llegan a utilizarse nunca. De esta forma se minimiza el riesgo de que esto ocurre y de pagar dinero por cosas que realmente no aportan valor”.
«Pensar que solo la información que se trata on premise es la que se debe proteger es un error»
Sin embargo, la seguridad del dato sigue marcando su gestión y los modelos elegidos para su almacenamiento y explotación. Así, la CISO del Ayuntamiento de Murcia recuerda que “pensar que solo la información que se trata on premise es la que se debe proteger es un error, cuando trabajamos en cloud debemos seguir manteniendo las medidas de seguridad: sistemas actualizados, estar al día de posibles vulnerabilidades, controlar los accesos, tener un correcto sistema de backup implantado y de recuperación, etc. Actualmente los servicios en la nube también son un gran atractivo de los ciberdelincuentes debido a las herramientas que disponen que permite distribuir contenido malicioso y la gran cantidad de datos sensibles que se tienen, cuanto más servicios expongamos más ampliamos nuestro vector de ataque. Un dato curioso, por ejemplo, los Boeing 747s actualmente reciben sus actualizaciones de software en discos de 3.5’’.
El dato como base de la transformación digital de la Administración Pública, un objetivo en el que tecnologías como el cloud y los modelos as a service que ofrece pueden significar un salto cualitativo en pro de servicios públicos digitales e inteligentes pero en el que la seguridad de esos datos sigue siendo el factor decisivo.