¿Está en riesgo el Gobierno? ¿Son hoy los organismos públicos una víctima más de los ciberdelincuentes? ¿Cómo se puede proteger la Administración Pública de las cada vez mayores y más peligrosas ciberamenazas?
Nadie duda de que las instituciones y organismos públicos no escapan ya de los ataques cibernéticos. No es una sensación sino un hecho que avalan los ataques sufridos por el Servicio de Empleo Público Estatal (SEPE) o el Ministerio de Trabajo hace apenas un año o el que, hace tan solo unas semanas, hacía caer la página web del Congreso de los Diputados.
Un escenario propio de películas como Juegos de Guerra, calificada en su momento de ciencia ficción, que podría agravarse aún más, según todos los expertos. Así, incluso, la invasión de Ucrania por parte de Rusia que sufrimos actualmente hizo que el Gobierno español alertase ante una posible ciberguerra que podría afectar a nuestro país.
Aunque por el momento no se tiene constancia, esta posibilidad llevaba incluso al Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), a lanzar una alerta interna instando a las administraciones tanto estatales como autonómicas y locales a apagar los ordenadores ante la posibilidad de que Rusia lanzase un ciberataque masivo a administraciones y empresas europeas. También la ministra de Defensa, Margarita Robles, desvelaba en esos días que España ha aumentado el estado de alerta en el ciberespacio al nivel 3 (el máximo contemplado es el 5).
Un Plan Nacional de Ciberseguridad
El Ejecutivo trata de proteger la Administración y blindar los organismos públicos españoles y con celeridad ante estas amenazas. Así, el pasado 31 de marzo, se aprobaba el Plan Nacional de Ciberseguridad que, con un presupuesto de más de 1.000 millones de euros contempla más de 150 actuaciones esenciales para garantizar la ciberseguridad» en nuestro país. Entre ellas, como se puede leer en el propio Plan, se establece la creación de la plataforma nacional de notificación y seguimiento de ciberincidentes y de amenazas que permita intercambiar información, en tiempo real, entre organismos públicos y privados así como la puesta en marcha del Centro de Operaciones de Ciberseguridad (COCS) de la Administración General del Estado y sus Organismos Públicos.
Otras de las directrices que se detallan en el plan son el desarrollo de un sistema integrado de indicadores de ciberseguridad a nivel nacional; Incrementar la creación de infraestructuras de ciberseguridad en las comunidades y ciudades autónomas y las entidades locales; Impulsar la ciberseguridad de pymes, micropymes y autónomos y promover un mayor nivel de cultura de ciberseguridad.
Existe, por tanto, una carrera por garantizar la seguridad digital de la Administración Pública que, como explica Carlos Canitrot, director de Consultoría de Adjudicaciones TIC, “que ya llevó al Ejecutivo a invertir un total de 102,76 millones de euros en soluciones de ciberseguridad, cifra que supuso el 1,94% sobre la inversión total TIC de las AA.PP. durante 2021”. Esta inversión se diversificó en hardware o equipamiento, partida a la que se destinaron 33,18 millones de euros; software, con 33,87 millones; y la más abultada, la de consultoría y servicios gestionados, con 35,71 millones de euros, explica Canitrot.
Pero, ¿cuáles son los principales ciberriesgos o ciberamenazas a los que se expone la Administración Pública actualmente? ¿Difieren de los que sufre la empresa privada?
Principales amenazas
Campañas de denegación de servicio distribuido, infección de ransomware o acciones de phishing… “Desde nuestra experiencia los tipos de ataques, con ciertos matices, son muy transversales a los diferentes verticales. Hemos visto en los últimos meses ataques de DDoS, ataques contra las aplicaciones (SQLi, XSS,LFI, etc), abuso de credenciales, ransomware , etc. En el caso de la Administración Pública, además de los actores maliciosos que actúan también en el entorno de empresa privada, tendríamos que añadir el hacktivismo, es decir, una protesta con fines de activismos político, social o económico, que buscan notoriedad a través de ataques a instituciones públicas”, señala Francisco Arnau, Responsable de Akamai para España y Portugal.
En el caso de la Administración, además de los actores maliciosos que actúan en la empresa privada, tendríamos que añadir el hacktivismo
Como vemos, ataques similares, aunque eso sí con unas consecuencias diferentes en el caso de la Administración, en opinión de José de la Cruz, director técnico de Trend Micro Iberia: “Si bien los ataques son muy similares el impacto no es el mismo ya que las AA.PP. no están sujetas a las mismas sanciones que la empresa privada. Además, el impacto reputacional es distinto, pues sus servicios, en la mayoría de los casos, no tienen competencia. Sin embargo, el impacto institucional es importante puesto que puede llegar a paralizar servicios críticos para un país”.
Es decir, similitud de ataques con consecuencias distintas, pero igualmente negativas. Así que, veamos, ¿cuál es el punto de partida de la Administración Pública a la hora de hacer frente a todas estas amenazas? ¿Qué grado de “protección” actualmente de los organismos públicos?
Según nos explican desde el CCN-CERT, el Centro Criptológico Nacional, el nivel de protección de los organismos públicos lo determina su nivel de cumplimiento en el Esquema Nacional de Seguridad. Desde el organismo público señalan que “aquellos organismos certificados en el ENS, y que cumplen con las medidas requeridas para proteger la información que tratan y los servicios que prestan, cuentan con una protección adecuada. Para poder llevar a cabo un perfil general del estado de la ciberseguridad en la Administración Pública, el Centro Criptológico Nacional elabora, a través de su herramienta INES, el Informe del Estado de la Seguridad de los sistemas comprendidos en el ámbito de aplicación del ENS que permite conocer su nivel de implantación teniendo en cuenta exclusivamente los valores aportados por los organismos que participan en la recogida de datos”.
Así, y ciñéndonos al análisis de los datos compartidos por los organismos durante 2021, “el nivel de cumplimiento global respecto a la adecuación al Esquema Nacional de Seguridad en sistemas de categoría media es del 72,17%”, afirman.
Un porcentaje que, como vemos, deja aún demasiado margen de mejora, como señala Pedro María Galdón, CIO de EMASA, Empresa Municipal Aguas de Málaga: “Debemos partir de la base de que la ciberseguridad en las AA.PP. dispone de un nivel aceptable, gracias en buena parte al Esquema Nacional de Seguridad y a un potente espacio normativo que es de obligado cumplimiento para toda la Administración (Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales; R.D. 43/2021, de seguridad de redes y sistemas de información; Ley PIC; R.D. 951/2015 que regula el ENS, etc.). Si a esto sumamos la reciente aprobación de la Estrategia de Seguridad Nacional por parte del Gobierno de España, es evidente que se está llevando a cabo una apuesta decidida por mejorar las capacidades tecnológicas de prevención, detección y respuesta frente a las ciberamenazas”.
Cooperación entre las diferentes administraciones
No obstante, hay mucho camino aún por recorrer y acciones que tomar para realmente proteger a la Administración Pública y no sólo para nuestro país. La ciberseguridad es una piedra angular de la transformación digital de España y del resto del mundo y así, también hace unos días conocíamos que el “Reglamento de Ciberseguridad y el Reglamento de Seguridad de la Información” propuestos por la Comisión Europea, con un claro mensaje de cooperación y coordinación en materia de ciberseguridad entre todos los países miembros de la Unión Europea.
Una iniciativa que, como afirma Francisco Arnau, es positiva ya que “disponer de un reglamento puede ayudar a poner más énfasis en la seguridad y poner foco en todos los potenciales vectores de ataque. Cada entorno es único y tiene sus peculiaridades, pero este reglamento puede servir para unificar criterios y establecer, al menos, unas medidas de protección elementales, que permitan proteger la operativa y la información de la que disponen las Administraciones”.
También como positivo lo valora Alberto R. Rodas, Sales Engineer Manager de Sophos Iberia: “Todas las mejoras propuestas en materia de política y comunicación ayudarán sin duda a compartir la información y a comunicar con claridad entre los Estados miembros de la UE, pero no hay nada revolucionario en ello. De hecho, resulta bastante sorprendente que estas prácticas no se hayan aplicado ya. Estas normas allanan el camino para un intercambio de información más seguro, que es esencial para proporcionar una defensa colectiva. Con suerte, veremos muchas más mejoras que se sumarán en este primer paso tan importante”.
Y es que la colaboración es solo uno de los pasos necesarios para avanzar en la ciberseguridad ya no solo entre países sino también entre las distintas administraciones públicas.
La colaboración es solo uno de los pasos necesarios para avanzar en la ciberseguridad ya no solo entre países sino también entre las distintas AA.PP.
Así Pedro María Galdón, destaca uno de los pilares de la Estrategia de Ciberseguridad de Andalucía 2022-2025 de la Junta de Andalucía y que precisamente radica en la colaboración. “Es necesario reforzar los modelos de relación, coordinación y colaboración en materia de ciberseguridad entre distintas AA.PP. y a su vez de estas con los centros de referencia (CCN, INCIBE, OCC), generando una red de confianza que permita compartir la información sobre incidentes sin tapujos, creando estructuras para la cooperación interadministrativa, generando conjuntamente catálogos de mejores prácticas y directrices de uso común. Otro punto muy a tener en cuenta es la colaboración público-privada. Allí donde las AA.PP. no alcanzan, es muy relevante que las empresas privadas puedan aportar su conocimiento y experiencia en materia de ciberseguridad”, apunta el responsable TIC de esta empresa pública.
También en la línea de cuáles son las directrices que deben marcar la estrategia de ciberseguridad de la Administración Pública, Ángel Luis Sánchez García, CTO de la Dirección General de Sistemas de Información y Equipamientos Sanitarios (DGSIES) del Servicio Madrileño de Salud (SERMAS) señala que “es difícil generalizar ya que nada tiene que ver la problemática de ciberseguridad de un pequeño ayuntamiento con la de servicio público de salud o un ministerio. Por tanto, intentando citar algunas líneas generales, creo que, al menos, se debe potenciar el rol del CISO o responsable de seguridad de Sistemas de Información y en el caso que no exista, crear dicho puesto de trabajo” Sánchez García también asegura que sería conveniente “crear una oficina de seguridad y un SOC (o establecer una relación contractual con un SOC externo), dependientes del CISO; mantener actualizada la Política de Seguridad del organismo público, que debe ser conocida por todo el personal que trabaje en la organización y Potenciar el Comité de Seguridad con la presencia de la alta dirección, manteniendo reuniones periódicas”.
Se debe potenciar el rol del CISO o responsable de seguridad de Sistemas de Información y en el caso que no exista, crear dicho puesto de trabajo
Además, en opinión de Sánchez García, es estratégico proceder a la certificación del Esquema Nacional de Seguridad (ENS) así como invertir tanto en tecnologías de ciberseguridad como en la formación sobre seguridad y protección de datos del personal de la organización. Medidas que también recoge el Plan de Digitalización del Gobierno que tiene precisamente en incrementar la ciberseguridad uno de sus ejes estratégicos y que los Fondos Europeos contribuirá a potenciar.
Formación y concienciación
“La ciberseguridad representa la piedra angular de todo proceso de transformación digital. Debido a su impacto directo sobre los individuos, procesos, tecnologías y datos, resulta imprescindible que la digitalización vaya acompañada de la aplicación de medidas y de la mejora de capacidades que permitan garantizar la protección de la información y de los servicios. Por ello, en este contexto, es fundamental incrementar las capacidades de prevención, detección y respuesta ante las ciberamenazas que traten de afectar a la seguridad de los activos digitales. Estos son los tres pilares en los que el Centro Criptológico Nacional basa su estrategia para fortalecer la ciberseguridad de organismos y organizaciones de nuestro país y así proteger la Administración española”, explican desde el CCN-CERT.
Es fundamental incrementar las capacidades de prevención, detección y respuesta ante las ciberamenazas de los organismos públicos
Una estrategia y una inversión económica que, de acuerdo con el director técnico de Trend Micro Iberia, debería incidir en los siguientes aspectos y en el siguiente orden: “Concienciación, con campañas específicas para las AA.PP., pero también para los ciudadanos; formación, con planes formativos homogéneos y específicos para las administraciones públicas; tecnología: aportando inversión en tecnología para ayudar a las AA.PP. a protegerse; y Evaluación continua: implementando planes de evaluación continua sobre la postura de seguridad de la Administración”.
Por su parte, el Sales Engineer Manager de Sophos Iberia incide, además, en la necesidad en esta estrategia de cambiar la forma de entender la ciberseguridad. “La ciberseguridad es un habilitador del negocio. No podemos centrarnos en herramientas concretas, o proyectos cerrados ya sean tecnológicos o de formación. La ciberseguridad debe estar en el ADN de los procesos de negocio. Ya sea un organismo público que está dando un servicio a la ciudadanía o para una pyme que se abre camino en el mundo digital. La estrategia en ciberseguridad debe centrarse en construir un ecosistema adaptativo de seguridad que sea eficaz y eficiente a la hora de proteger a la empresa y deber estar respaldado por personal experto en ciberseguridad que acompañe a la organización en el viaje de la transformación digital”, afirma.