La seguridad es uno de los retos a los que se enfrentan las Administraciones Públicas. Para analizarlos Byte TI y Ajudicaciones TIC organizaron un encuentro que contó con la presencia de Santiago Rodríguez Yunta, Director Centro de Seguridad de la Información GISS; Ángel Luis Sánchez, CISO Servicio Madrileño de Salud; Florián Manuel Pérez Sánchez, Responsable de Ciberseguridad del Gobierno de Cantabria y Óscar Pastor Acosta, Gerente de Seguridad de Sistemas de ISDEFE como representantes de la Administración junto con Víctor Javier Tendero, Responsable de desarrollo de negocio e ingeniería de Telefónica; Francisco José Verdugo, Senior Partner Solution Engineer de VMware y David Sánchez, Regional Account Manager de Trend Micro
Moderado por Ignacio Sáez, Managing Director de MKM Publicaciones, inició el encuentro Carlos Canitrot, director de consultoría de Adjudicaciones TIC, que hizo un repaso de la situación de la ciberseguridad en las AA.PP. españolas. Según afirmó, “reforzar la capacidad española en ciberseguridad es una de los pilares de la agenda 2025 y por ello, aspiramos a ser uno de los países más ciberseguros del mundo”. Como datos destacables, se señaló que la inversión pública en España ha alcanzado los 1818 millones de euros de los que 35, 34 millones corresponden a ciberseguridad. De esa cifra, según aportó Canitrot, “la Administración Central tiene casi el 47% de la inversión con Banco de España, GISS y Renfe a la cabeza. La autonómica posee casi un 45% y por último, las entidades locales con tres millones de inversión y alrededor del 8% del total. En lo que se refiere a las zonas geográficas, Madrid, Castilla y León y Andalucía son las que más invierten en ciberseguridad y junto con Administración General del Estado ocupan el 80% de las inversiones que se realizan en ciberseguridad”.
Los retos
Lo primero que se trató durante el debate fueron los retos que afrontan las Administraciones Públicas en materia de ciberseguridad. En este sentido, el ejemplo de la Gerencia de Informática de la Seguridad Social (GISS) es de los más relevantes, ya que junto con la Agencia Tributaria son las organizaciones más potentes dentro de las Administraciones Públicas.
En este sentido, Santiago Rodríguez Yunta, Director Centro de Seguridad de la Información GISS afirmó que uno de los problemas con los que se encuentran es que “la contratación en las AA.PP. son procesos muy tediosos, que llevan más de un año por lo que a veces, cuando sale el contrato , la tecnología se ha quedado obsoleta. Por eso, para nosotros, lo más sencillo para que pasen todos los filtros es la adjudicación en base a precio porque en base a otros aspectos ha de ser objetivable. El problema de apostar por el precio es que muchas veces no te encuentras con los que querías contratar”.
Además, la pandemia ha supuesto un antes y un después, y el esfuerzo que han tenido que realizar durante este periodo ha sido titánico. Por ejemplo, Rodríguez Yunta explicó como “hemos tenido que poner una fuerza de trabajo importante a teletrabajar y para ello tuvimos que adquirir 10.000 licencias de Citrix para que los funcionarios pudieran trabajar desde su casa. Todo esto exigía de unos requerimientos de ciberseguridad y se ha trabajado como se ha podido, sobre todo al inicio. Otro tema importante es el apartado legislativo y organizativo. Ahora han salido diversas leyes, como la de protección de datos que todos tenemos que tener muy en cuenta para proteger datos en información. Ahora, las leyes de seguridad de firma electrónica, del acceso de los ciudadanos a las AAPP, etc. todo ello provoca grandes retos en seguridad. Tenemos que ofrecer todos nuestros servicios de forma telemática y tenemos que garantizar y proteger acceso y datos que dan los ciudadanos. Por último, suponen un reto los avances tecnológicos que nos proporcionan herramientas antes impensables y que tienen un gran impacto. Dentro de estas tecnologías están las tecnologías RPA, y aparecen nuevos temas nuevos relacionados con la ciberseguridad que hay que gestionar. Otra muy importante es la nube. Hasta ahora las AAPP eramos reticentes a ir a la nube precisamente por la protección de los datos para evitar que se produzcan brechas. Ahora ya es un mundo al que no hay más remedio que ir. Por ejemplo, ahora nos estamos planteando utilizar el Office 365 que hasta ahora no estábamos utilizando. Todo ello plantea enormes retos a la hora de establecer una estrategia de ciberseguridad”.
Cambiar la perspectiva
Lo cierto es que todos estos planteamientos han cambiado por culpa de un nombre: coronavirus. La hoja de ruta de las AA.PP. también ha tenido que cambiar de forma radical y se han abierto proyectos que antes no se contemplaban, o sí se hacía, eran a medio-largo plazo.
En este aspecto, Víctor Javier Tendero, Responsable de desarrollo de negocio e ingeniería de Telefónica afirmó que “la pandemia nos ha hecho cambiar la perspectiva de hacia dónde hay que ir en materia de ciberseguridad. En el caso de Telefónica tenemos dos apartados, proteger a nuestros empleados y por otro, proteger a los clientes. Hemos tenido una situación crítica al inicio pero luego hemos visto que en materia de ciberseguridad había que tener una nueva estrategia. Nos encontramos nuevos entornos digitales, como la migración de los entornos a la nube, la transformación del puesto de trabajo, etc. Los empleados, al final, nos volvemos digitales. Y además nos encontramos con los sistemas de cumplimiento. Estamos en un nuevo entorno y al final, lo que estamos viendo es que nosotros intentamos plantear un enfoque zero-trust. Para nosotros centrarnos en la protección del dato y la identidad es lo más importante. Tenemos que saber en todo momento dónde está la información, quién accede a ella y cuándo. Además estamos evolucionando hacia una nueva arquitectura, donde los sistemas tienen que ser escalables para que los servicios se adapten a ellas. Todo ello con la premisa de la protección del empleado. En Telefónica le damos una importancia vital a esto porque el empleado ha visto que no estaba acostumbrado a trabajar desde su casa. El objetivo es tener una protección avanzada del puesto de trabajo tanto fijo como móvil. Un antivirus ya no es suficiente y se trata de dar soluciones avanzadas de seguridad para que el usuario no aacceda a sitios dudosos. Además, está el tema de la concienciación del empleado que es lo más complicado pero hay que conseguir que el usuario no sea el eslabón más débil en una estrategia de ciberseguridad.
Un ejemplo relevante es el de la sanidad pública. Durante la pandemia, no sólo los sanitarios se han visto desbordados: también todos los que conforman los departamentos tecnológicos de los diferentes centros que conforman la sanidad pública. Un ejemplo es el del Servicio Madrileño de Salud (SERMAS). Ángel Luis Sánchez, CISO del SERMAS dio las cifras de todo lo que gestionan: “Nosotros prestamos servicios TIC a 35 hospitales, 419 centros de atención primaria y más de 2.800 farmacias. Además, damos servicio a 6.700.000 usuarios, además de a las empresas privadas y concertadas que se relacionan con la sanidad pública. Monitorizamos 160.000 IPS, lo que da idea de lo que tenemos que gestionar. Además, tenemos infinidad de datos que contienen información de la salud de los ciudadanos. Es decir tenemos unos volúmenes muy importantes de datos que además tienen que ser especialmente protegidos. Por eso, la seguridad es una de nuestras principales prioridades y nuestra estrategia en esta materia se basa en tres pilares: por un lado, la disponibilidad ya que de ello depende la salud de nuestros ciudadanos ya que si los sistemas se paran ponemos en riesgo su salud. En segundo lugar se encuentra la integridad de los datos para que que la información que proporcionan no sea mala y por supuesto la privacidad de los datos de todos y cada uno de los pacientes.
Workspaceone
Para afrontar esta serie de retos, VMware Workspace ONE es una solución que permite la distribución y gestión de cualquier aplicación en cualquier dispositivo de forma sencilla y segura. Tal y como explicó Francisco José Verdugo, Senior Partner Solution Engineer de VMware, esta herramienta integra el control de acceso, la gestión de aplicaciones y la gestión de terminales multiplataforma en una única plataforma con la ventaja de que está disponible tanto en cloud como en on-premise. Como Verdugo apuntó, “la clave en el mundo de la ciberseguridad radica en que antes, ésta iba por capas y se basaba en un modelo reactivo, es decir, se actuaba cuando se descubría la amenaza. Nosotros apostamos por que la seguridad forme parte de todas las soluciones de VMware y nos basamos en un modelo proactivo y basado en contexto. Y además queremos que la ciberseguridad sea un deporte de equipo y se pueda ayudar a la gente que gestiona dispositivos para que sea partícipe de esa seguridad. Nuestro objetivo es poner “camaras de seguridad” para que se vigile todo lo que está sucediendo en cada aparato, en cada terminal, para saber si la red desde la que se accede está siendo segura, si se aplican las políticas de seguridad independientemente de donde está el dato, etc. Por eso el año pasado adquirimos Carbon Black, una de las firmas líderes en la seguridad endpoint de próxima generación, para controlar la seguridad a nivel de proceso y la hemos combinado con Workspace ONE, que aplica un modelo Zero Trust para aplicar acciones automatizadas”.
Datos personales
Otro de los retos más importantes en materia de ciberseguridad que afrontan las Administraciones Públicas es el que se refiera al tratamiento de datos personales.
Florián Manuel Pérez Sánchez, Responsable de Ciberseguridad del Gobierno de Cantabria habló sobre este tema y afirmó que “la principal frase de la RGPD es la que dice que los responsables del tratamiento de los datos aplicarán las medidas técnicas y organizativas apropiadas, para que se cumpla el reglamento. Es una frase que se repite a lo largo de todo el texto con lo que el cumplimiento del mismo queda fuera del propio texto. Esto es algo que no ocurría con la legislación anterior, que por lo menos te daba ciertas pautas. En la Ley Orgánica de Protección de Datos, al menos, hay varias alusiones al Esquema Nacional de Seguridad por lo que sabemos que para el tratamiento de datos automatizados hay que enfocarse hacia ese esquema, que te marca las aputas para estar acorde a la Legislación. Además en la LOPD también alude que al contratante de unos servicios hay que exigirle las mismás reglas que se pondría uno mismo para la protección de los datos personales.”
Un problema es el tratamiento de los datos no automatizados que el Esquema de Seguridad no los trata y la RGPD, tampoco. Para Pérez Sánchez “es aquí cuando aparece la figura del delegado de protección de datos, pero sus funciones son las de informar, supervisar y asesorar… Es decir, el delegado no trabaja sobre la estrategia de la protección de datos. Por eso, las medidas técnicas dependen del departamento de ciberseguridad y las organizativas, del departamento de organización”, En opinión de este responsable de seguridad, “se necesitan equipos bien dotados en una materia y en la otra y han de existir líneas de coordinación entre ambos porque hay mucha parte que depende de lo que hagan los propios usuarios. Además, se necesita un apoyo firme del comité de dirección porque se trata de vencer las resistencias al cambio, algo que afecta mucho a las AA.PP. Mi pregunta es si no se tenía que haber planteado alguna figura más que fuera el motor de implementación de las medidas de seguridad”.
Más soluciones
Trend Micro es una de las principales empresas de ciberseguridad del mundo. David Sánchez, Regional Account Manager de la compañía explicó que “actualmente hay más de 2.700 empresas dedicadas a la ciberseguridad, de las que rentables solo son 3, una de las cuales es Trend Micro. Tenemos unas 500.000 empresas como clientes, entre ellas 45 de las 50 principales empresas del mundo y contamos con más de 7.500 empleados y contamos con más de 50 oficinas. En los diferentes cuadrantes mágicos solemos estar posicionados como líderes porque entendemos que cada producto o servicio tecnológico tiene una problemática diferente”. El portavoz de la compañía hizo un repaso de toda la gama de soluciones que tiene la compañía y que permiten la resiliencia de las empresas, gobiernos y consumidores con soluciones conectadas a través de cargas de trabajo en la nube, endpoints, correo electrónico, IoT Industrial y redes. La estrategia de seguridad Xgen de la firma esta pensada para que sus soluciones que cuentan con una combinación intergeneracional de técnicas de defensa contra amenazas, están optimizadas para los entornos clave y aprovechan la inteligencia de amenazas compartida para una protección mejor y más rápida.
Tal y como expuso Sánchez, “lo que nos hace diferentes es que somos el fabricantes que más cosas tenemos en la red y más parches ofrece de forma diaria”.
Finalmente, Óscar Pastor Acosta, Gerente de Seguridad de Sistemas de ISDEFE contó la problemática que afecta a esta sociedad sociedad mercantil estatal y que ofrece servicios de consultoría e ingeniería la Administración General del Estado (AGE). Como expuso Pastor Acosta, “estamos adscritos al Ministerio de Defensa pero también damos servicio a otros ministerios. Somos 1500 empleados de los cuales, casi un 90% de los mismos son ingenieros. En ciberseguridad trabajamos en aquellos sitios en los que la AGE nos demanda. A todos los que prestamos servicio les ofrecemos consultoría en ciberseguridad con el rol de consultor para ayudar a cumplir la normativa. Como ingenieros ayudamos a que se cumplan las normativas, y también hacemos el rol de auditor para revisar cómo se cumplen los requisitos haciendo auditorias, por ejemplo del Sistema Galileo”.
Pastor Acosta, además incidió en un problema que está afectando tanto a las AA.PP. como a las compañías privadas, que no es otro que la gestión del talento. En este sentido, señaló que “hay qye destacar los aspectos relacionados con la captación y gestión del talento en ciberseguridad. La realidad actual es que hay muchas herramientas tecnológicas pero si detrás no hay personas va a ser muy difícil que esto funcione. Todos los años hay muchos informes y se ve que hay un agujero de personal con competencias en materia de ciberseguridad. En nuestro caso, tenemos una cierta tensión para cubrir todas las vacantes que necesitamos para poder abordar las necesidades. En este punto, es importante resaltar la colaboración publico-privada. Por ejemplo, se inauguró el FORO Nacional de Ciberseguridad como punto de encuentro en la colaboración público-privada para cubrir el reto de todos los aspectos relacionados con la ciberseguridad. Este foro tiene varios grupos de trabajo y uno de ellos es el que trata sobre capacitación y talento en ciberseguridad y que lidera el Centro Criptológico Nacional. En mi opinión, ha varios apartados a mejorar en lo que se refiere a la ciberseguridad en las AAPP. Uno de ellos es dotarse de buenas herramientas, otro, encontrar el talento y luego se encuentra que las AA.PP. en ocasiones tienen unos procesos de dotarse de capacidades que son muy pesados y complejos y esto en entornos TIC y de cibersguridad, donde las cosas cambian en semanas, es muy complicado alinear los procesos de contratación con la realidad”.
