Entrevista
Ciberseguridad

"Las Administraciones tenemos claro que hay que proteger al accionista común, el ciudadano"

La sala de control del Centro de Ciberseguridad del Ayuntamiento de Madrid abre sus puertas a CSO para analizar su estrategia de la mano de su director, José Ángel Álvarez.

José Ángel Álvarez, CCAM
Play

 

 

Mario Moreno/ Imagen: Juan Márquez

El Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD) nace en 2021 y se integra dentro de Informática del Ayuntamiento de Madrid (IAM) para la protección de los sistemas de unos 27.000 empleados internos y otros 3.000 externos, y para afianzar y dar confianza a las interacciones digitales con la administración de tres millones y medio de ciudadanos. Hace escasas semanas, el alcalde, José Luis Martínez-Almeida, inauguraba la nueva sala de control. Un espacio dotado con capacidades de monitorización, detección, respuesta y cumplimiento normativo, entre otras. Así, automatiza unos 14.000 eventos y realiza unas 70 investigaciones de media al día. Desde este epicentro de operaciones hablamos con José Ángel Álvarez, director del CCAM, quien nos cuenta la estrategia del organismo, y asume, tal y como ya le dijo al propio alcalde, que los esfuerzos y dar un paso adelante son necesarios, pero que “es imposible blindar completamente a las administraciones de los ciberataques”.

 

¿Cuáles son las líneas operativas y estratégicas de esta sala de control?

En los últimos años hemos dado un impulso a la ciberseguridad, una línea con la que el Ayuntamiento de Madrid lleva trabajando desde hace tiempo para responder a todos los procesos de transformación digital, de los servicios y a las necesidades de la sociedad en su conjunto. Esto requiere de una protección. Por eso nos hemos dotado de unas nuevas instalaciones con capacidades de monitorización, detección, respuesta, cumplimiento normativo, auditorías… A través de esta sala podemos centralizar los esfuerzos en esta materia. De 2019 a 2023, se han multiplicado por cuatro los recursos que el Ayuntamiento está dedicando a la ciberseguridad, tanto a nivel de empleados públicos como en los presupuestos para la prestación de servicios. Creemos que esto es absolutamente imprescindible para dar respuesta al actual clima de amenazas y ciberataques que nos rodea.

 

Por tanto, ¿este centro cuenta con el aval de las más altas instituciones del Ayuntamiento de Madrid?

Sí. Cualquier esfuerzo en tecnología o ciberseguridad que no tenga el respaldo de la dirección está abocado al fracaso. En este caso, la creación del CCMAD parte de un compromiso del alcalde [José Luis Martínez-Almeida], que ha conseguido materializar e inaugurar hace escasas semanas. Se mostró muy interesado por el proyecto y, a su vez, preocupado por el panorama de amenazas. Pero creo que uno de los mensajes más claros que hemos podido transmitir es que, por una parte, es imposible blindar completamente a las administraciones de los incidentes. Todo el mundo los acaba sufriendo de una manera u otra, también las organizaciones privadas más grandes. Pero, por otra parte, lo que es evidente es que no podemos quedarnos parados. Debemos dar un paso adelante. Y hemos demostrado liderazgo, inversión, talento e incremento de capacidades. Nuestro objetivo es reducir la posibilidad de que se produzcan esos ciberataques. Y que cuando sucedan seamos capaces de reaccionar lo más pronto posible y limitar su impacto lo máximo posible.

 

La ciudad de Madrid cuenta con 3,5 millones de habitantes. ¿Cómo se protege su interacción con la administración?

El activo más valioso, y que tenemos la obligación de custodiar, es el dato del ciudadano. Una información que tenemos porque es necesario que la gestionemos para todos sus trámites, cada vez más en un plano digital tras la pandemia. Ponemos mucho foco en los portales corporativos, la sede electrónica del Ayuntamiento y todos los servicios que están a disposición de los ciudadanos. Hemos hecho un esfuerzo muy importante en los últimos años para que esa primera parte de identificación y autenticación sea clave. Eso simplifica mucho su vida, con solo una operación de registro. A partir de ahí, tenemos que pensar en cómo actúan los ‘malos’ y en cómo podemos protegernos. Tratamos de hacer pruebas de nuestros servicios y sistemas para descubrir vulnerabilidades y poner solución.

 

La pandemia supuso un fuerte impulso para la transformación digital en el que ha crecido sobremanera el número de trámites digitales del ciudadano con la administración. ¿Sienten las personas esa confianza y seguridad a la hora de hablar digitalmente con los servicios municipales?

Los datos avalan, y también podemos hablar a nivel general de las administraciones públicas en España, que tras la pandemia la relación digital con los ciudadanos se ha fortalecido muchísimo. La Oficina Digital del Ayuntamiento de Madrid, con Fernando de Pablo a la cabeza, publica toda una serie de indicadores sobre estas relaciones y se pueden ver cifras absolutamente increíbles de cómo ha cambiado el panorama. Un paradigma que probablemente iba a ir evolucionando poco a poco pero que se ha acelerado. Cuando se hacen las cosas bien y se publican los servicios de una cierta forma, con autenticación y buen diseño, el ciudadano detecta inmediatamente las ventajas de tener un tratamiento cuando quiera y desde donde quiera. También desde el teléfono móvil. Y no podemos mirar hacia otro lado. Se ha hecho un esfuerzo muy importante.

 

 

"Cualquier esfuerzo en tecnología o ciberseguridad que no tenga el respaldo de la dirección está abocado al fracaso"

 

 

Este centro se integra dentro de la Red Nacional de SOC del Centro Criptológico Nacional (CCN). ¿Qué importancia tiene formar parte también de una estrategia nacional y en la que la colaboración es clave?

Desde muy al principio, con la llegada de De Pablo a la Oficina Digital y de Alfonso Castro como gerente de IAM, siempre ha habido una estrategia muy clara de no hacer las cosas por nuestra cuenta, desconectadas del resto de organismos. Había una directriz muy clara de que íbamos a estar alineados al 100% con la autoridad en materia de ciberseguridad en administraciones públicas, con el CCN. Esto es lo que nos ha llevado a firmar este convenio para explorar nuevas relaciones e incrementar, todavía más, nuestra capacidad de intercambio de información. Una de las premisas fundamentales era la integración en la Red Nacional de SOC. En este sentido, hemos hecho un esfuerzo muy importante con una gran colaboración con el personal del CCN. Creo que a veces no se destaca lo suficiente el trabajo que hace y su liderazgo en este escenario tan complejo. Para nosotros es fundamental compartir de manera rápida, ágil y automatizada, y utilizar sus herramientas y servicios. Tenemos la capacidad, con esto, de poder evitar ataques en otras administraciones públicas, y al contrario. Todos tenemos que tener claro que el accionista es común, el ciudadano.

 

¿Qué volumen de amenazas recibe la administración y cuáles son los principales ataques que detectan?

Por una parte, nos enfrentamos a la interrupción de servicios. Los atacantes pueden querer frenar lo que prestamos a los ciudadanos y, probablemente, vincular esa interrupción con algún tipo de incidencia de ransomware para luego solicitar un rescate. El otro tesoro que custodiamos es el dato de los habitantes. Los ‘malos’ buscan monetizarlos. Pero, en general todas las administraciones públicas están en el mismo panorama. Si hablamos de números, en este tipo de métricas creo que habría que ponernos de acuerdo en qué significa ataque. Tenemos dos indicadores reales que pueden dar una idea del volumen que manejamos. El primero es que estamos tratando alrededor de 14.000 eventos por segundo de forma automatizada. Eventos que guardamos y tratamos. Esto nos dice que están sucediendo muchas cosas en la red y en los sistemas. Luego se determina si uno de esos eventos, o una cadena, podría constituir algo que sea sospechoso o anómalo. De ahí, podemos decir claramente que hacemos unas 70 investigaciones al día de media.

 

Ahora mismo nos encontramos en plena campaña electoral en Madrid. ¿Cuenta el CCMAD con algún tipo de protocolo o refuerzo especial en estas fechas?

Lo cierto es que el panorama de amenazas es muy intenso ya en el día a día. Pero sí es cierto que hay sucesos complementarios, como por ejemplo la guerra de Ucrania, en los que determinados grupos deciden lanzar otro tipo de ataques, como denegación de servicios (DNS), que han afectado a distintos portales en España. Y, sí se puede observar un pico de actividad. Con respecto a la campaña electoral, nuestro enfoque es de reforzar los servicios de detección.

 

Lo cierto es que, con la sucesión de elecciones cada cuatro años, ‘lo digital’ y la ciberseguridad van ganando más peso.

Ya hay pocas situaciones en el día a día de las ciudades en las que la tecnología no tenga un papel relevante. Y, en ese sentido tenemos la gran responsabilidad de diseñar sistemas seguros y encontrar ese equilibrio entre usabilidad y protección. También avanzar en los caminos del doble factor de autenticación sin que represente una dificultad añadida, por ejemplo, para los empleados. La evolución tecnológica de la sociedad nos hace más importantes si cabe.

 

La evolución tecnológica de la sociedad nos hace más importantes [a los expertos en ciberseguridad] si cabe.

 

 

 

¿Qué protocolos se activan y de qué manera actúa el centro en un pico de crisis?

Me gustaría destacar que tenemos una operativa diaria y de que no se trata de cuestiones excepcionales, sino de que tengamos implantados unos procesos que suceden de una manera continua, y en algunos casos en formato de 24x7, para poder procesar los 14.000 eventos por segundo, relacionar las anomalías e investigarlas. A partir de ahí, nos podemos encontrar situaciones en la que esa anomalía puede constituir un intento de ataque. Además, podemos ver que ese intento consigue progresar y tiene cierto impacto en nuestros sistemas de información. Aquí, lo esencial es detectarlo. Aunque, obviamente, lo ideal es reducir la probablidad de que eso suceda. Pero, cuando pasa aplicamos nuestros procedimientos. En primer lugar, hacemos un buen triaje basado en evidencias para entender lo que está sucediendo. Luego hay una fase de contención en la que podemos tener equipos o accesos infectados, y podemos actuar de manera rápida para aislar el virus. Si conseguimos que solo nos afecte a una pequeña parte de nuestro organismo y podemos contenerlo, habremos hecho un buen trabajo. También es evidente que tenemos que estar preparados para situaciones en las que no podremos contener o en las que el atacante cuenta con mecanismos muy avanzados y se pueda extender el problema y haya impacto en los servicios municipales. En este sentido, somos pioneros en incluir la parte de ciberseguridad dentro del plan de emergencias del Ayuntamiento de Madrid, igual lo están una pandemia o para una nevada como la de Filomena. Sin estos canales, en una situación de ‘cibercrisis’ tendríamos que ver cómo informar al alcalde, tratar a los medios de comunicación… Al estar por escrito, todo esto ya está consolidado. Estamos preparados.

 

¿Cómo es la colaboración y el intercambio de información con otros ayuntamientos de otras ciudades del país?

Tenemos diferentes estrategias, y ya dentro de la Red Nacional de SOC hay muchas administraciones públicas. Pero, esta cuestión nos parece muy relevante. Si como responsable de la ciberseguridad de una ciudad no hablas con otros ayuntamientos, algo raro pasa. En este sentido, hemos encontrado una colaboración muy interesante con la Red Española de Ciudades Inteligentes, que aglutina a muchas urbes que están haciendo cosas muy interesantes en cuanto a tecnología. Nos hemos incorporado al grupo de trabajo de ciberseguridad en el que intercambiamos experiencias, conocimientos, lecciones aprendidas y cosas que hemos hecho mal, porque a veces parece que solo compartimos casos de éxito. Y creo que es muy importante también, en círculos de confianza, dar a conocer errores para que otros puedan determinar su camino.

Además, tenemos otro foro a nivel de empleados. Pensamos que hay margen para que el personal público que trabaja en ciberseguridad se comunique más. Más allá de la colaboración institucional, las personas podemos compartir mucho más. Y, en este caso hay una comunidad que se llama ProtAAPP (Protege las Administraciones Públicas) que forma un mecanismo para articular el conocimiento. El lema es ‘Aprende, conoce y comparte’. Queremos que, además de los canales formales, el trabajador pueda preguntar y no se sienta solo. Los que trabajamos en ciberseguridad nos enfrentamos a los mismos problemas y las soluciones son muy similares.

 

La Administración Pública de la ciudad de Madrid cuenta con unos 30.000 empleados que, tras la pandemia, tuvieron que digitalizarse aún más y sumergirse en nuevas formas operativas. ¿Qué papel juega la ciberseguridad y la concienciación en esta fuerza laboral?

Hacemos mucho esfuerzo para trasladar toda una serie de contenidos formativos y de concienciación. Tenemos la obsesión de realizar ejercicios muy concretos y muy entendibles para nuestros usuarios. Creo que a veces utilizamos un vocabulario muy complejo, pero lo que hay que hacer es mandar mensajes cortos y dirigidos. De todas formas, también tenemos una filosofía particular; a veces ponemos demasiada responsabilidad en los usuarios. Si un empleado municipal recibe un correo de phishing y lo ejecuta, y eso produce que se cifre toda la información del organismo, ¿qué grado de responsabilidad tiene el empleado y qué grado tienen los directivos de seguridad? Si, realmente, el conjunto de controles de seguridad que hemos puesto se derrumban con un click, es que no hemos hecho las cosas bien. Es decir, es muy importante concienciar a los usuarios, pero también debemos asumir nuestra responsabilidad para diseñar sistemas resilientes y seguros por defecto y que, aunque nuestros usuarios se equivoquen, que lo van a hacer, sigan funcionando.

 

 

"Es muy importante concienciar a los usuarios, pero también debemos asumir nuestra responsabilidad para diseñar sistemas resilientes y seguros por defecto"

 

 

Y, por supuesto, el ciudadano también se puede equivocar en correos de suplantación de identidad.

Sin lugar a dudas. Hacemos el mismo razonamiento. Nosotros todavía no tenemos la capacidad de lanzar campañas de formación y concienciación a los ciudadanos, aunque nuestra visión es que quizás podríamos abordar este tema en el futuro. Además, hay organismos como INCIBE que son muy activos. Pero, reitero, sí es nuestra responsabilidad diseñar sistemas resilientes, de tal manera que si el ciudadano se viese engañado nosotros tengamos controles.

 

¿Qué importancia tiene la colaboración público-privada, con distintos fabricantes, a la hora de tratar y responder a estos eventos?

Nosotros tenemos un equipo de empleados públicos, algo que me gusta destacar porque a veces la figura del funcionario tiene cierta imagen que no nos gusta. Pero es cierto que nos apoyamos muchísimo en el sector privado. Tenemos un gran contrato de servicios de ciberseguridad que vamos a adjudicar en pocos meses a la empresa que gane la licitación. Y, en todos los servicios municipales hay una serie de prestadores que hacen una parte de ciberseguridad. Una cosa que decimos es que la seguridad no es algo que puedas hacer de una manera muy concreta en una parcela de los sistemas, sino que toda la prestación de servicios que realizamos a ciudadanos y empleados debe llevar incorporado ese pilar. Por lo tanto, tenemos colaboración con grandes empresas españolas y europeas. El entendimiento en esto es algo fundamental; beneficiarnos de su conocimiento y músculo. Todas las organizaciones que estamos en la Red Nacional de SOC nos encontramos bajo un paraguas de colaboración.

 

Teniendo en cuenta la criticidad de los servicios, ¿de qué manera auditáis a estos colaboradores privados?

Trasladamos una gran parte de la carga normativa, que en los últimos años se ha acentuado con obligaciones, a los adjudicatarios de nuestros servicios. Y, obviamente requerimos que esos adjudicatarios cumplan con el Esquema Nacional de Seguridad (ENS), la Directiva NIS… El hecho de trabajar para el Ayuntamiento de Madrid implica la exigencia del cumplimiento de toda esa serie de estándares. Por supuesto, también realizamos auditorías en temas legislativos y de vulnerabilidades.

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper