Especial Administraciones Públicas 2023

La transformación digital, caldo de cultivo de oportunidades y riesgos de ciberseguridad

La transformación de la sociedad provocada por la pandemia y el escenario geopolítico en el que influyen el conflicto bélico Rusia-Ucrania junto con la carrera por la hegemonía de China y Estados Unidos como grandes economías mundiales, también alcanza a las Administraciones Públicas españolas.

AAPP digital

El mundo que nos ha tocado vivir está cambiando. La transformación de la sociedad provocada por la pandemia y el escenario geopolítico en el que influyen el conflicto bélico Rusia-Ucrania junto con la carrera por la hegemonía de China y Estados Unidos como grandes economías mundiales, también alcanza a las Administraciones Públicas españolas, que tienen que aprender a adaptarse rápidamente a las nuevas necesidades de la ciudadanía y de los empleados públicos. La evolución del paradigma en el modelo de atención presencial frente al digital, junto con la implantación del teletrabajo, son los principales ejemplos en los que el proceso de adopción tecnológica acelera la transformación digital, introduciendo con ello, nuevos riesgos de ciberseguridad.

Desde el punto de vista de las amenazas, los principales agentes siguen siendo los grupos dedicados al cibercrimen industrializado y los grupos de ciberespionaje vinculados a Estados, con un aumento en el volumen de actividad, sofisticación e impacto. Recientemente, hemos visto ciberataques, con mayor o menor éxito, tanto en la Administración General del Estado, como en Comunidades Autónomas y Ayuntamientos, pero también en prestadores de servicios esenciales, como el Hospital Clínic de Barcelona, que sufrió un grave impacto producido por ransomware, con consecuencias en la disponibilidad del servicio.

En las Administraciones Públicas se han hecho muchos esfuerzos para la mejora de los servicios digitales, especialmente, en materia de ciberseguridad desde la publicación de un marco normativo renovado con el nuevo Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo), las inversiones tecnológicas financiadas por fondos europeos de recuperación, y la creación de centros y servicios de operaciones de seguridad en el Estado, algunas Comunidades Autónomas y diversos Ayuntamientos. Todos ellos son síntomas claros de la mejora de la ciberseguridad en el sector público, pero no debemos tener una visión demasiado optimista ni cortoplacista.

La realidad de los antecedentes previos a la pandemia y del contexto acelerado de transformación digital de los tres últimos años, indica que el ritmo de evolución de las amenazas y de la industria del cibercrimen es muy superior a la velocidad de mejora de la madurez en la seguridad de las Administraciones Públicas. En este escenario de riesgo creciente, la resiliencia de las organizaciones públicas debería ser una prioridad máxima en la lista de asuntos de los dirigentes estatales, autonómicos y locales

 

¿Qué podemos hacer?

El balance de esfuerzo del sector del cibercrimen frente al dedicado por las Administraciones Públicas es negativo. Para compensar esa deuda hay que dedicar recursos de manera estructural y estable a lo largo del tiempo, evitando medidas coyunturales que sin continuidad presupuestaria en los organismos públicos.

Las organizaciones privadas de cierto tamaño han transformado sus pirámides jerárquicas con la incorporación de nuevos roles que responden a las necesidades del negocio. En la capa de dirección (Nivel C), nos encontramos con CIO (Información), CDO (Digital), CTO (Técnico), CDO (Dato), CISO (Seguridad de la Información), mientras que en las organizaciones públicas no se ha abordado una transformación organizativa profunda alineada con las necesidades de la ciudadanía. Es fundamental apostar por este cambio, particularmente en materia de ciberseguridad. Necesitamos la figura del CISO como función diferenciadora en la prestación de servicios tecnológicos o digitales, con participación en los comités de dirección de nuestras organizaciones.

Una vez que resulta nombrado un CISO, se puede pensar que el problema ya está resuelto. Desgraciadamente, esa es la situación en la que se encuentran algunos organismos públicos para los que su responsable de seguridad es un héroe apagafuegos (nivel de madurez inicial). Es imprescindible conseguir que el CISO disponga de un equipo con alta cualificación capacitado para abordar los retos y responsabilidades que suponen la ciberseguridad en un escenario tan complejo.

Cuando ya tengamos un equipo de seguridad -un equipo de empleados públicos superhéroes- todavía no será suficiente. Ese es el momento en el que se deberían complementar las capacidades internas de la unidad, mediante servicios ofrecidos por empresas especializadas del sector. En este sentido es importante la cantidad, pero también la calidad. Para reducir la deuda, el presupuesto dedicado a servicios de ciberseguridad en una organización debe crecer de manera notable. Las licitaciones públicas que permitan la contratación de estos servicios novedosos deben primar la calidad frente al precio, teniendo en cuenta que los recursos de los proveedores de servicios de ciberseguridad son un bien preciado, por resultar escasos y caros.

Con estructuras de personal interno y servicios, que aporten valor a través de la especialización, ya tenemos mucho camino recorrido, pero hay que recordar que los adversarios diseñan amenazas en las que cada vez utilizan más y mejor tecnología. Por tanto, también se necesitará la mejor tecnología disponible en el mercado de fabricantes y servicios cloud de ciberseguridad, si queremos abordar una estrategia de defensa y respuesta en profundidad. En lo relativo a las infraestructuras tecnológicas, la deuda es aún mayor, ya que las Administraciones Públicas, en su estrategia de gestión de riesgos, han preferido evitar o posponer la utilización masiva de tecnologías en nube, potenciada tras la pandemia que obligó a adoptar un cambio inevitable. Es necesario asumir que las infraestructuras tecnológicas del sector público deben ser híbridas, así como que se deben habilitar procesos de contratación ágiles y flexibles, para alinearlos con los beneficios que aporta la nube.

 

Este artículo ha sido escrito por Miguel Ángel Rodríguez, fundador de ProtAAPP.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper