Las Administraciones Públicas están entre los organismos que más información sensible manejan. Aunque se están haciendo importantes esfuerzos para potenciar todo lo relativo a la ciberseguridad y la protección de los datos, la implantación de estas tecnologías de protección —y de la necesaria concienciación— sigue siendo desigual en función de la distinta criticidad existente dentro de la administración. Sobre todo ello hemos hablado con Andrés de Benito, responsable de ciberseguridad en Capgemini.

Dentro de los organismos vinculados la Administración pública podemos encontrar distintos modelos de actividad, aunque algo común a la mayoría de ellos es que se gestionan un importante volumen de información relacionada con el ciudadano. Esta característica les hace especialmente atractivos para los cibercriminales.

Tal y como ocurre con el grado de adopción de la tecnología, el Sector Público suele ir un paso por detrás de la empresa privada a la hora de defenderse. Según comenta Andrés de Benito, responsable de ciberseguridad en Capgemini, “los tiempos en la Administración Pública son otros, debido a las aprobaciones, controles y procesos burocráticos vinculados, que, por otra parte, son necesarios para garantizar un mayor control sobre el dinero público, que es de todos los ciudadanos”.

La Administración Pública no está mal defendida, lo que pasa es que tiene una repercusión mediática mayor

Pero uno de los grandes problemas en ciberseguridad es precisamente la obsolescencia tecnológica: si no se está actualizado se corre el riesgo de ir un paso por detrás, ya no solo de la empresa privada o del resto de sectores, sino también de los cibercriminales. “Esto les convierte en un objetivo claro y, además, más sencillo de batir que otras empresas privadas, que suelen estar más capacitadas para protegerse”.

Nivel de protección

Pero no caigamos en el error de pensar que la Administración Pública está mal defendida. Lo que pasa es que cuando recibe un ataque tiene una repercusión mediática mayor. “Aunque hay áreas en las que queda todavía mucho por hacer, las Administraciones Públicas están haciendo importantes esfuerzos para cubrir ese gap y poco a poco lo están consiguiendo”.

Hay que tener en cuenta que la ciberseguridad es algo muy complejo porque abarca todas las capacidades tecnológicas de una empresa: todo aquello que esté soportado por una plataforma tecnológica es susceptible de ser atacado y, por lo tanto, debe ser protegido. “Cuanto más digitalicemos nuestro mundo, y cuanto más se digitalice la Administración Pública, más esfuerzos habrá que hacer para protegerse”.

En cualquier caso, el nivel de ciberseguridad que ofrecen algunas áreas del Sector Público no tiene nada que envidiar al de la empresa privada. Es lógico: el correcto funcionamiento del Estado se basa en que ciertas empresas —públicas o semipúblicas— funcionen.

“El país depende del correcto funcionamiento de determinadas entidades que gestionan infraestructuras críticas ligadas a la energía, al ámbito financiero, al transporte, a los suministros… Estos son objetivos claros y que están siendo continuamente atacadas. El propio entorno les ha obligado a mantener un ritmo de protección muchísimo más elevado. Hay empresas que no pueden permitirse tener ni siquiera un pequeño agujero de seguridad”.

Cultura de ciberseguridad

Existen varios aspectos a mejorar para acelerar el desarrollo de la ciberseguridad en la Administración Pública, como pueden ser los presupuestos, el grado de innovación, el de adopción tecnológica… Pero uno de los más importantes es el relativo a la cultura de ciberseguridad.

El CISO cada vez tiene más peso, más discurso, pero todavía hay que dotarles de contenido real

“Sobre este aspecto se ha avanzado mucho en la capa directiva de estas organizaciones, las personas que aprueban los presupuestos y marcan el camino, pero la cultura de ciberseguridad tiene que llegar también a todos y cada uno de los usuarios. Cada empleado es una puerta de entrada, es el vector de ataque más utilizado a través de técnicas de ingeniería social o phishing”.

La empresa privada está haciendo muchos esfuerzos para dotar de esa concienciación a sus empleados, pero en la administración pública queda mucho camino por recorrer en este sentido. Concienciar a 3000 empleados de una empresa privada tiene su complejidad, pero si hablamos de las AAPP, las cifras son mucho más elevadas y también el nivel de dificultad.

En cualquier caso, el papel del CISO va cogiendo peso dentro de las AAPP. “Es cierto que, sobre todo en las empresas semipúblicas, es un rol que cada vez tiene más peso, más discurso, pero todavía queda que se les dote de contenido real”.

Cloud y teletrabajo

Durante los últimos años se han acelerado los procesos de digitalización, también en el ámbito de las AAPP, lo que está obligando a implementar cambios en los modelos de ciberseguridad. “Este es un viaje interminable. No estamos protegidos nunca. Según se van mejorando y transformando las infraestructuras surgen nuevos aspectos a proteger y eso obliga a mantener el paso, a no quedarse dormido. Sobre todo, porque los malos no te lo van a permitir”. 

Zero trust

Otro de estos conceptos es zero trust, con el que se pone nombre a una tendencia que ya se viene desarrollando desde hace años: añadir una cubierta adicional a cada una de las capas de defensa ya definidas, que contemple todo lo relativo a la gestión de accesos y de identidades. Esos modelos ya se estaban empujando, aunque ahora, con el nombre de zero trust, están teniendo mayor tracción y hay muchas empresas que están empezando a tenerlos en cuenta en sus presupuestos para futuros desarrollos”.

Zero trust es una arquitectura especialmente compleja, pero también muy efectiva. Obliga al atacante a tener éxito al pasar todas y cada una de las barreras que una organización establece para proteger sus activos tecnológicos. Si en todos y cada uno de esos pasos tiene que estar continuamente volviendo a justificar por qué está allí, con las consiguiente reautenticaciones y revalidaciones, la dificultad para cibercriminal se multiplica de manera exponencial.

La crisis del coronavirus trajo consigo una adopción acelerada del teletrabajo, difuminando el perímetro tecnológico tradicional. Además, esto ha venido acompañado del uso creciente de la nube en mayor o menor medida. “Gran parte de las aplicaciones del día a día se están consumiendo como servicio a través de cloud (Gmail, Office365, Salesforce, etc.). Esto, aparte de difuminar el perímetro, cambia también los vectores de entrada y abre un nuevo abanico de riesgos”.

Con el antiguo modelo, todo estaba acotado. Ahora, al utilizar aplicaciones que están fuera del perímetro, hay que preocuparte también por cómo se protegen esas compañías. Es algo cada vez más extendido: en vez de atacar a un cliente final, los cibercriminales se enfocan a una empresa que provee servicios a otras muchas. Si el asalto a la cadena de suministro es exitoso, la recompensa es el acceso a todas esas entidades.

“Lo vimos con el ataque de Sunburst: los cibercriminales pudieron acceder a la empresa que proporcionaba la tecnología para gestionar las redes de todas las grandes empresas del mundo desarrollado. Con ese ciberataque consiguieron acceso a todas ellas”.

En cualquier caso, hablamos de un proceso de evolución constante: la ciberseguridad actual no tiene nada que ver con la que había hace veinte años, y seguramente tampoco se parecerá mucho a la que veremos en el futuro. Ahora, el ransomware es el vector de ataque más común y el que más preocupa a las empresas, pero, seguramente, dentro de diez años no va a haber ransomware o, por lo menos, no como lo conocemos hoy.

“Los fabricantes van a encontrar la clave para impedir que un proceso —que no debe estar ahí— se ponga a cifrar sus sistemas. Ese día habrá vuelto a cambiar el tablero de juego, pero no estaremos en un mundo más seguro: los cibercriminales evolucionarán y encontrarán otro vector de ataque. Es algo que viene ocurriendo durante los últimos veinte años”.

Security by design

Cada vez más, el Sector Público está adoptando todo tipo de tecnologías y modelos de seguridad siguiendo la estela de la empresa privada, aunque el grado de implantación depende mucho del nivel de madurez de cada una de las entidades y de su criticidad. “Algunas van muy rápido y sí que tienen asumido conceptos como el de security by design, que ya empieza a tener relevancia”.

Security by design cada vez está más aterrizado, pero todavía tiene que entenderse como un cambio cultural y no solo como un eslogan

En opinión de Andrés de Benito, todavía hay muchos aspectos a mejorar en este sentido: security by design es un concepto que debe estar muy ligado a la cultura. Cuando la Administración Pública inicie la contratación de cualquier tipo de proyecto tecnológico, debería obligar a que en los pliegos queden reflejados todos los aspectos relativos a la ciberseguridad. En el caso de que no sea así, existe el riesgo de que algún proveedor no contemple este aspecto y que esta sea la razón por la que acabe ganando posicionamiento frente al resto.

“Este concepto de security by design cada vez está más aterrizado, pero todavía tiene que entenderse como un cambio cultural y no solo como un eslogan de ciberseguridad. Hay que asegurarse de que se contemple la seguridad como base de cualquier proyecto tecnológico de la administración”.

Gestión unificada de la ciberseguridad

Muchas veces se critica a las administraciones públicas por su velocidad, pero esta no es una estrategia errónea por definición; de hecho, les permite ir moviéndose y tomando aquello que funciona en otras entidades. Esto es algo que se puede observar en la progresiva tendencia hacia la reducción del número de proveedores, agregando diferentes servicios en grandes contratos para contar con un punto de contacto único, mejorando de este modo la capacidad de coordinación y comunicación interna en caso de incidente.

“Este es un momento paradigmático. Resulta vital que la comunicación y la coordinación sean lo más ágil posible. Un retraso o un fallo a la hora de detectar y reaccionar puede marcar la diferencia entre sufrir un impacto enorme o hacer que sea acotado y que se pueda gestionar”.

Además, aunque hay algunos ámbitos de la ciberseguridad que son muy de nicho, en los que seguirá habiendo empresas muy especializadas, las AAPP buscan proveedores capaces de construir y ejecutar esos contratos marco que abarquen toda la ciberseguridad.

“Cualquier área tecnológica debe hacer una reflexión sobre la ciberseguridad y eso obliga a tener especialistas con distintos perfiles. Hay pocas empresas en el mercado que tengan esa visión completa de todas las áreas que hay que proteger dentro de estas grandes organizaciones”.

Más allá del dato

A la hora de dar los pasos necesarios para avanzar en el ámbito de la ciberseguridad es necesario tener muy claro qué es lo que hay que proteger. “Muchas veces se ha limitado la importancia de la ciberseguridad a la protección de los datos como tal, pero hay que tener una visión mucho más amplia. Hay que pensar también en los procesos, en la infraestructura y en el impacto que puede provocar el hecho de que ese dato no esté disponible”.

En el caso de proteger datos sensibles, hay que desplegar una serie de medidas y definir un determinado modo de reaccionar. Pero si ese dato, o esa plataforma tecnológica, es importante para el funcionamiento de un proceso, y puede provocar el fallo en otras áreas de la propia administración —o de otras—, el impacto es distinto; y también debe serlo el modelo de protección y el coste tecnológico que hay que afrontar para asegurar la continuidad de ese proceso.

Hay que tener muy claro qué se está protegiendo, por qué es importante y, en base a eso, dar los siguientes pasos

Incluso podemos llegar a ver medidas que trascienden del espacio digital y que llegan al ámbito físico. En infraestructuras críticas es habitual contar con medidas de seguridad que, de alguna forma, dejan ciego el entorno digital para no depender de él en caso de una emergencia.

“En cualquier caso, ese debe ser el planteamiento: tener muy claro qué es lo que se está protegiendo, por qué es importante y, en base a eso, empezar a dar los siguientes pasos. Y, desde luego, no cometer el error de obsesionarse con un despliegue tecnológico particular. La tecnología no puede ser un fin en sí mismo, sino el medio que ayuda a proteger”.

Ciberseguridad como servicio

Una de las tendencias que se están viviendo en la empresa privada, y que está llegando también con fuerza al Sector Público es el modelo de ciberseguridad como servicio. En opinión de Andrés de Benito, la ciberseguridad se ha convertido en algo muy complejo de gestionar, incluso para las grandes empresas.

“Es prácticamente imposible tener todo el conocimiento o afrontar todos los retos tecnológicos de manera interna. Desde Capgemini estamos dando ese paso: ofrecer la ciberseguridad como servicio, de tal manera que nuestros clientes obtengan aquello que necesitan en cada momento y en función de sus necesidades”.

Ya estamos viendo pasos hacia la ciberseguridad como servicio en algunos de nuestros clientes en la Administración Pública

Es verdad que esto va a tardar en llegar a la Administración Pública, porque estas entidades siguen muy focalizadas en modelos de body shopping y time & material, muchas veces encubiertos. Pero tarde o temprano van a tener que hacer esa reflexión, al igual que lo está haciendo el resto del mercado.

“Ya estamos viendo pasos en este sentido en algunos de nuestros clientes en la Administración Pública. Son conscientes que, cuando sacan un expediente (muchas veces a tres años o cinco años) están anteponiendo necesidades —con los correspondientes recursos, humanos y tecnológicos— que seguramente van a cambiar mucho en ese período”.

La propuesta de Capgemini en este sentido es construir una capa de abstracción, que es la que se encarga de ofrecer una visión de alto nivel en cuanto a las necesidades de la organización, lo que permitirá incorporar aquellos perfiles capaces de aportar el conocimiento necesario en cada momento.

“Lógicamente, se trata de ver la ciberseguridad como un servicio allá donde se pueda. Hay algunas áreas en las que sigue siendo necesario contar con un equipo de analistas, en las que costará huir del modelo de body shopping y time & material”.

Artículo relacionadosMás del autor