Expertos en Defensa y Seguridad explican sus estrategias de ciberresilencia

Oscar Sanz, director comercial de Gobierno en AWS, en el atril. Sentados, de izquierda a derecha: General José María Millán, CIO en CESTIC y Ministerio de Defensa; Luis Jiménez, subdirector General en Centro Criptológico Nacional; Enrique Ávila, director del Centro de Análisis y Prospectiva en Guardia Civiy, y Rafael Andreo, Vocal de la Comisión de AAPP de Aslan y Country Business Leader Spain de Alcatel-Lucent Enterprise.

Si la seguridad falla en un organismo público, los servicios al ciudadano se detienen. Por ello, la ciberseguridad ha de integrarse en cada faceta de los entornos de datos de nube híbrida y de perímetro.

Con la bienvenida y cierre a cargo de Oscar Sanz, director comercial de Gobierno en AWS, Rafael Andreo, Vocal de la Comisión de AAPP de Aslan y Country Business Leader Spain de Alcatel-Lucent Enterprise, moderó la mesa redonda ‘Resiliencia, un paso más, tras la digitalización y securización’, celebrada dentro del Congreso Aslan, en el VI Encuentro Anual Nacional de Expertos en Tecnologías en la Administración Pública, para ofrecer una idea de cómo se está trabajando en ciberseguridad en las instituciones públicas.

La estrategia de ciberresiliencia en la administración pública se trata de un conjunto de políticas y medidas que se implementan para proteger los sistemas, datos y activos de información del gobierno contra posibles ciberataques y para garantizar la continuidad de las operaciones críticas en caso de que ocurran.

Como apuntó Rafael Andreo a modo de introducción del debate, desde 2020 hemos vivido situaciones que no hubiéramos imaginado como la pandemia, guerra, crisis inflación, falta de componentes, caída bancos… que han hecho que la “no normalidad” se haya convertido en lo habitual.

Por otra parte, indicó, la pandemia puso en evidencia la capacidad de adaptarse y recuperarse de las empresas. “Se ha visto que la tecnología ayuda a personas y organizaciones a ser más resilientes”.

General José María Millán, CIO en CESTIC y Ministerio de Defensa, explicó como valoran el concepto resiliencia en su Ministerio. “Yo lo veo como un concepto “mantra” que hay que utilizar para que se nos tenga en cuenta. Se ha puesto de moda en un momento en el que no terminamos de acostumbrarnos a que vivimos en la incertidumbre de forma constante”.

Si la resiliencia es la capacidad de adaptación al cambio y salir fortalecidos, en el campo tecnológico, es necesaria por su acción transformadora. “Es un medio para alcanzar la resiliencia en las organizaciones, pero a la vez es una capacidad que los sistemas deben poseer”, comentó el General Millán. En todo caso, “se trata de un proceso dinámico, no solo orientado a la ciberseguridad, con ésta únicamente nos quedamos cortos para ser una organización resiliente”.

Para el CIO del Ministerio de Defensa, estos son en la actualidad los principales factores de riesgo:

• Dependencia cada vez mayor de las TIC, a su vez, las diferentes tecnologías son interdependientes entre ellas. Además, hay un gran desconocimiento general de cómo funciona la tecnología y, por otro lado, pretendemos que todo funcione siempre.
• Cada vez es más complejo el acceso al conocimiento; brecha digital generacional.
• Rápida evolución tecnológica. Circulo vicioso
• Cada vez es más complejo el acceso a materiales críticos, acceso al dato.

Por otro lado, estos serían los principales factores de protección:

• Potenciar la tecnología (ciberseguridad).
• Formación (en varios niveles); formar en valores.
• Investigación y desarrollo. Concienciación digital.
• Tener conciencia de futuro.

Un punto muy importante sería “llegar a una culturización digital de la sociedad y recuperar la solidaridad generacional y no convertirnos en una sociedad anti resiliente”. Desde el Ministerio de Defensa estamos “potenciando la formación moral, mecanismos de prevención, introducción de métricas enfocadas a la seguridad de la información…. porque la resiliencia es mucho más que ciberseguridad, con ella sola nos quedaríamos cojos”, finaliza el General José María Millán.

Luis Jiménez, subdirector General en Centro Criptológico Nacional, dio la visión y experiencia del organismo para el que trabaja. Para Jiménez, resiliencia es parte de lo que es la respuesta en ciberseguridad (prevención, detección, respuesta). “Cuanta más previsión tengas, más resiliente vas a ser. En las AAPP intentamos empezar por el principio: ver cuáles son tus medidas de carácter preventivo y partiendo de ahí llegamos a ver cual es tu capacidad de respuesta”, indicó.

El subdirector General en Centro Criptológico Nacional citó cuatro iniciativas en las que están trabajando para que las AAPP sean más resilientes:

• Esquema Nacional de Seguridad. Anexo 2 con 75 medidas de carácter operativo para dar continuidad de servicio. Una AAPP que aplica el Esquema Nacional de Seguridad tiene las tres áreas de seguridad cubiertas (prevención, detección, respuesta).
• Determinación de la superficie de exposición. Las AAPP tienen que adaptarse a esa adversidad. Existen herramientas para ayudar a las AAPP para ver su grado de vulnerabilidad, cómo están expuestos.
• Red Nacional de Centros de Operaciones de Ciberseguridad. La ciberseguridad debe estar imbuida en las AAPP. Esto se traduce en la presencia de Centros de Operaciones de Ciberseguridad (públicos y privados) en los organismos públicos. Se está trabajando ya con Ayuntamientos, y ya lo han hecho diferentes Ministerios.
• Guía de Gestión de Cibercrisis. No es un tema solo tecnológico, debe abarcar todos los aspectos de la organización y hay que saber cómo reaccionar. En la guía se tratan aspectos técnicos, políticos, comunicación… el papel que debe tomar cada uno de los actores de la AAPP.

Por otro lado, Luis Jiménez considera que, tras una experiencia de 30 años en seguridad informática, ciberseguridad y ciber resiliencia, se ha evolucionado mucho en cibercultura, especialmente en los últimos cinco años. Como explicó, se están dando muchos proyectos para mejorar la seguridad en ayuntamientos y administraciones locales. “Ya existe mucha mentalización, ya conocen el lenguaje y son conscientes de que tienen que invertir en ciberseguridad y eso es algo que hace cinco años era impensable. Igualmente, la administración central está en un nivel muy alto de inversiones en ciberseguridad”.

“Quizá por la situación de emergencia vivida en los últimos años se ha tenido que reaccionar, pero por supuesto queda mucho por hacer. Hay que seguir impregnando cultura. Los funcionarios están haciendo un esfuerzo para que se incorpore en su día a día”.

Enrique Ávila, director del Centro de Análisis y Prospectiva en Guardia Civil, compartió con los asistentes la labor que realizan en la institución desde el punto de vista de la prospectiva, técnica que se emplea para ver cómo estamos preparados para el futuro.

La Unidad de Prospectiva de la Guardia Civil es una unidad esencial para la identificación y anticipación de los riesgos y amenazas futuras en el ámbito de la seguridad pública y la defensa nacional, lo que permite a la Guardia Civil estar preparada para hacer frente a los desafíos emergentes y proteger a los ciudadanos y la soberanía del país.

Para Ávila, en una sociedad cada vez más compleja, “se han ido añadiendo capas de complejidad entre las que no hay comunicación, lo que hace difícil que se pueda prever el futuro”.

La tecnología puede ser utilizada con doble uso, también para la ciberguerra. Según el representante de la Guardia Civil, nos tenemos que apoyar en la IA para poder afrontar los desafíos que presenta, aunque ésta a su vez puede suponer un nuevo riesgo. “Cada vez incorporamos más tecnología, de la que cada vez somos más dependientes y esto genera a su vez nuevos problemas”.

La prospectiva hace un proceso de vigilancia tecnológica para que, a la hora de enfrentarnos a una amenaza, tengamos la respuesta. “Se trata de pensar en un futuro deseable para llegar a él. En España no disponemos de talento táctico y operativo para afrontar amenazas, por lo que en la Guardia Civil hemos desarrollado iniciativas para detectar talento temprano”, concluyó Enrique Ávila.