"La forma de compra que tiene la AAPP es la misma para comprar coches que para comprar TI y seguridad, y no es lo mismo" (Sophos)

2019 acabó con la celebración de las XIII Jornadas CCN-CERT un evento organizado por el Centro Criptológico Nacional (CCN), Organismo adscrito al Centro Nacional de Inteligencia (CNI), que reunió a más de 3.300 asistentes bajo el lema “Comunidad y Confianza. Bases de nuestra Ciberseguridad”.

Este contenido fue publicado en el número de Enero de la revista IT Digital Security, disponible desde este enlace.

Más de 130 ponentes de hablaron de amenazas, ataques y retos tecnológicos, de la prevención en ciberseguridad, de operaciones militares en el ciberespacio o de la desinformación y la ciberdelincuencia, entre otros. La inauguración corrió a cargo de Margarita Robles, ministra de Defensa en funciones, encargada de Asuntos Exteriores, Unión Europea y Cooperación, quién definió la ciberseguridad como “un valor estratégico”, recordó que el ciberespacio es una amenaza para nuestra democracia y que es vital la colaboración entre administraciones y la empresa privada para afrontar estos nuevos desafíos, “ya que es imprescindible tener unidad de acción para garantizar la seguridad en el ciberespacio”.

Aprovechando la presencia de centenares de profesionales de la industria de la ciberseguridad, IT Digital Security lanzó tres preguntas que buscan tomar el pulso a lo que ocurre y cómo mejorarlo.

“La forma de compra que tiene la administración pública es la misma para comprar coches que para comprar TI y seguridad, y no es lo mismo” Alberto Fernández, Enterprise Account Executive, Sophos Iberia

1. ¿Qué está haciendo la administración pública en seguridad?

Lo que la administración pública está haciendo muy bien es empezar a madurar el proceso del Esquema Nacional de Seguridad, que ya tiene un nivel de cumplimiento del 52% desde que se lanzara hace diez años. Por lo tanto, se va mejorando, aunque no es perfecto y quede mucho camino por recorrer.

2. ¿Debe cambiar la manera en la que la administración pública contrata y compra seguridad?

La forma de compra que tiene la administración pública es la misma para comprar coches que para comprar TI y seguridad, y no es lo mismo. Bajo mi punto de visto sí que deberían darle una vuelta al modelo de contratación, que ya se lo han dado, pero no lo suficiente. Me he encontrado con organismos en los que los responsables de seguridad tienen muy claro hacia dónde quieren ir y cómo harían un contrato de pago por uso de diferentes tecnologías, pero por cómo es el modelo de contratación no pueden hacerlo. El modelo de contratación es muy rígido para algo que no es rígido, como es el TI, que es totalmente voluble.

3. ¿Cuáles son los retos de 2020 a nivel de seguridad?

En los dos últimos meses de 2019 vimos un montón de ataques tipo EMOTET y tipo Ryuk, y el reto es seguir trabajando y dar una solución efectiva a ese tipo de ataques. Se tiene que ir más allá de un simple antivirus y es lo que tiene que interiorizar la administración pública, sacar presupuesto y abordar esos proyectos cuanto antes, porque al final están expuestos y lo hemos visto en casos como el del Ayuntamiento de Jerez y diferentes administraciones públicas.