"La forma de consumir y de comprar debe ser producto más servicios" (Cytomic)

2019 acabó con la celebración de las XIII Jornadas CCN-CERT un evento organizado por el Centro Criptológico Nacional (CCN), Organismo adscrito al Centro Nacional de Inteligencia (CNI), que reunió a más de 3.300 asistentes bajo el lema “Comunidad y Confianza. Bases de nuestra Ciberseguridad”.

Este contenido fue publicado en el número de Enero de la revista IT Digital Security, disponible desde este enlace.

Más de 130 ponentes de hablaron de amenazas, ataques y retos tecnológicos, de la prevención en ciberseguridad, de operaciones militares en el ciberespacio o de la desinformación y la ciberdelincuencia, entre otros. La inauguración corrió a cargo de Margarita Robles, ministra de Defensa en funciones, encargada de Asuntos Exteriores, Unión Europea y Cooperación, quién definió la ciberseguridad como “un valor estratégico”, recordó que el ciberespacio es una amenaza para nuestra democracia y que es vital la colaboración entre administraciones y la empresa privada para afrontar estos nuevos desafíos, “ya que es imprescindible tener unidad de acción para garantizar la seguridad en el ciberespacio”.

Aprovechando la presencia de centenares de profesionales de la industria de la ciberseguridad, IT Digital Security lanzó tres preguntas que buscan tomar el pulso a lo que ocurre y cómo mejorarlo.

“La forma de consumir y la forma de comprar debe ser producto más servicios, porque sino no vamos a avanzar mucho” María Campos, VP en Cytomic

1. ¿Qué está haciendo la administración pública en seguridad?

A raíz de las oleadas de ataques en ayuntamientos, diputaciones y diversas entidades se han puesto las pilas un poco más rápido de lo que venía siendo el resto del año, incluso aunque no estamos hablando de ataques nuevos. Esto es lo frustrante, que hablamos del Emoted del 2014. La administración funciona así, con oleadas; sacan los presupuestos extraordinarios que no han tenido durante todo el año. Con la parte de respuesta a incidentes hemos conseguido entrar en organismos a los que se había idoantes pero nunca tenían presupuestos, y que cuando han tenido media administración parada, cuando han salido en las noticias, se han puesto las pilas.

2. ¿Debe cambiar la manera en la que la administración pública contrata y compra seguridad?

Totalmente. En la administración es tremendamente alarmante la falta de recursos humanos para gestiona herramientas de ciberseguridad, o para dedicarse a tener una protección y una seguridad más o manos aceptable. Están sufriendo ataques que no son tampoco muy sofisticados pero muchas administraciones tienen tecnología, pero está desactualiza, nadie mira la consola, tengo sistemas legacy… y la forma de consumir y la forma de comprar debe ser producto más servicios. Sin esa capa de servicio creo que no vamos a avanzar mucho

3. ¿Cuáles son los retos de 2020 a nivel de seguridad?

Yo creo que siempre tenemos tres puntos que nos hace mucho daño, a la administración y al resto de la industria. Por un lado, falta de recursos, por otro, una gran heterogeneidad de herramientas y de productos que no se integran entre sí, y por otro lado la capacidad de sacarle partido a lo que realmente tienes. Ante todo, esto vuelvo a lo mismo: tenemos que ver dentro de nuestras organizaciones si tenemos esos recursos escasos lo cubrimos contratando servicios, contratando arquitecturas que consoliden mucho más. Si tienes pocos recursos, no te puedes permitir comprar 25 tecnologías diferentes que no eres capaz de integrar. Además, nosotros vemos como un gran reto el comportamiento del usuario, porque hay comportamientos infinitos, y cómo atacar ese tipo de situación.