"Los sistemas de contratación de la AAPP no están adecuados a las aplicaciones cloud" (Netskope)

  • Reportajes

Samuel Bonete, Netskope

Tomamos el pulso al mercado con tres preguntas ue han respondido algunos expertos de ciberseguridad: ¿Qué está haciendo la administración pública en seguridad? ¿Debe cambiar la manera en la que la administración pública contrata y compra seguridad? ¿Cuáles son los retos de 2020 a nivel de seguridad?

2019 acabó con la celebración de las XIII Jornadas CCN-CERT un evento organizado por el Centro Criptológico Nacional (CCN), Organismo adscrito al Centro Nacional de Inteligencia (CNI), que reunió a más de 3.300 asistentes bajo el lema “Comunidad y Confianza. Bases de nuestra Ciberseguridad”.

Este contenido fue publicado en el número de Enero de la revista IT Digital Security, disponible desde este enlace.

Más de 130 ponentes de hablaron de amenazas, ataques y retos tecnológicos, de la prevención en ciberseguridad, de operaciones militares en el ciberespacio o de la desinformación y la ciberdelincuencia, entre otros. La inauguración corrió a cargo de Margarita Robles, ministra de Defensa en funciones, encargada de Asuntos Exteriores, Unión Europea y Cooperación, quién definió la ciberseguridad como “un valor estratégico”, recordó que el ciberespacio es una amenaza para nuestra democracia y que es vital la colaboración entre administraciones y la empresa privada para afrontar estos nuevos desafíos, “ya que es imprescindible tener unidad de acción para garantizar la seguridad en el ciberespacio”.

Aprovechando la presencia de centenares de profesionales de la industria de la ciberseguridad, IT Digital Security lanzó tres preguntas que buscan tomar el pulso a lo que ocurre y cómo mejorarlo.

“Los sistemas de contratación de la Administración Pública no están adecuados a la forma de contratar que requieren las aplicaciones cloud” Samuel Bonete, Country Manager, Netskope Iberia

1. ¿Qué está haciendo la administración pública en seguridad?

Siguen atados a los principios de seguridad tradicionales, seguridad perimetral, seguridad endpoint, pero no se dan cuenta de que el mundo en el que estamos es un mundo de transformación digital donde hay usuarios en movilidad que están consumiendo datos, que están en cloud. Es cierto que la administración pública no ha ido a cloud de forma masiva, lo cual no quita que sus usuarios no estén utilizando aplicaciones cloud, y que datos que ellos piensa que no están en la nube realmente estén en la nube. ¿Quién no se ha mandado a casa en su Gmail personal algún documento para seguir trabajando cuando acaba la jornada de trabajo? Eso pasa en la administración privada y pasa en la administración pública. Con las soluciones tradicionales, endpoint y perimetrales, que tiene la administración pública no son capaces de controlar qué datos están yendo realmente a las aplicaciones cloud porque los usuarios ya no están detrás de los firewalls, están en movilidad.

2. ¿Debe cambiar la manera en la que la administración pública contrata y compra seguridad?

Sí, hay que cambiarlo, porque nos encontramos con que fabricantes como nosotros, que ofrecemos modelos de software-as-a-service, o security-as-a-service, no encajamos con los modelos de contratación normales de la administración pública, que van más orientados a contratos a tres o cinco años con poca flexibilidad y donde se determina desde el principio el número de usuarios y el alcance del servicio. Y en el punto en el que estamos de adopción de soluciones cloud, todo es muy flexible, y hay aplicaciones que aparecen y desaparecen, y cambia el volumen de usuarios, y las maneras de contratación no están adecuados a esta forma de contratar que requieren las aplicaciones cloud

3. ¿Cuáles son los retos de 2020 a nivel de seguridad?

Yo creo que hay que quitarse la venda de los ojos y mirar de verdad qué están haciendo otros usuarios y dónde están dejando los datos corporativos, y que con las soluciones perimetrales de toda la vida no vamos a ser capaces. Se está adoptando instancias de cloud públicas, pero: ¿cómo se está securizando?, ¿qué datos acaban en la cloud pública? ¿qué pasa con el Shadow Data? Estos serían para mí los principales retos.