Infraestructuras seguras y sostenibles para el ciudadano digital

  • SOCIEDAD DIGITAL

Mesa Redonda Infraestructuras Digitales

La conectividad, la capacidad para analizar grandes cantidades de datos y la seguridad son elementos facilitadores para la generación de servicios digitales robustos y competitivos. Uno de los puntos clave de la Comisión Europea para la Agenda de 2030 está vinculado a la creación de infraestructuras seguras y sostenibles. Esto, aplicado a la modernización del Sector Público, implica un despliegue de tecnología que permita a los trabajadores desempeñar su función de una manera ágil y crear, además, servicios para los ciudadanos alrededor de la conectividad.

La primera mesa redonda del Foro IT User: Administración pública, afrontando la década digital, estuvo centrada en cómo conseguir infraestructuras digitales seguras y sostenibles en el entorno público. Contó con la participación de José Antonio Eusamio, Vocal Asesor en el Ministerio de Asuntos Económicos y Transformación Digital; Luis Miguel Vega, Jefe de Área en la Comisión Europea; Sergio Caballero, Director TIC del Ayuntamiento de Alcobendas; Jorge Navas, CIO de la Secretaría General de Fondos Europeos del Ministerio de Hacienda; y Xavier Massa, Director de Sector Público de Cisco España, en calidad de co-moderador.

Participaron en esta mesa redonda el Ministerio de Asuntos Económicos y Transformación Digital, la Comisión Europea, la Secretaría de Fondos Europeos del Ministerio de Hacienda y el Ayuntamiento de Alcobendas (Clica en la imagen para ver el vídeo).

 

Y el primer tema sobre la mesa es cómo se había dotado a estas instituciones de una infraestructura de TI que siga estos principios. Para José Antonio Eusamio, “desde la Secretaría General de Administración Digital, completamente alineados con los planes puestos en marcha con el Gobierno, se le ha dado mucha importancia a los servicios digitales accesibles y eficientes, como parte de los objetivos estratégicos; a una Administración guiada por los datos, para lo que se está diseñando una nueva plataforma para dar servicio a nuestra organización como al resto de administraciones, porque es un elemento fundamental; y el acceso al resto de tecnologías emergentes. Dentro del Eje 1 del Plan de Transformación, Recuperación y Resiliencia, existen una serie de medidas de actuación, unas orientadas a la ciudadanía, como la primera de ellas, la App Factory, un servicio que pretende facilitar el desarrollo de aplicaciones móviles para que el ciudadano tenga accesible la Administración en aquel dispositivo que es más fácil para él, el móvil. Se trata de un salto cualitativo muy importante, porque muchos de los trámites de la Administración Electrónica tradicional no habían terminado de arraigar. También tenemos otras medidas, como la definición e implementación de un data lake accesible para todas las Administraciones Públicas que pensamos que va a marcar la diferencia en la prestación de un servicio eficiente y de calidad al ciudadano, basado en el valor que aporta el dato y la información. En el resto de las medidas también se está haciendo un gran esfuerzo, como en las relacionadas con la seguridad, para aportar valor al ciudadano”.

“La seguridad y la calidad son dos elementos esenciales, y hay que buscar el equilibrio a la hora de proporcionar servicios, haciéndolos seguros, pero sin bloquearlos”, José Antonio Eusamio (M. Asuntos Económicos y Transformación Digital)

En palabras de Luis Miguel Vega, “la Década Digital es una iniciativa de la Comisión Europea, presentada hace un año, que pretende una verdadera Transformación Digital de la economía y la sociedad europea para el año 2030. Dentro de ella, hay un elemento clave, las infraestructuras seguras y sostenibles. Hay una idea fundamental en nuestras acciones, promover la conectividad entre territorios, posibilitar que todos los ciudadanos cuenten con conexiones de hasta 1Gbps y 5G. España, por ejemplo, ha sido uno de los grandes líderes de conectividad y durante el confinamiento no ha habido problemas con el servicio, los operadores han seguido ofreciéndolo de forma normal, incluso con el incremento de la demanda. En el caso de 5G, los servicios que se prestan son posteriores a la propia infraestructura, de ahí que tengamos que dotarnos de ella en primer lugar. Por último, hablando de las infraestructuras digitales, estamos afrontando graves problemas con la disponibilidad de equipos y dispositivos, y algo que queremos potenciar es que Europa sea cada vez más autónoma y tengamos una verdadera soberanía digital”.

Para Sergio Caballero, en el Ayuntamiento de Alcobendas “desde 2012 hemos adoptado una estrategia cloud first, siempre que supusiera para la organización unas ventas en términos económicos y de eficiencia operativa. Con los pasos que hemos ido dando, estábamos preparándonos para el momento al que estamos llegando hoy, buscábamos la necesidad de industrializar el servicio y controlar los costes, dirigido a establecer una infraestructura que nos permitiera crecer con la organización, capacitándonos para procesar grandes cantidades de datos bajo un modelo híbrido. Es un cambio de paradigma que se inició con la transformación de los servicios públicos en servicios digitales y, en el caso de algunas ciudades, en lo que se denominan Smart Cities. Esto requería un cambio de enfoque, que convivían con factores de riesgo, como la baja capacidad de inversión, por lo que recurrimos a diferentes fondos provenientes de la Unión Europea. También realizamos inversiones en seguridad, con un plan de mejora desde 2016, y obteniendo la certificación del Esquema Nacional de Seguridad en el año 2018 con el nivel medio, y haciendo la recertificación en 2020. Hemos generado nuevos puestos de trabajo en el área TI dada la necesidad de ir creciendo en todos los servicios. Asimismo, hemos invertido en la modernización de los sistemas de información, de cara a moverlos a un modelo gestionado en multi cloud, permitiéndonos mejorar la obsolescencia y mejorando el marco de cumplimiento normativo. Existía el problema de una plantilla TIC escasa o dimensionada para otra época, de ahí que hayamos evolucionado de un modelo gestionado por nosotros a otro en el que nos apoyamos en proveedores, lo que hace que necesitemos nuevos perfiles, más centrados en la gestión, que nos permitan acelerar el cambio”.

Si quieres ver la intervención de José Antonio Eusamio, clica en la imagen para ver el vídeo.

 

Finalizaba esta primera ronda de valoraciones Jorge Navas, del Ministerio de Hacienda, indicando que “en nuestro caso, todas las infraestructuras se llevan desde la Oficina de Informática Presupuestaria. Desde hace años, sabemos que las infraestructuras son vitales en la Transformación Digital, porque de nada sirve tener unas apps muy buenas si los usuarios no se pueden conectar y el soporte es malo. De ahí que la apuesta desde hace tiempo haya sido disponer de unas infraestructuras adecuadas, tanto para los usuarios internos como para los ciudadanos. Se ha montado un ecosistema de aplicaciones con un sistema de usuarios registrados que hace necesaria una identificación segura con diferentes niveles, según la aplicación y el servicio. Todo está unificado con una capa de presentación basada en navegadores web, y las identificaciones internas o de usuarios externos son independientes. Los puestos de trabajo internos están pensados también para la movilidad. Los cargos medios y altos cuentan con portátiles y estaciones de trabajo con 4G. Todos los edificios tienen WiFi y contamos con utilidades compartidas como la Impresión Segura. También ha sido importante la inversión en disponibilidad, por lo que toda la infraestructura está activa en dos centros de datos, algo a lo que obliga el Esquema Nacional de Seguridad, entre otras cosas”.

 

Trabajar en remoto es ya una realidad

El teletrabajo al que nos hemos visto forzados en esta pandemia, y que se mantiene en muchas organizaciones, ha supuesto un reto importante, sobre todo en las Administraciones Públicas. Pero ¿qué enseñanzas hemos sacado? ¿Qué se va a mantener de cara a futuro? Para Luis Miguel Vega (Comisión Europea), “es sorprendente la velocidad con la que se ha hecho, y eso ha sido gracias a la colaboración público/privada. Existía una tecnología que se ha podido implantar, una innovación que nos ha mostrado las ventajas del teletrabajo, las herramientas colaborativas, de las infraestructuras… En la Comisión, tenemos una inmensa actividad legislativa, un altísimo número de reuniones internacionales plenarias, tanto con estados miembros como con la industria y las asociaciones, y la maquinaria ha seguido funcionando. Hemos seguido trabajando y lo hemos hecho gracias al teletrabajo, que parecía algo lejano para las Administraciones Públicas, pero la tecnología estaba y la pandemia ha sido un acicate para implantar algo que es muy necesario. Nosotros estamos apostando por el teletrabajo como elemento de futuro. Estamos haciendo una racionalización de edificios y de los consumos energéticos y es una apuesta clara de futuro”.

“Estamos afrontando graves problemas con la disponibilidad de equipos y dispositivos, y algo que queremos potenciar es que Europa sea cada vez más autónoma y tengamos una verdadera soberanía digital”, Luis Miguel Vega (Comisión Europea)

Según explicaba Sergio Caballero (Ayuntamiento de Alcobendas), “fue un reto profesional y personal para todos, tanto para los equipos de TI como para los trabajadores. Antes su uso era escaso, y la infraestructura implementada tradicionalmente no fomentaba su utilización. Pero desde 2014, la planificación nos había llevado a buscar sistemas de acceso remoto adecuados y acordes con las medidas de seguridad necesarias, bajo una política de bajo mantenimiento y reducido coste. Tras varias alternativas sin éxito, en 2019 desarrollamos una solución de escritorio remoto en cloud con un fabricante y conseguimos replicar escritorios con las compatibles con las características de rápido despliegue, con el menor coste posible y con gran flexibilidad, bajo un modelo de pago por uso predecible. En marzo de 2020 ya teníamos probado el entorno y, en pocos días, fuimos capaces de dotar de las herramientas a todos los empleados encargados de los servicios esenciales de nuestra ciudad. En pocos días tuvimos a todo el personal teletrabajando y usando la plataforma y otras soluciones de colaboración. El verdadero reto fue empezar a trabajar con soluciones existentes que no habían recibido la atención necesaria. Nos llevó de tres a cuatro semanas, formar en competencias digitales a todo el personal. Otro problema fueron los plazos de contratación y presupuestación, incompatibles con el Sector Público. Actualmente, nuestra política pasa por un modelo mixto de escritorios virtuales para aquellos puestos que no requieren un puesto de trabajo in-situ con VPN. Esto ha supuesto un claro impulso en la Administración Pública, pero, para ello, se necesita un liderazgo claro, una dotación de recursos para abordar la convergencia digital, una adaptación normativa, una mayor formación en competencias digitales entre el personal y la adopción de una nueva forma de trabajar por objetivos”.

En el caso de Jorge Navas (Ministerio de Hacienda), “el inicio de la pandemia lo viví en otro ministerio, donde ya existía un sistema seguro con portátiles repartidos entre altos cargos con un acceso securizado por VPN, pero estos altos cargos no eran conscientes de que se podía trabajar a distancia con esos equipos, y solo accedían, en algunos casos, al correo electrónico. La pandemia ha cambiado esto. Como la infraestructura estaba, solo hubo que cambiar algunos equipos, incorporar formación y modificar algunos procedimientos, incluyendo la posibilidad de trabajar con los equipos de los propios funcionarios. Todo funcionó bastante bien. Se adquirió la tecnología necesaria, y fue un cambio radical. Con la llegada de Filomena, no hubo ningún problema, con lo que podemos decir que el cambio de mentalidad ya se ha producido. Por parte de los usuarios de TI, esto nunca ha sido un problema, el uso estaba asumido, pero el personal no TIC no estaba preparado. En una segunda fase, estaba no el trabajar a distancia, sino cómo trabajar a distancia, y ahora estamos en una situación mucho mejor que antes. Por último, uno de los aspectos a los que los usuarios son reacios es la colaboración con documentos en la nube. Hace falta evangelizar y que aprendan a trabajar con documentos compartidos en línea”.

Si quieres ver la intervención de Luis Miguel Vega, clica en la imagen para ver el vídeo.

 

Según José Antonio Eusamio (Ministerio de Asuntos Económicos y Transformación Digital), “en 2006 ya se hizo un programa piloto de teletrabajo y no se cubrieron todas las plazas. Desde entonces, la organización se ha ido dotando de infraestructura, pero lo cierto es que faltaba un cambio en el modelo de organización. La tecnología y las infraestructuras han mejorado y estaban ahí cuando se han necesitado, pero hemos necesitado un empujón para salir de nuestra zona de confort. Pero la realidad es que nos hemos adaptado, hemos seguido trabajando. Es cierto que, al principio, cada usuario tuvo que usar sus propios dispositivos, pero con voluntad es posible. Y es una lección que tenemos que sacar, pero el teletrabajo tiene sus retos y hay que gestionar el espacio compartido, por ejemplo. No parece razonable que renunciemos a las cosas buenas del teletrabajo, pero hay que buscar un punto de equilibrio para conciliar la vida personal con la profesional, y la prestación de un servicio on-site y en remoto. Estamos en un punto de inflexión importante y hay que estar preparados para responder de la forma más eficiente, pero, en líneas generales, creo que la Administración ha respondido en este caso”.

 

Definir servicios seguros para el ciudadano

Otro tema de debate en esta mesa redonda fue la prestación de servicios a los ciudadanos con la seguridad adecuada, sobre todo en una realidad en la que se ha diluido el perímetro. ¿Cómo se está reforzando esta seguridad? Según explicaba Sergio Caballero, “éramos conscientes de la realidad, y decidimos ofrecer acceso cloud securizado a los servicios para que nuestro legacy no fuera un vector de entrada de posibles ataques. Hemos desplegados sistemas de protección contra código dañino, en equipo de usuarios y en servidores, mediante clientes ligeros, además de antivirus reforzados con soluciones EDR y de Ataques Zero Day. Además, hicimos obligatorio el doble factor de autenticación para todos los accesos desde fuera de la institución, y estamos implementando un sistema de doble barrera perimetral. Arrancamos hacking éticos en las zonas más vulnerables para permitir su solución en caso necesario. Es muy importante, asimismo, la formación a todo el personal en los tres niveles y, sobre todo, concienciación continua. Realizamos ataques de phishing simulados y, pese a las labores de concienciación, muchos usuarios siguen cayendo. Es importante seguir trabajando. También hemos desplegado sondas de detección y monitorización, integrándolas en un sistema SIEM, y en previsión tenemos, además del sistema de alerta temprana para los sistemas industriales, sistemas Scada para el control energético, integración de los endpoints de sistemas críticos en este SIEM. Pero, en todo caso, todo esto no podemos hacerlo a nivel interno, y necesitamos empresas externas que estén en continua adquisición de conocimientos y que se integre con nuestros equipos”.

“Desde 2012 hemos adoptado una estrategia cloud first, siempre que supusiera para la organización unas ventas en términos económicos y de eficiencia operativa”, Sergio Caballero (Ayto. Alcobendas, Madrid)

En palabras de Jorge Navas, “el perímetro no existe y hay que actuar como si el enemigo estuviera dentro. Hay que monitorizar constantemente, porque no puedes dar por seguro que nada esté libre de ataques. Esto es lo que estamos haciendo y tenemos la vista puesta en la entrada en funcionamiento del centro de servicio gestionado de la AGE. Desde el punto de vista de las redes internas, hay que fortalecer las conexiones con autenticación de dispositivo y otros mecanismos de seguridad. Con la conexión de cualquier dispositivos, chequeamos las políticas de seguridad y, si no, no permitimos el acceso hasta que se cumplan. En los dispositivos bastionados, solo tiene permisos de instalación el equipo de soporte. Las VPN están en el último estado de actualización, y hacemos auditorías instantes para conocer la realidad de la situación. Por último, la concienciación de los usuarios, que es fundamental, también, incluso, sobre las medidas más impopulares de seguridad”.

Si quieres ver la intervención de Sergio Caballero, clica en la imagen para ver el vídeo.

 

Según José Antonio Eusamio, “nuestra realidad es similar a la de mis contertulios, pero hay dos elementos adicionales que son fundamentales. Por un lado, la seguridad y la calidad son dos elementos esenciales, y hay que buscar el equilibrio a la hora de proporcionar servicios, haciéndolos seguros, pero sin bloquearlos. ¿Tenemos capacidad para ser eficientes a la vez que seguros? La respuesta es sí. Por otro lado, estamos en un contexto donde los riesgos crecen, no solo por la pandemia, y van a seguir creciendo, y debemos adaptarnos a ello”.

Concluía este apartado de seguridad Luis Miguel Vega, afirmando que “las medidas organizativas son muy parecidas, pero desde la Comisión Europea estamos planteando una serie de medidas políticas en el ámbito de la seguridad. Las cifras de ataques crecen, y hemos planteado un paquete de políticas públicas en relación con la seguridad. Hasta ahora, teníamos un marco legal en ciberseguridad un tanto heterogéneo y complejo, que se ha ido desarrollando según surgían las necesidades. A finales de 2020, anunciamos la Estrategia Europea de Ciberseguridad, que va a permitir abordar este tema de forma global en toda la economía, porque no afecta solo a las Administraciones Públicas. Destacan tres medidas, el Reglamento de Inteligencia Artificial, que viene a regular las medidas de ciberseguridad para tener una IA segura; el Acta Europea de Ciber-resiliencia, una normativa horizontal para que los productos y servicios sean seguros desde el principio; y el Reglamento que va a obligar a los fabricantes de dispositivos inalámbricos instalar medidas de ciberseguridad de fábrica y certificarse si quieren poner sus productos en el mercado europeo”.

 

Tendencias tecnológicas de mayor impacto en la Administración Pública

Vista la realidad actual, nos preguntábamos qué tendencias tecnológicas tendrán, a partir de ahora, mayor impacto de ahora a 2030. En opinión de Jorge Navas, “deberíamos trabajar en la mejora de la movilidad de las aplicaciones, algo que es una realidad en las empresas privadas. Y no solo para informar, sino para realizar trámites. Espero que el DNI electrónico en el móvil sea el impulsor definitivo de la autenticación para mejorar esta movilidad”.

Si quieres ver la intervención de Jorge Navas, clica en la imagen para ver el vídeo.

 

En palabras de José Antonio Eusamio, “la Analítica de Negocio y la IA van a cobrar mucho protagonismo por el mejor conocimiento de las organizaciones. Además, necesitamos, para poder ofrecer servicios on-line, que la información que ya tiene la Administración esté disponible para el diseño de formularios que hagan realidad esta prestación de servicios. La tecnología está disponible, pero es necesario un cambio legal para dar validez a estos servicios. No es un cambio tecnológico, sino que se necesita un cambio conceptual para adaptarnos al tiempo en el que estamos”.

“Deberíamos trabajar en la mejora de la movilidad de las aplicaciones, algo que es una realidad en las empresas privadas. Y no solo para informar, sino para realizar trámites”, Jorge Navas (M. Hacienda)

Añadía Luis Miguel Vega “el factor medioambiental. Europa es pionera en este cambio, y contamos con muchas iniciativas y medidas que tienen su traslación a las infraestructuras. Las Administraciones debemos apostar por infraestructuras sostenibles y de menos consumo energético y concienciar a nuestros usuarios sobre un uso respetuoso con el medioambiente que tenemos que dar a estas infraestructuras”.

Se mostraba de acuerdo Sergio Caballero con que “lo importante no es solo la tecnología, sino que la Administración esté al servicio de la ciudadanía, aportándole todo lo que necesite. Eso está en nuestra mano, pero requiere cambios estructurales que deben apoyarse en tecnología y personas. Pero, además, hay que cambiar el modelo de gestión de recursos propios y servicios gestionados, con más foco en la gestión que en la operación; la ciberseguridad, que debe ser una prioridad, es imposible asumirla con recursos propios; hay que adoptar servicios en cloud, por la escasez de perfiles y por las inversiones; hay que apostar por puestos de trabajo móviles, seguros e inteligentes; la automatización y los procesos basados en bots o en sistemas conversacionales; y, por último, IoT, 5G y la sensorización, nos llevarán a tendencias como el Edge Computing. Eso sí, sin olvidar que necesitamos un adecuado Gobierno del Dato”.