La Administración Pública está dando un salto decisivo: su transformación digital para mejorar la accesibilidad de los servicios que presta y la eficiencia de toda la Administración en su conjunto.
En este proceso, la ciberseguridad es un elemento fundamental que tiene que acompañar a todas y cada una de las medidas y ejes de actuación. Este es el reto, y también nuestra estrategia, para fortalecer la ciberseguridad en la Administración Pública española.
En los últimos años, e indudablemente como consecuencia de la puesta en marcha de procesos de teletrabajo acelerados por la pandemia del COVID-19, los perímetros de seguridad se han extendido y la superficie de exposición de organismos y organizaciones se ha incrementado notablemente. Por ello, hoy es difícil escapar de la amenaza de un ciberataque si no se refuerzan todas y cada una de las capacidades de prevención, detección y respuesta que están a nuestro alcance, y que debemos coordinar para conformar un ciberescudo único para España.
Principios estratégicos
El Centro Criptológico Nacional, como garante precisamente de la ciberseguridad en el sector público, ha definido los principios estratégicos que permiten abordar con garantías de ciberseguridad los procesos de transformación digital para mantener el compromiso de ofrecer servicios públicos digitales seguros y confiables. Dichos principios son:
- El uso de sistemas con conformidad en el Esquema Nacional de Seguridad y el empleo de tecnología certificada con garantías de seguridad contrastadas, objetivo para el que desde el CCN ponemos a disposición de la Administración el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación.
- La realización de auditorías periódicas que permitan conocer y reducir la superficie de exposición de los organismos.
- La vigilancia continua de la infraestructura tecnológica y de las redes corporativas de los organismos a través de los centros de operaciones de ciberseguridad (SOC) integrados en la Red Nacional de SOC.
- La aplicación de políticas de seguridad por defecto y del principio de mínimo privilegio o Zero Trust.
- El intercambio continuo de información sobre incidentes y ciberamenazas entre organismos públicos y privados para ofrecer una respuesta integrada ante posibles ciberataques.
- La implementación de medidas de defensa activa basadas en capacidades de ciberinteligencia.
Todo ello nos permitirá conformar un sector público más resiliente para afrontar los retos que plantea la digitalización de procesos y servicios, porque no hay y no puede haber transformación digital sin ciberseguridad.