En un mundo cada vez más interconectado, la ciberseguridad no es solo una preocupación del sector privado; se ha convertido en una cuestión de seguridad nacional. Israel e Irán de momento solo han medido sus fuerzas militares, pero la fuerza cibernética se sabe que en esos países es gigante y que atacan en lugares que no son solo físicos.
Las Administraciones públicas, a pesar de la normativa sobre ciberseguridad que existe, luchan por mantenerse al día con las amenazas digitales que están en constante evolución, frente a desafíos estructurales que comprometen su capacidad de proteger los datos sensibles de los ciudadanos. Y de sus propios trabajadores, como ha pasado recientemente con los datos profesionales y médicos de la Policía y Guardia Civil.
El primer gran escollo de la Administración es la restricción presupuestaria. Mientras que las corporaciones pueden asignar fondos significativos para salvaguardar sus activos digitales, el sector público se ve constreñido por presupuestos que deben aprobarse mediante procesos legislativos largos y complicados. Esta demora en la disponibilidad de recursos limita severamente la capacidad de las Administraciones para adaptarse a las nuevas amenazas cibernéticas.
Otro punto crítico es la dependencia de tecnología desfasada. La Administración opera con sistemas que han quedado anticuados, no solo en términos de eficiencia, sino también de seguridad. La actualización de estos sistemas es una tarea costosa y lenta, lo que deja abiertas brechas de seguridad que pueden ser explotadas por actores maliciosos.
La lentitud de los procesos de adquisición tecnológica es otro problema considerable. Además, los protocolos burocráticos no solo son lentos, sino que también los hacen demasiado rígidos a veces, impidiendo respuestas rápidas a situaciones que requieren inmediatez para mitigar riesgos o responder a incidentes de seguridad ya ocurridos.
A lo anterior hay que sumar que el sector público enfrenta el desafío de atraer y retener talento especializado en ciberseguridad. Los expertos a menudo prefieren el sector privado, donde pueden obtener mejores salarios y beneficios, dejando al sector público en desventaja para competir en este mercado laboral esencial. Los sueldos en las posiciones altas y estratégicas son muy bajos en la Administración en comparación con el sector privado. Esta tarea no se puede privatizar por muchas razones.
Finalmente, las regulaciones y la necesidad de transparencia complican aún más la adopción de nuevas tecnologías de seguridad. Las Administraciones públicas deben navegar cuidadosamente entre proteger los datos de los ciudadanos y mantener la transparencia y accesibilidad exigidas por la ley, lo que a menudo introduce un nivel adicional de complejidad en la gestión de la seguridad.
Para superar estos obstáculos, las Administraciones públicas necesitan revaluar y posiblemente aumentar sus presupuestos dedicados a la ciberseguridad. Esta inversión no solo debería enfocarse en la adquisición de tecnología avanzada, sino también en la actualización y mantenimiento de los sistemas existentes para cerrar las brechas de seguridad actuales.
Además, es esencial agilizar los procesos de adquisición para que se puedan implementar soluciones de ciberseguridad de manera rápida y eficiente. Esto podría lograrse mediante la reforma de los procedimientos burocráticos que actualmente ralentizan la capacidad de respuesta ante las amenazas.
Para abordar la escasez de expertos en ciberseguridad, las Administraciones públicas podrían considerar mejorar las condiciones de trabajo y los paquetes salariales para hacer las posiciones más atractivas. También sería provechoso invertir en programas de formación y desarrollo que puedan capacitar a personal interno, creando una reserva de expertos en ciberseguridad formados in-house.
En cuanto a las regulaciones, se requiere un equilibrio más efectivo entre seguridad y transparencia. Las políticas deben ser revisadas y ajustadas para facilitar la adopción de tecnologías de seguridad innovadoras sin sacrificar la responsabilidad ante los ciudadanos.
La tarea de mejorar la ciberseguridad en el sector público no es solo un problema de las agencias individuales de las comunidades autónomas o del CCN; requiere un esfuerzo coordinado a todos los niveles de gobierno, incluido el europeo. Esto incluye colaboración entre las diferentes Administraciones públicas, el intercambio de información sobre amenazas y unas mejores prácticas que estén organizadas y sean evaluables.