El éxito del plan de choque de ciberseguridad para las entidades locales convierte la estrategia de la Generalitat Valenciana en modelo de excelencia a nivel nacional
Premio Iniciativa Tecnológica en el Sector publico
2022

Como consecuencia de los últimos ciberataques contra municipios de la Comunitat Valenciana, la Generalitat adoptó en 2021 el compromiso de elaborar un Plan de Choque de Ciberseguridad para las Entidades Locales, adaptado a las características y riesgos propios de estas entidades valencianas.

Los ayuntamientos son las administraciones más cercanas a la ciudadanía y, por lo tanto, las que albergan mayor cantidad de datos personales, cuya protección debemos garantizar. Sin embargo, las corporaciones locales, especialmente las de menor tamaño, carecen de los recursos necesarios para abordar, por sí solas, muchas de las iniciativas requeridas para la mejora de su ciberseguridad. El escaso personal informático del que disponen, la diversidad de tareas a las que tiene que hacer frente, unido a su falta de especialización, ha convertido a estas administraciones en objetivos “blandos” de los ciberdelicuentes.

El esfuerzo de la Generalitat para fortalecer su ciberseguridad mediante un plan de emergencia ha permitido, en tan solo un año, desarrollar e implantar las medidas de protección, mejora de la seguridad y soporte técnico que requerían estas entidades y capacitar a su personal y altos cargos para que formen parte activa de la defensa de su organización. Además, se les ha dotado de asistencia en el cumplimiento de las obligaciones derivadas del Esquema Nacional de Seguridad, por lo que el plan ha suscitado una gran aceptación por parte de los municipios, muchos de ellos huérfanos hasta el momento de cualquier apoyo en esta materia.

Para la puesta en marcha del plan de choque, la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), dependiente de la Conselleria de Hacienda y Modelo Económico, acordó la adjudicación de un contrato de emergencia, con una duración inicial de un año, a la empresa S2 Grupo SL. Además, el proyecto ha sido coordinado por el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), en colaboración con el CCN-CERT, el centro de respuesta a incidentes de ciberseguridad del Centro Criptológico Nacional y máximo organismo competente para las administraciones públicas españolas, así como con las tres diputaciones provinciales.

Los objetivos del plan eran tres, principalmente: desplegar herramientas para proteger a las corporaciones locales de los principales tipos de ciberataques (mayoritariamente ransomware); desplegar sondas, en los municipios en los que fuera necesario, para detectar situaciones de riesgo lo antes posible; y preparar a las entidades para que pudieran minimizar el impacto en los servicios esenciales de un posible ciberataque perpetrado con éxito.

Para implementar las acciones y con el objetivo de realizar una gestión federada de las herramientas y las alertas de ciberseguridad, ha sido necesaria la ampliación de las infraestructuras TIC de la Generalitat y los ayuntamientos de mayor tamaño y las capacidades preexistentes en CSIRT-CV, así como dar un nuevo enfoque a algunas de las herramientas del CCN-CERT.

Todo ello ha supuesto un gran reto y una inversión en infraestructuras y recursos que ha abierto la puerta a que las entidades locales valencianas puedan gozar de unos niveles de protección en ciberseguridad como los de ninguna otra Comunidad Autónoma de toda España y sean las primeras en integrarse en la Red Nacional de SOC, ya que el Centro de seguridad TIC de la Comunitat Valenciana ha sido elegido, por su trayectoria y posición de liderazgo, como el primer centro autonómico que se integrará en la red, junto a las 584 entidades locales valencianas. Esta red es una plataforma del CCN-CERT que interconectará los principales centros de respuesta ante incidentes españoles para compartir inteligencia e intercambiar información de ciberincidentes.

Pese a que el objetivo inicial de disponer de un plan de emergencia está plenamente alcanzado, su desarrollo ha permitido conocer con mayor profundidad las necesidades en materia de ciberseguridad de los municipios valencianos, por lo que el reto actual es lograr que los niveles de protección alcanzados se consoliden.

Para ello, el plan de choque ha configurado una estrategia que ha evolucionado hasta llegar a ser conocida como “el modelo valenciano de ciberseguridad” y que consiste en implantar un modelo federado mediante el cual el centro nacional delega en CSIRT-CV para ofrecer sus servicios en la Comunitat Valenciana. Así, desde el centro de respuesta a incidentes autonómico se da servicio tanto a la Generalitat Valenciana como a las entidades locales, así como a los ciudadanos y empresas, mediante el despliegue en CSIRT-CV de herramientas interconectadas con el CCN-CERT.

El éxito de este modelo se ha basado en la coordinación entre todos los agentes implicados y en la implantación de mecanismos de respuesta centralizada, lo que ha aumentado la eficiencia de la respuesta, la fortaleza de los sistemas y la protección de las redes.

Además, el modelo valenciano ha sido reconocido y expuesto como caso de éxito ante el resto de Comunidades Autónomas por el CCN-CERT, ya que es considerado un modelo de excelencia a implementar por todas ellas, lo que acredita la máxima ejemplaridad del proyecto.

La Generalitat Valenciana continuará trabajando para mejorar la ciberseguridad de las entidades locales, consolidando un modelo que ha supuesto no solo un reto logístico para todos los agentes implicados sino una apuesta por la inversión en infraestructuras y recursos, que ahora debemos mantener, conservar y mejorar cada día, apostando por la colaboración y el intercambio de conocimiento como herramienta fundamental para mantener a salvo de ciberamenazas a las administraciones públicas más cercanas a la ciudadanía.

José Manuel García Duarte, director general de Tecnologías de la Información y las Comunicaciones de la Generalitat Valenciana