OPINIÓN

Autoridades locales y ciudades inteligentes: ¿Cómo apoyar su evolución hacia la transformación digital?



Dirección copiada

Ante este panorama urbano cada vez más digital, las autoridades locales deben afrontar o desplegar una adecuada estrategia en ciberseguridad.

Publicado el 7 mar 2024

Borja Pérez

Country Manager de Stormshield Iberia



Borja Pérez

Con una situación cada vez más crítica, la pregunta es, ¿por dónde empezar? Aunque suene a obviedad, el primer paso es conseguir que trabajen juntos actores dispares: integradores, operadores de red, fabricantes de software, hardware, delegados del servicio público…

El entorno de las autoridades locales – y de las ciudades inteligentes en particular– se caracteriza por un mosaico de empresas, lo que no está exento de problemas. Esta proliferación aumenta el número de conexiones que hay que proteger y puede llevar a una disminución de la responsabilidad cibernética.

Smart City

Por ejemplo, en una licitación para un servicio de Smart City, el área metropolitana emisora indica su intención de conectar el equipamiento vial a un sistema de mantenimiento. Este procedimiento exigirá que distintos responsables se reúnan para responder a ella: un operador de telecomunicaciones que suministrará la tarjeta SIM integrada en el sensor IoT, un instalador, una empresa de mantenimiento, un fabricante de software, un proveedor de alojamiento, etc. ¿Cuál de estos actores se encarga de la ciberseguridad? ¿Quién se hará cargo de la confidencialidad, integridad y disponibilidad de los datos? ¿El propietario de los datos? ¿O el que los recopila? ¿Los procesa? ¿Los agrega? ¿Todos? ¿Nadie?

Es difícil responder, porque cada caso es diferente. Y esta indefinición no se limita a los servicios externos; muy pocas autoridades locales disponen de una gobernanza clara e interfuncional en materia de ciberseguridad.

Básicamente, es recomendable adoptar soluciones de confianza y pensar en una cibergobernanza global, que abarque todos los sistemas de información

La situación no es mejor en los municipios más pequeños. La gobernanza cibernética es más sencilla, pero el factor humano adquiere una dimensión totalmente nueva, porque muy a menudo es una única persona la encargada de gestionar toda la cadena de aprobación. Y esta persona no solo se responsabiliza de los procesos digitales de compras y pagos, sino también, de gestionar el flujo de trabajo y, en ocasiones, de lidiar con estafas y otras tretas que tienen un fin económico o desestabilizador.

A esto se une, por regla general, una escasa formación en ciberseguridad y el desconocimiento, ante un proyecto que involucra a diferentes actores, sobre a quién dirigirse ante un determinado problema o cuestión. Realmente, siguen existiendo grandes diferencias de madurez cibernética entre los grandes operadores nacionales –sujetos a la directiva NIS y que disponen de departamentos especializados para garantizar la seguridad de las redes y sistemas de información- y las estructuras de tamaño medio, como las autoridades locales, que explotan sus propias instalaciones.

Por tanto, es conveniente hacer foco en las autoridades locales y en los actores de la ciberseguridad de las ciudades inteligentes, para, a través de una vía de entendimiento y de comunicación, ser capaces de implementar las soluciones de ciberseguridad más adecuadas.

Ciberseguridad adaptada

Para garantizar la seguridad de los sistemas de información de una ciudad inteligente o de una autoridad local conectada, es necesario establecer una política de seguridad global y luego adaptarla a cada Sistema de Información (SI). Y es ahí, donde a menudo se complican las cosas.

Además de la amplia gama de actores implicados, las autoridades locales tienen que combinar los retos de diferentes ámbitos de red, tanto de TI como de OT. Y se trata de infraestructuras con prioridades divergentes y normas de seguridad diferentes.

Entonces, ¿qué métodos se deben utilizar?

Soluciones de confianza

Básicamente, es recomendable adoptar soluciones de confianza y pensar en una cibergobernanza global, que abarque todos los sistemas de información. Otras prácticas como mapear y segmentar las diferentes redes, implantar autenticación multifactor, elegir una arquitectura de confianza cero o focalizarse en la seguridad por diseño son a la par apropiadas. Igual que considerar la escalabilidad de los SI, pensando en los retos del mañana, pero sin olvidar las prácticas operativas de hoy.

Por último, y además de los aspectos técnicos y la implantación de herramientas de protección, los expertos en seguridad informática deben aprovechar las competencias de alcaldes, jefes de departamento y responsables de seguridad informática para concienciar al mayor número posible del personal, en función del contexto.

¿Debemos resignarnos a desconectar las comunidades conectadas? ¿Dar marcha atrás en la transformación digital de los servicios al ciudadano? No. Existen técnicas de ciberprotección. Y la aplicación de estas medidas de seguridad por parte de las autoridades locales, avancen o no hacia una ciudad inteligente, les permitiría seguir disfrutando de los beneficios de los servicios públicos conectados.

Artículos relacionados

Artículo 1 de 4