Tomás Gómez Pérez, Responsable de Ciberseguridad del Gobierno de La Rioja
¿Podrías contarnos brevemente sobre tu trayectoria y tu rol actual en el Gobierno de La Rioja?
Actualmente, soy lo que en el mercado se identifica como el CISO de la organización. Me incorporé a la administración pública de La Rioja, concretamente al Servicio Riojano de Salud, en el año 2006. Originalmente, mi responsabilidad abarcaba todo lo relacionado con la gestión del puesto de trabajo y el Centro de Atención a Usuarios, pero a los pocos meses se me encomendó la tarea de liderar también el área de Sistemas, que incluía las competencias de administración de la seguridad. En 2010, asumí ese mismo rol para toda la administración general, como consecuencia de la creación de la Dirección General de Tecnologías de la Información y las Comunicaciones. Desempeñé ese puesto hasta el año 2020, cuando, a raíz de la pandemia, se me pidió liderar el equipo de desarrollo y aplicaciones de salud, debido a mi conocimiento del entorno sanitario. Teniendo en cuenta las circunstancias, y aunque no era el área más atractiva en ese momento, la responsabilidad me llevó a aceptar el cambio.
En 2022, con la pandemia y la vacunación ya controladas, nuestro entonces Director General, David Luquin, consideró imprescindible potenciar la seguridad, por lo que decidió crear un área específica e independiente que se encargara de todo lo relacionado con ciberseguridad, riesgo y cumplimiento. Me ofreció la posibilidad de asumir esa responsabilidad, y desde entonces lidero este fantástico equipo.
¿Cuáles son los principales riesgos de ciberseguridad a los que se enfrenta la administración pública en la actualidad?
En la administración, creo que el principal riesgo es el asociado a incidentes de ransomware. En nuestro caso, un incidente de este tipo podría paralizar todos los servicios públicos y comprometer información sensible de los ciudadanos. Están también los incidentes de phishing y spear-phishing, que, aunque no tienen un impacto directo tan grave, suelen ser vectores que desencadenan incidentes más serios, como el ransomware, lo que nos lleva de nuevo al riesgo anterior: una intrusión o un robo de datos.
Los ciberataques dirigidos a servicios esenciales son una gran preocupación. Como sabes, la Administración, además de los servicios sanitarios, gestiona servicios esenciales. Hemos detectado un incremento significativo en los ataques de denegación de servicio (DDoS), que, lamentablemente, son cada vez más difíciles de detectar porque aprovechan debilidades o vulnerabilidades a nivel de aplicación. Por lo tanto, no se necesita un ataque volumétrico masivo para causar pérdidas de servicio. También nos preocupan los ataques contra infraestructuras como las de agua, que, como podéis imaginar, son esenciales para el bienestar de toda la población.
Otro riesgo importante está asociado a la identidad de los usuarios, tanto internos como externos, aunque eso requiere un análisis más detallado. Además, tenemos un gran riesgo relacionado con la cadena de suministro, ya que la administración trabaja con decenas de proveedores de todo tipo y tamaño, con capacidades muy variadas. Algunos de ellos ni siquiera disponen de protocolos y procedimientos de seguridad básicos, lo que representa un riesgo enorme.
Finalmente, en algunos entornos es común tener que mantener sistemas con software y sistemas operativos obsoletos, que ya no reciben actualizaciones de seguridad y no pueden actualizarse debido a su obsolescencia o al riesgo de que una actualización provoque un fallo que afecte la disponibilidad de algún servicio.