Cuando hablo con responsables de tecnología y seguridad de Administraciones Públicas, casi todas las conversaciones empiezan igual: herramientas nuevas, proyectos en marcha, auditorías, normativas que cumplir. Todo muy ordenado, muy documentado.
Pero pocas veces empezamos por la pregunta clave: qué pasaría mañana si un hospital se queda sin sistemas, si una sede electrónica cae en plena campaña o si un ransomware cifra los expedientes sociales de un ayuntamiento.
Es decir, qué impacto real tendría en las personas.
Con los años he llegado a una conclusión incómoda: el problema de la ciberseguridad pública ya no es tecnológico. Hoy hay más soluciones que nunca, más monitorización y más controles. Y, aun así, los incidentes siguen ocurriendo. Eso suele significar que no falta tecnología, sino enfoque.
De proteger a resistir
Durante mucho tiempo entendimos la seguridad como levantar murallas: más firewalls, más capas, más procedimientos. Ese modelo servía cuando todo estaba dentro del CPD. Pero la Administración actual es abierta por definición: nube, teletrabajo, proveedores, servicios digitales 24×7 y millones de ciudadanos conectados.
El perímetro ha desaparecido.
Y cuando no hay perímetro, protegerlo todo es imposible. Lo realista es asumir que el incidente llegará y prepararse para detectarlo rápido, contenerlo y recuperarse antes. Eso es resiliencia.
Y la resiliencia no se compra con licencias. Se construye con organización y criterio.
Cumplir no es estar preparado
El ENS, ha sido fundamental para ordenar la casa y fijar mínimos. Y ahora la Directiva NIS2 está elevando la responsabilidad de la dirección y la gobernanza. Ambos son avances necesarios.
Pero cumplir no equivale a estar listo.
El ENS te da una base. NIS2 te exige responsabilidad. Ninguno de los dos reacciona por ti a las tres de la mañana cuando hay un incidente.
He visto organizaciones impecables en auditoría que se bloquean cuando suena la alarma, y otras mucho más modestas que responden en minutos porque tienen claro qué es crítico y quién decide. La diferencia casi nunca es técnica. Es cultural y operativa.
Aquí no hablamos de sistemas, hablamos de ciudadanos
En el sector privado se habla de pérdidas económicas. En la Administración hablamos de derechos. Historiales médicos, ayudas sociales, datos fiscales, información judicial.
Cuando un sistema público cae, no se retrasa una venta; se paraliza un servicio esencial para alguien que no puede esperar.
Por eso la ciberseguridad no debería tratarse como un proyecto IT más, sino como un servicio público básico. Igual que el agua o la electricidad, debe funcionar siempre. Los atacantes no trabajan en horario de oficina, y nosotros tampoco deberíamos protegernos solo en horario de oficina.
El factor decisivo
Si tuviera que resumir qué necesita hoy un CISO público, no diría más herramientas. Diría tres cosas: contexto para priorizar, capacidad real de respuesta con un SOC 24×7 y valentía.
Valentía para decir que no a proyectos inseguros, para exigir cambios incómodos o para reconocer riesgos antes de que se conviertan en titulares. Porque, si no se decide antes, se decide durante la crisis. Y entonces todo cuesta más: tiempo, dinero y confianza ciudadana.
Menos predicciones, más preparación
Cada año aparecen nuevas amenazas con nombres distintos, pero la mayoría de los ataques siguen entrando por lo mismo: credenciales débiles, configuraciones incorrectas o un correo bien diseñado. No necesitamos adivinar el futuro; necesitamos hacer muy bien lo básico.
Visibilidad, monitorización continua, ensayar la respuesta y medir la recuperación.
Cuando una organización entrena eso, la seguridad deja de ser un discurso y se convierte en una capacidad real.
La buena noticia es que la ciberseguridad ya está en la agenda de los equipos directivos públicos. ENS y NIS2 están empujando en la dirección correcta. Ahora toca el paso más difícil: pasar del cumplimiento al compromiso.
Porque la seguridad perfecta no existe.
Pero la resiliencia sí se puede construir.
Y, cuando trabajas para millones de ciudadanos, eso no es solo tecnología. Es responsabilidad pública.
Conoce los servicios de ciberseguridad proactiva de OneseQ.
Alhambra IT
Director de OneseQ, área de Ciberseguridad
