Antecedentes
El Congreso de los Diputados, tras el inicio de la pandemia del COVID-19, se vio abocado a acrecentar el uso de las TIC dentro de su actividad parlamentaria y administrativa, siendo una demanda relevante el conseguir que pudiera continuar su actividad con el menor impacto posible a pesar de la necesaria adopción de los medios electrónicos, dentro de unos órganos que siempre han tenido la presencialidad como presupuesto necesario para su funcionamiento.
Todo ello enfrentando un amplio espectro de amenazas que iban desde ataques indiscriminados basados en ransomware y de denegación de servicio hasta sofisticadas campañas dirigidas como el caso Pegasus. Se disponía de un razonable nivel de ciberseguridad, aunque con una panoplia de tecnologías con escaso nivel de integración y un cierto grado de obsolescencia.
Era imperativo, establecer una estrategia con la que conseguir un avance significativo de la ciberseguridad en la Cámara y su mejora continua, todo ello con una única licitación.
Retos
- La estructuración del proyecto de ciberseguridad, en modelo servicio, en programas delimitados de tecnología (protección perimetral de red, controladores de entrega de aplicaciones y protección de aplicaciones web, protección del endpoint, etc.), servicios (gestión, configuración y respuesta ante incidentes, compliance) y capacitación del usuario final.
- La creación de un marco para permitir un modelo híbrido para la gestión de la ciberseguridad que permita armonizar el uso de medios propios y la ciberseguridad ofrecida en modo servicio.
- El establecimiento de los parámetros técnicos de la tecnología y los requisitos de la prestación de servicios.
- La cualificación y concienciación del personal, tanto en los niveles técnico como administrativo y parlamentario, para que desarrollen conductas seguras en el uso de la tecnología.
- Incorporar una herramienta GRC que permitiera gestionar de forma integrada toda la información del SGSI, particularmente del análisis y gestión del riesgo.
Fases
Para abordar los retos planteados anteriormente, se realizó una licitación por procedimiento abierto al que concurrieron un total de 13 empresas, con una gran diversidad de enfoques, tanto en tecnología como de prestación de servicios, contando todas las ofertas con un elevado grado de calidad técnica.
Tras la resolución del procedimiento, se adjudicó el contrato a la empresa Babel, que presentó un proyecto con un planteamiento de primer nivel, que incluía gran diversidad de fabricantes punteros, destacando en la faceta de la integración de las diferentes tecnologías comprendidas en cada uno de los programas de actuación y una buena propuesta de servicios y de integración con el Sistema Informático.
En la actualidad, ya está implantada toda la infraestructura tecnológica del servicio y se han iniciado los procesos de gestión para conseguir la certificación en el ENS, comenzando en breve las actividades relacionadas con concienciación y capacitación en ciberseguridad del usuario final.
Nuevos Servicios
Como rasgos más reseñables, respecto de la situación preexistente, destacamos:
- Gran avance en las capacidades de protección de red y sistemas, con la incorporación de las tecnologías más avanzadas del mercado, entre las que destacan Fortinet, Forcepoint, F5, Palo Alto, IBM QRadar, BeyondTrust, Soffid, Tenable y Blueliv.
-Implantación de un sistema unificado con capacidad para procesar de forma conjunta todas las fuentes de información, así como elaborar respuestas automatizadas ante incidentes.
- Gran nivel de integración con la infraestructura de red Ethernet y Wi-Fi ya existente.
- Incorporación de herramientas GRC (ePULPO) para apoyar todos los procesos de gestión de la seguridad de la información y, particularmente, el análisis y gestión de riesgos como instrumento fundamental para mejora continua.
- Introducción de herramientas automatizadas para la gestión de identidades y del acceso privilegiado, consolidando una política basada en el principio de mínimo privilegio.
Conclusiones
La ciberseguridad es un habilitador para la digitalización de los procesos tanto en el ámbito parlamentario como administrativo, y requisito esencial para garantizar que la transición hacia los medios electrónicos en el trabajo diario de la Cámara quede a salvo de los peligros del ciberespacio, evitando cualquier amenaza que pueda tener un impacto técnico o jurídico.
El proyecto de ciberseguridad del Congreso de los Diputados cimenta una base sólida de tecnología y servicios de ciberseguridad con un marco integral para su mejora continua en el futuro.