Cada año, la National Association of State Chief Information Officers (NASCIO) publica su lista de las 10 prioridades estratégicas. Para sorpresa de nadie, la ciberseguridad y la gestión de riesgos volvieron a ocupar el primer puesto en 2024, de hecho lleva siendo la prioridad durante más de una década, ya que los incesantes ciberataques siguen afectando a los organismos estatales y locales.
Sin embargo, en lo que NASCIO calificó como "primicia histórica", los servicios públicos digitales empataron con la ciberseguridad en el primer puesto de este año. Los servicios públicos digitales, o servicios de "gobierno digital", son servicios que se ponen a disposición del público y de la comunidad empresarial mediante el uso de tecnologías de la información y la comunicación.
"La ciberseguridad y el gobierno digital son dos cuestiones críticas para los directores de informática estatales y lo serán durante algún tiempo", declaró el director ejecutivo de NASCIO, Doug Robinson, sobre este empate.
Pocos lo discutirían, pero recuerda, es una lista de prioridades. ¿No debería haber solo un n.º 1?
Con prácticamente todo lo disponible en línea, la gente también quiere servicios digitales de primer nivel de los gobiernos. No debería importar el hecho de que diferentes organismos se encargaran de asuntos diferentes. No deberían tener que examinar listas interminables de organismos, encontrar el sitio web adecuado y crear otra cuenta para contactar con los gobiernos. Nadie debería sufrir un "tributo de tiempo" asociado con búsquedas complejas, procesos confusos, aplicaciones engorrosas y tiempos de respuesta demasiado largos. Sin embargo, esta es la realidad actual de los servicios públicos en gran parte del país.
Los gobiernos estatales y locales son muy conscientes de ello. Puede que el público en general no se dé cuenta, pero las autoridades gubernamentales se preocupan mucho por la prestación de servicios, y están tomando medidas.
Por ejemplo, los estados están invirtiendo en portales web públicos que permiten el acceso ininterrumpido entre organismos a todos los servicios que ofrecen. A la hora de modernizar las aplicaciones, implementan los últimos principios de diseño centrado en los usuarios para dar prioridad a las personas. Combinan el inicio de sesión único con la autenticación multifactor sin contraseña para que los usuarios solo tengan que gestionar una única credencial. Además, están innovando con asistentes digitales basados en IA para dar vida al futuro de los servicios gubernamentales.
Sin duda, las grandes experiencias digitales ayudan a generar confianza en los gobiernos. Este intenso enfoque explica por qué los servicios digitales han escalado en la lista de las 10 principales prioridades de la NASCIO hasta ocupar el primer puesto. Sin embargo, las malas prácticas en materia de seguridad y privacidad pueden desvirtuar este enfoque, de ahí que también sean una prioridad, y por ende el empate.
Ahora volvamos a nuestra pregunta: ¿Ha sido realmente una sorpresa? Por supuesto que no. Desde la perspectiva del público, la solidez de los servicios digitales y la mejora de la seguridad no son prioridades independientes. Son parte lo mismo.
Quizás la mayor sorpresa en la lista de la NASCIO fue que las prioridades asociadas a la "disponibilidad", la "fiabilidad" y la "resistencia" no aparecían por ningún lado. Pocas cosas minan más la confianza que los servicios que simplemente no funcionan.
Por supuesto, la disponibilidad es un principio básico de la seguridad junto con la confidencialidad y la integridad, por lo que se podría decir que está implícito. Sin embargo, en los últimos años, el término "resistencia" ha aparecido de forma más explícita como la base de los sistemas fiables. La resistencia puede parecer una palabra más elegante para referirse a la disponibilidad, pero es mucho más que eso. La resistencia arroja luz sobre la cuestión clave — fomentar la confianza. La NASCIO debería plantearse declararlo explícitamente, al igual que hace con la gobernanza, la experiencia del usuario, la accesibilidad y el riesgo de terceros.
Para ayudar a las organizaciones a mejorar la resistencia, el Instituto Nacional de Estándares y Tecnología (NIST) publicó dos informes especiales 800-160 sobre sistemas fiables (vol. 1) y sistemas ciberresilientes (vol. 2). En ellos se destaca una cita clave: "La fiabilidad es la capacidad demostrada y, por tanto, la valía de una entidad en la que se puede confiar para satisfacer las expectativas, incluida la satisfacción de las expectativas ante la adversidad". En otras palabras, te ganas la confianza cuando ofreces contenido de forma sistemática, incluso en tiempos adversos.
Y los tiempos pueden complicarse muy rápido cuando los sistemas se ralentizan o dejan de responder. La causa puede ser un problema cibernético, p. ej. ransomware o un ataque de denegación de servicio, pero también puede ser un problema operativo como un pico de tráfico inesperado o un error humano que se convierte en una crisis en toda regla. Pocos olvidarán cómo la pandemia provocó el cierre de empresas en todo el país, y cómo millones de personas inundaron los sistemas de solicitud de desempleo de los estados, colapsando sitios web y provocando largos retrasos en prestaciones vitales. Ese tipo de fallos ante la adversidad ayudó a minar la confianza en los gobiernos en un momento crítico.
La buena noticia es que existe un manual sencillo para fomentar la confianza y la resistencia en tus servicios digitales, sin tener que profundizar en las 500 páginas de publicaciones del NIST, y sin tener que esperar la lista de las 10 principales prioridades del próximo año.
De acuerdo, recomendamos sumergirse en las publicaciones 800-160 del NIST, pero estas son las cinco prioridades principales para incorporar inmediatamente la resistencia en tus programas de ciberseguridad y servicios digitales:
Mitigación de DDoS
Los ciberdelincuentes utilizan los ataques de denegación de servicio distribuido (DDoS) para interrumpir los servicios o, a veces, simplemente para desviar la atención de otro ataque. Los ataques DDoS saturan los sistemas con tráfico procedente de muchas fuentes, lo que dificulta su detención, incluso para los proveedores de acceso a Internet ascendentes. Pero no tiene por qué ser así. Hoy en día, puedes conectar tus servicios digitales a una conectividad cloud moderna y global que tiene la visibilidad y la experiencia necesarias para identificar y detener los ataques DDoS.
DNS seguro
Al igual que otros servicios básicos de Internet, el sistema de nombres de dominio (DNS) no se diseñó teniendo en cuenta la seguridad. Por lo tanto, los ciberdelincuentes pueden explotar sus debilidades y degradar la calidad del servicio, redirigir a los usuarios a sitios peligrosos o interceptar el correo electrónico. Las mejoras del DNS, como el protocolo de extensiones de seguridad DNS (DNSSEC), evolucionaron para autenticar las solicitudes de DNS, pero seguían sin proteger contra los ataques DDoS. Por lo tanto, una de las principales prioridades debe ser la adopción de una solución de DNS segura que combine servicios de DNS eficaces con DNSSEC y protección contra DDoS para garantizar que tus servicios estén siempre disponibles y protegidos de los ataques contra el DNS.
Protección de aplicaciones web
Las plataformas web son objeto de ataques constantes con vectores y tácticas de amenaza cada vez más importantes. Tanto si las amenazas son conocidas y están definidas por el Open Worldwide Application Security Project (OWASP) como si son vectores de amenaza nuevos, un firewall de aplicaciones web (WAF) moderno debe poder abordar ambas a escala. Las comprobaciones de credenciales expuestas, los controles centrados en las API y la detección de datos confidenciales en las respuestas también son elementos fundamentales para garantizar un enfoque integral de la protección de las aplicaciones web. Estos controles deben actualizarse constantemente en vista del panorama en constante evolución. Por lo tanto, considera un proveedor de WAF que aproveche el aprendizaje automático entrenado por una extensa red global de sensores para identificar y responder a estas amenazas emergentes.
Servicios de aceleración de aplicaciones
Impulsar la experiencia del usuario en los servicios digitales no gira solo en torno a la arquitectura de la aplicación y los principios de diseño centrados en el usuario, sino también en la disponibilidad y la aceleración del contenido para el usuario final. Las capacidades avanzadas de almacenamiento en caché y gestión de contenidos que están intrínsecamente integradas en los controles de seguridad mencionados anteriormente son componentes críticos para impulsar el rendimiento, la resistencia y, en última instancia, la confianza en esos sistemas. Para lograr estos objetivos de forma eficaz, los proveedores deben tener una huella distribuida en la que la aceleración y la seguridad estén estrechamente vinculadas.
Servicios de aceleración de red
Los proveedores que operan la red troncal interconectando sus nodos de servicio o puntos de aplicación de políticas (PEP) aportan otro aspecto a la resistencia. Por ejemplo, cuando hay una congestión, el tráfico se puede volver a enrutar a nodos alternativos. Esta capacidad de ver la ruta de un extremo a otro y ejercer el control de cómo se enrutan las solicitudes y las respuestas en relación con las condiciones en tiempo real impulsa significativamente la resistencia y el rendimiento. Pensemos en un proveedor de seguridad en la nube que no solo opere con una distribución global de PEP para servicios de seguridad y aceleración, sino también con la infraestructura de red que interconecta esos PEP.
Puede que el empate de NASCIO en la lista de las principales prioridades de los directores de informática haya sido una primicia histórica, pero ciertamente no ha sido una sorpresa. Para dar servicio y generar confianza al público, los organismos necesitan una ciberseguridad sólida y experiencias digitales sencillas. Pero la confianza también depende de la resistencia que garantice que los servicios esenciales estén siempre disponibles ante la adversidad. Las cinco prioridades principales que hemos analizado contribuirán en gran medida a la prestación de servicios digitales fiables y seguros.
Y por si aún no fuera obvio, esta es una de las principales recomendaciones para los directores de informática estatales cuando consideren las principales prioridades para 2025 — hablen específicamente sobre la "resistencia" dentro de la prioridad del gobierno digital. Es fundamental hacerlo, pero es más fácil de lo que piensas.
Cloudflare ofrece un conjunto de servicios diseñados específicamente para organizaciones gubernamentales y del sector público de Estados Unidos. Estos servicios permiten a las organizaciones crear servicios rápidos, fiables y escalables, al tiempo que mejoran la seguridad en todos los puntos finales, usuarios y nubes. Los servicios se prestan desde una red global en la nube muy resistente con seguridad y rendimiento integrados. Con Cloudflare, las organizaciones pueden abordar las dos prioridades de NASCIO sin añadir complejidad.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Este artículo se elaboró originalmente para GovTech.
Más información sobre cómo cumplir los requisitos de seguridad Zero Trust para el gobierno federal en la Guía de implementación de la arquitectura Zero Trust.
Scottie Ray — @H20nly
Arquitecto principal de soluciones, Cloudflare
Steve Caimi — @stevecaimi
Responsable de productos, Cloudflare
Después de leer este artículo podrás entender:
Cómo trabajan los gobiernos para mejorar los servicios digitales
Por qué la resistencia es esencial para fomentar la confianza
Cinco prioridades para aumentar la resistencia en la ciberseguridad y los servicios digitales