No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, disfrutamos de una rara mea culpa:un reconocimiento de que un objetivo anterior de hacer que Whitehall fuera resistente a todas las vulnerabilidades y métodos de ataque conocidos no sería alcanzable para 2030. Esa admisión fue enterrada en el texto de El Plan de Acción Cibernética (CAP), el último esfuerzo de la última administración para mejorar la postura de seguridad del gobierno central.

Es un plan detallado y muy prometedor, cuyo impacto trascenderá con creces el sector público. Pero ¿es suficiente?

¿Por qué el gobierno necesita un plan?

No cabe duda de que el gobierno necesita un plan para reforzar la ciberresiliencia. Una evaluación del Grupo de Seguridad Gubernamental (GSG) realizada en 2023-24 reveló que 58 sistemas informáticos departamentales críticos presentaban brechas de seguridad significativas, lo que generaba un riesgo extremadamente alto. Una Oficina Nacional de Auditoría (NAO) independiente... (reporte) El año pasado, se descubrió que el 28% de los 228 sistemas de TI heredados presentaban una alta probabilidad de riesgos operativos y de seguridad. La falta de personal cualificado y la escasez de financiación han agravado el panorama, según el informe.

Desde entonces, se han producido importantes infracciones en el Agencia de Asistencia Legal, un plan de asentamiento afgano  lo que podría costarle al contribuyente cientos de millones de libras y al menos dos graves incidentes de seguridad en Contratistas del Ministerio de DefensaEn un momento en que el dinero escasea y los servicios públicos están en declive, el gobierno no puede permitirse infracciones más costosas ni nada que ponga en peligro la tan necesaria transformación digital.

La PAC señala múltiples fallos:

  • Fragmentación institucionalizada
  • Riesgo persistente de legado, ciberseguridad y resiliencia
  • Datos en silos
  • Subdigitalización
  • Liderazgo inconsistente
  • Un déficit de habilidades digitales
  • Poder adquisitivo difuso
  • Modelos de financiación obsoletos

¿Qué contiene la PAC?

El CAP promete un enfoque sólido y centralizado, con una dirección clara y un liderazgo activo, que establecerá expectativas claras sobre cómo los departamentos deben gestionar la seguridad y la resiliencia mediante objetivos y resultados más mensurables. El objetivo general es mejorar la visibilidad del ciberriesgo y ofrecer una acción centralizada más sólida ante los desafíos más complejos (que los departamentos no pueden gestionar por sí solos). Promete mejorar la velocidad y la calidad de la respuesta a incidentes y proporcionar apoyo centralizado para la resolución de problemas heredados.

Para lograr sus objetivos, la PAC establece tres fases de implementación:

Fase 1 (para abril de 2027): Establecer una Unidad Cibernética Gubernamental, implementar marcos de rendición de cuentas, lanzar una Profesión Cibernética intergubernamental para atraer, capacitar y retener a los profesionales cibernéticos, y publicar un Plan de Respuesta a Incidentes Cibernéticos del Gobierno.

Fase 2 (abril de 2027-2029): Ampliar la PAC a través de la toma de decisiones basada en datos, así como brindar servicios de apoyo cibernético y ampliar las capacidades de respuesta.

Fase 3 (abril de 2029+): Mejora continua a través del intercambio de información centralizada, ofreciendo servicios a escala, aprovechando la profesión cibernética para la transformación y asegurándose de que los departamentos aseguren de manera proactiva el riesgo cibernético en todas sus cadenas de suministro.

El gobierno afirma que, al permitirle digitalizar de forma segura los servicios públicos, la PAC podría generar ahorros de productividad de hasta 45 000 millones de libras. Sin embargo, solo ha asignado 210 millones de libras a la iniciativa.

Por otra parte, lanzó un nuevo Programa de Embajadores de Seguridad de Software Para impulsar la adopción del Código de Prácticas de Seguridad del Software, una iniciativa voluntaria destinada a minimizar los riesgos y las interrupciones en la cadena de suministro de software. Cisco, Palo Alto Networks, Sage, Santander, NCC Group y otras empresas han acordado convertirse en embajadores. Promoverán el código en todos los sectores, mostrando su implementación práctica y proporcionando retroalimentación para fundamentar futuras mejoras en las políticas.

Proveedores en el punto de mira

Tristan Watkins, director de innovación de servicios de la empresa de servicios de TI Advania UK, acoge con satisfacción la PAC, ya que se basa en evaluaciones claras de nuestros problemas de raíz actuales. Argumenta que su significado variará según el proveedor.

“Los 'proveedores estratégicos' del gobierno incorporarán requisitos de ciberseguridad y resiliencia en sus acuerdos, que prevemos que entren en vigor en marzo de 2027”, declara a IO. “Estos detalles aún están por definirse. En el caso de otros proveedores, esperamos tener más claridad después de abril de 2027, que marca el primer hito para el establecimiento de la Unidad de Ciberseguridad del Gobierno”.

Nick Dyer, vicepresidente regional de ingeniería de soluciones de Arctic Wolf, afirma que, como mínimo, se espera que los proveedores realicen comprobaciones anuales de Cyber ​​Essentials si quieren mantener el cumplimiento normativo. Keiron Shepherd, arquitecto sénior de soluciones de F5, coincide. «Los proveedores deben estar preparados para evaluaciones más exhaustivas y requisitos de informes más estrictos», declara a IO. «Este cambio hacia la garantía continua es un enfoque más sólido que el actual cumplimiento puntual».

Un trabajo en progreso

Sin embargo, ninguno de los expertos cree que la financiación anunciada sea suficiente. Dyer, de Arctic Wolf, afirma que "ciertamente no será suficiente" para lograr los resultados esperados.

“La inversión sostenida y el cumplimiento de la hoja de ruta establecida por el gobierno serán cruciales para su éxito”, declara a IO. “El enfoque propuesto en tres etapas, que culminará con la implementación completa a principios de 2027, es práctico. Sin embargo, su éxito dependerá del compromiso. Las prioridades y las circunstancias pueden cambiar en un año, por lo que la supervisión continua es esencial para garantizar que el plan alcance los resultados previstos”.

También existen dudas sobre el Programa de Embajadores de Seguridad de Software. Watkins, de Advania UK, celebra la iniciativa, pero argumenta que las organizaciones no deberían interpretarla como una señal para relajar la gestión de riesgos de la cadena de suministro.

“En última instancia, el código de prácticas y el programa deberían considerarse buenos complementos del nuevo CAP y del Proyecto de Ley de Ciberseguridad y Resiliencia, abordando oportunamente un problema relacionado”, afirma. “Sin embargo, recomendaría que las organizaciones centren sus esfuerzos de seguridad interna en las cuestiones relacionadas con la cadena de suministro de software, ya que no podemos confiar en un código de prácticas para satisfacer esas necesidades”.

Dyer de Arctic Wolf va más allá y advierte que, como código voluntario, puede conducir a una “adopción inconsistente” en las organizaciones.

“Por otro lado, la imposición del código aumentaría la consistencia de su adopción y haría que la rendición de cuentas fuera medible”, añade. “Su aplicación legal garantizaría que los desarrolladores de software cumplieran con las prácticas de seguridad esenciales, lo que posiblemente habría sido una forma más eficaz de proteger los sistemas gubernamentales críticos”.

Shepherd, de F5, coincide. «El plan es constructivo, pero si el objetivo es reducir el riesgo en toda la cadena de suministro de software, las medidas voluntarias por sí solas no lo lograrán», concluye. «Pronto llegaremos a un punto en el que imponer estándares de seguridad desde el diseño será la forma más eficaz de lograr la coherencia y cerrar las brechas».