Entrevista a Alejandro de las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid
En 2024, la Comunidad de Madrid puso en marcha la Agencia de Ciberseguridad, una iniciativa adscrita a la Consejería de Digitalización que busca garantizar la fortaleza digital de la región. Alejandro de las Heras, consejero delegado de esta institución, analiza los avances logrados por la Agencia en sus primeros meses. Este organismo cuenta con un presupuesto que alcanzará los tres millones de euros en 2025 y desarrolla iniciativas clave como el Servicio de Vigilancia Digital y el Equipo de Respuesta a Incidentes, diseñados para fortalecer la protección frente a ciberamenazas. Además, fomenta la colaboración público-privada, la formación en ciberseguridad y la implementación del Plan Estratégico, que definirá las políticas de protección digital en toda la región. De las Heras destaca la importancia de estas acciones para consolidar una cultura de ciberseguridad robusta, especialmente en municipios con recursos limitados y sectores críticos como el sanitario.
Alejandro de las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid.
En diciembre de 2023, la Asamblea de la Comunidad de Madrid aprobó la Ley para la creación de la Agencia de Ciberseguridad, adscrita a la Consejería de Digitalización. ¿Cuáles son los principales objetivos del Gobierno regional con la puesta en marcha de este organismo? ¿Cuándo inició oficialmente su actividad y qué balance haría de sus primeros meses en funcionamiento?
Los principales objetivos del Gobierno regional y, en especial la Consejería de Digitalización, con la creación de la Agencia de Ciberseguridad son garantizar la seguridad y resiliencia de los recursos digitales críticos en la Comunidad de Madrid, implementar medidas de ciberprotección robustas, gestionar integralmente los riesgos y consolidar una cultura eficaz de ciberseguridad.
La Agencia inició su actividad en el segundo semestre de 2024. En estos primeros meses, hemos logrado establecer la estructura organizativa básica, comenzar la implementación del Comité de Seguridad de la Información y sentar las bases para el desarrollo de nuestras funciones clave como la gestión de ciberincidentes y la cibervigilancia digital. El balance es positivo. Nos encontramos en una fase inicial de desarrollo y consolidación de nuestras capacidades.
¿Cuáles son los recursos con los que cuenta este nuevo organismo para desempeñar sus funciones?
La Comunidad de Madrid destinará tres millones de euros para 2025 a la Agencia de Ciberseguridad, duplicando el importe con los que este organismo dependiente de la Consejería de Digitalización contó en 2024 para su puesta en marcha, según recoge el proyecto de Ley para los Presupuestos Generales de la región. La Agencia cuenta con recursos humanos, técnicos y financieros para desempeñar sus funciones.
El objetivo es que en 2025 ponga en marcha equipos especializados que mejorarán la protección, detección y contestación rápida de la Administración frente a los ataques informáticos.
En concreto, la Agencia contará con un Comité de Seguridad de la Información, que establecerá el conjunto de políticas, principios y procedimientos que se utilizarán para identificar los riesgos y definir las acciones para proteger los sistemas. Esta estará formada por todas las entidades públicas responsables de esta materia de la Comunidad de Madrid.
Del mismo modo, se impulsará un Servicio de Vigilancia Digital para anticiparse y gestionar posibles amenazas en los municipios, y un Equipo de Respuesta a Incidentes, clave para la detección y contestación rápida ante un ataque de estas características.
Esta iniciativa será fundamental para las localidades más pequeñas que carecen de recursos para ello. Además, ayudará a organismos públicos y ayuntamientos que así lo requieran a conseguir certificados en este ámbito.
La Agencia de Ciberseguridad está llevando a cabo un programa de formación a los ciudadanos y concienciación en los consistorios. Con ellos se ha ido reuniendo en los últimos meses para informarles de la Estrategia autonómica en esta materia y para abordar los principales problemas y necesidades que están registrando las localidades en este aspecto.
Por otra parte, la Consejería de Digitalización prepara ya el Plan Estratégico de Ciberseguridad de la Comunidad de Madrid, que se publicará antes de que acabe el año, y que se convertirá en la guía para prevenir y gestionar los ataques informáticos de una forma protocolizada en todo el territorio madrileño.
La Agencia de Ciberseguridad reforzará la colaboración entre el sector público y privado. ¿Qué papel desempeñarán las empresas del sector en la implementación de las políticas de ciberseguridad regional?
Además, contamos con colaboración del Consejo Asesor y del Cluster de Ciberseguridad (CyberMadrid). Esto incluirá la participación en proyectos de investigación e innovación en ciberseguridad, el intercambio de información sobre amenazas y mejores prácticas, y la colaboración en la protección de infraestructuras críticas. También trabajaremos con el sector privado para impulsar el ecosistema empresarial de ciberseguridad en la región, promoviendo el desarrollo de soluciones innovadoras y fomentando el emprendimiento en este campo.
Tras anunciar que en 2025 la Agencia contaría con un presupuesto de 3 millones de euros, duplicando así su presupuesto inicial, la Consejería de Digitalización también comunicó que la Agencia impulsaría un Servicio de Vigilancia Digital. ¿En qué consiste este servicio y cómo funcionará?
Este servicio utilizará una plataforma de inteligencia de amenazas de vanguardia que aprovecha el aprendizaje automático y el análisis predictivo para proporcionar una detección automatizada de amenazas en tiempo real. El servicio funcionará las 24 horas del día, los 7 días de la semana, ofreciendo una visión integral de las amenazas, incluyendo la recopilación de datos de una amplia gama de fuentes, incluyendo la web abierta, la web oscura y fuentes técnicas; análisis en tiempo real de estos datos para identificar patrones, tendencias y posibles amenazas; generación de alertas y priorización automática de amenazas basada en su relevancia y gravedad para la Comunidad de Madrid y, la integración con las herramientas de seguridad existentes para una respuesta más rápida y eficiente.
Además, el servicio proporcionará información detallada sobre actores de amenazas, malware y vulnerabilidades relevantes para la región, capacidades de búsqueda avanzada para investigaciones de seguridad, análisis de amenazas potenciales en un entorno controlado e inteligencia en ciberseguridad para la caza proactiva de amenazas.
Este servicio permitirá a la Agencia anticiparse a las amenazas emergentes, reducir el tiempo de detección y respuesta a incidentes, y mejorar significativamente la postura de seguridad de toda la Comunidad de Madrid.
La Agencia también impulsará la creación de un Equipo de Respuesta a Incidentes. ¿Podría explicar cómo está estructurado este equipo y qué ventajas aportará para la región frente a posibles ciber amenazas?
El Equipo de Respuesta a Incidentes de Ciberseguridad de la Comunidad de Madrid es una parte fundamental de nuestra estrategia de ciberseguridad. Está estructurado para proporcionar una respuesta rápida y efectiva a los ciberincidentes, con capacidades de análisis, evaluación y triaje de incidentes, planificación y determinación de acciones, y supervisión y cierre de ciberincidentes. Las ventajas que aporta este equipo son reducción del tiempo de respuesta ante amenazas, mejora de la conciencia situacional en materia de ciberseguridad, apoyo especializado durante la resolución de incidencias de seguridad, capacidad de realizar simulaciones realistas de ciberataques para entrenar a los equipos de seguridad y asistencia crucial para los municipios de menos de 20.000 habitantes, que a menudo carecen de recursos técnicos y operativos para manejar este tipo de incidentes.
Desde la Comunidad de Madrid se ha destacado la importancia de proteger infraestructuras críticas, especialmente en el sector de la salud. ¿Qué medidas específicas se están desarrollando para blindar estos sistemas frente a ciberataques?
La protección de infraestructuras críticas, especialmente en el sector salud, es una prioridad para la Agencia. Estamos desarrollando varias medidas específicas para realizar ciberejercicios que verifiquen el estado de madurez de los procesos, las personas y las medidas tecnológicas para hacer frente a ciberataques en el sector salud. Estamos realizando una evaluación continua de vulnerabilidades en sistemas de salud digital, implementando medidas de seguridad reforzadas en infraestructuras sanitarias críticas, desarrollando protocolos de respuesta rápida ante incidentes de ciberseguridad específicos para el sector salud y colaborando estrechamente con el Servicio Madrileño de Salud para asegurar que sus sistemas de información cumplen con los más altos estándares de ciberseguridad.
Uno de los objetivos de la Agencia es asesorar a los municipios con menos recursos y a las pymes en temas de ciberseguridad. ¿Qué tipo de asistencia específica ofrecerá la Agencia en este aspecto? ¿Qué iniciativas de formación y concienciación se han previsto para incrementar la cultura de ciberseguridad entre los ciudadanos y empleados públicos?
La Agencia ofrecerá una asistencia integral a los municipios con menos recursos y a las pequeñas y medianas empresas en materia de ciberseguridad. Esto incluye un servicio de Vigilancia Digital Avanzado 24/7 para anticiparse y gestionar posibles amenazas en los municipios, apoyo inmediato en caso de ciberataques a través de nuestro Equipo de Respuesta ante Incidentes, asesoramiento en la implementación de políticas de seguridad a través de nuestra Oficina Técnica de Gestión, Riesgo y Cumplimiento, evaluación y mejora continua de las medidas de protección mediante la Oficina de Auditoría de Ciberseguridad, programas de formación y concienciación adaptados a las necesidades específicas de estos grupos y asistencia en el cumplimiento de normativas como el Esquema Nacional de Seguridad y la Directiva NIS2.
Para las pymes, además, promoveremos ayudas que fomenten e impulsen el desarrollo e implantación de la ciberseguridad en sus operaciones.
En relación con la formación y concienciación, la Comunidad de Madrid ha desarrollado un Plan de Concienciación en Ciberseguridad integral que abarca 14 ámbitos de actuación. Este plan incluye programas de formación específicos para empleados públicos, con especial atención a aquellos en ayuntamientos con menos de 20.000 habitantes, campañas de concienciación dirigidas a ciudadanos y empresas sobre temas clave como la gestión segura de contraseñas, la identificación de amenazas como phishing y vishing, y el uso adecuado de medios electrónicos y simulaciones realistas de ciberataques para entrenar a los equipos de seguridad.
Además, la elaboración y difusión de guías prácticas para proteger la información sensible, personal y corporativa, eventos y talleres de ciberseguridad abiertos al público y colaboración con instituciones educativas para introducir conceptos de ciberseguridad en los programas de estudio.
Estas iniciativas están diseñadas para crear una cultura de ciberseguridad sólida y generalizada en toda la región.
La Agencia también contará con un Comité de Seguridad de la Información. ¿Cuál será el papel de este comité, cómo estará estructurado y en qué consistirán sus operaciones?
El Comité de Seguridad de la Información de la Comunidad de Madrid es un órgano clave para la supervisión y coordinación de la ciberseguridad a nivel regional. Su papel principal será establecer las condiciones para la implementación y supervisión del Sistema de Gestión de Seguridad de la Información de la Comunidad de Madrid. El Comité englobará a todos los responsables de ciberseguridad de los entes, organismos y ayuntamientos de la región.
Estará estructurado en varios grupos de trabajo especializados que abordarán áreas clave como políticas de seguridad, ciberriesgos, respuesta a Incidentes Cibernéticos, concienciación y formación y colaboración interinstitucional.
Sus operaciones consistirán en establecer y revisar las políticas de seguridad de la información; coordinar la evaluación de riesgos y vulnerabilidades comunes a toda la región; participar en la respuesta a ciberincidentes y facilitar la comunicación entre entidades afectadas; establecer criterios sobre programas de formación y actividades de concienciación y fomentar el intercambio de experiencias y mejores prácticas en materia de seguridad de la información.
Mirando al futuro, ¿cuáles son las áreas estratégicas en las que la Agencia de Ciberseguridad centrará sus esfuerzos para adaptarse a las necesidades de seguridad digital de la Comunidad de Madrid y cómo planean fortalecer su capacidad de respuesta ante los riesgos emergentes en el entorno digital?
Mirando al futuro, la Agencia de Ciberseguridad centrará sus esfuerzos en varias áreas estratégicas clave como mejorar los sistemas de protección digital de la región, utilizando tecnologías avanzadas basadas en Big Data e Inteligencia Artificial; fortalecer la capacidad de respuesta a incidentes, incorporando especialistas en nuevas tecnologías como 5G, IoT, IA y computación cuántica; desarrollar un programa de certificación "Lugar Ciberseguro" para organismos públicos y empresas que cumplan con estándares de ciberseguridad como ENS, NIS2, ISO 27001, ISO 22301; crear un servicio de impulso y sensibilización en ciberseguridad para fomentar la investigación y el desarrollo de nuevas tecnologías de seguridad digital e impulsar la colaboración interregional e internacional, establececiendo acuerdos de cooperación con otras agencias de ciberseguridad a nivel nacional e internacional.
Para fortalecer nuestra capacidad de respuesta ante riesgos emergentes, implementaremos sistemas de inteligencia artificial para la detección temprana de amenazas y respuesta automatizada a incidentes, desarrollaremos capacidades de respuesta ante amenazas avanzadas persistentes, y mantendremos una actualización constante de nuestras estrategias y tecnologías en línea con la evolución del panorama de amenazas digitales.
La Comunidad de Madrid publicará el Plan Estratégico de Ciberseguridad antes de que finalice 2024. ¿Podría adelantarnos los principales objetivos de este plan y qué novedades aporta frente a iniciativas anteriores?
Las novedades que aporta este plan frente a iniciativas anteriores incluyen un enfoque más integrado y coordinado de la ciberseguridad a nivel regional, con la Agencia como eje central y la implementación de tecnologías avanzadas como IA y Big Data en la detección y respuesta a amenazas.
Este plan representa un salto cualitativo en la estrategia de ciberseguridad de la Comunidad de Madrid, pasando de un enfoque reactivo a uno proactivo y preventivo. Además, incorpora una visión más holística que no solo aborda los aspectos técnicos, sino también los organizativos, normativos y de desarrollo económico relacionados con la ciberseguridad.
Una de las novedades más significativas es la creación de un ecosistema de ciberseguridad regional, que busca posicionar a Madrid como un referente nacional e internacional en este campo. Esto incluye iniciativas para atraer inversiones, fomentar startups especializadas y crear programas de formación avanzada en colaboración con universidades y centros de investigación.
Finalmente, el plan incorpora mecanismos de evaluación y mejora continua, con indicadores de rendimiento claros y revisiones periódicas, para asegurar su adaptabilidad frente a un panorama de amenazas en constante evolución. Esta flexibilidad y enfoque en la mejora continua es una característica distintiva que permitirá a la Comunidad de Madrid mantenerse a la vanguardia en materia de ciberseguridad.
“Los principales objetivos son garantizar la seguridad y resiliencia de los recursos digitales críticos en la Comunidad de Madrid, implementar medidas de ciberprotección robustas, gestionar integralmente los riesgos y consolidar una cultura eficaz de ciberseguridad”
"Las empresas del sector desempeñan un papel crucial en la implementación de las políticas de ciberseguridad regional, por eso el Gobierno regional va a fomentar alianzas estratégicas y de cooperación con entidades privadas para implementar conjuntamente planes e iniciativas de seguridad digital"
