e-Boletín de RedIRIS

La ciberseguridad cada vez más protagonista

Por Alberto Pérez Gómez

Alberto Pérez Gómez

Aunque siguen siendo muchos los afectados por COVID (incluyendo en nuestro entorno directo), los casos por suerte tienden a ser más leves, y ya se van pudiendo recuperar actividades como las reuniones de trabajo presenciales. En las últimas semanas he asistido a tres que me han resultado particularmente provechosas y reveladoras.

La primera reunión fue la Jornada sobre Ciberseguridad de CRUE-TIC que tuvo lugar en la Universidad de La Laguna en mayo. Allí tuvimos oportunidad de exponer los servicios TIC compartidos de ciberseguridad que prestamos a las instituciones afiliadas a RedIRIS, y los nuevos servicios que estamos poniendo en marcha, junto con CRUE-TIC, gracias al proyecto UNI-DIGITAL RedIRIS, financiado con fondos europeos de recuperación. Sobre la ciberseguridad: mientras que antes se asociaba a alguna molestia ocasional, ahora es una necesidad constante. Es sin duda un eje prioritario de nuestra actividad, y a este tema se dedica un artículo en este e-Boletín.

Ese evento de CRUE-TIC nos dio también la oportunidad de estar en contacto directo con organismos de referencia en ciberseguridad con los que colaboramos muy estrechamente, como INCIBE y CCN-CERT. Con este último acabamos de firmar un acuerdo de colaboración para consolidar las valiosas actividades conjuntas de cooperación que tenemos en marcha.

Y esa jornada también nos permitió constatar la ingente actividad que desarrollan las universidades en materia de ciberseguridad, en un entorno en el que se compartieron tanto los casos de éxito como los problemas que se han experimentado, ayudando así generosamente a otras instituciones a aprender cómo gestionar esas complicadas situaciones. Sin duda, un ejemplo muy claro del valor del trabajo en comunidad. Algunas de esas experiencias se habían compartido previamente en nuestras Videosesiones TECNIRIS, y unos días después el intercambio de información en este ámbito alcanzó dimensión internacional a través de un evento on-line para Latinoamérica, organizado por MetaRed, en el que también participamos nosotros desde RedIRIS.

La segunda reunión, que tuvo lugar pocos días después, se celebró en Bruselas. Fue la primera Asamblea General presencial  de la EOSC Association, que impulsa a escala europea el modelo de ciencia abierta en la nube. Por más que la pandemia ha hecho más evidente que nunca el valor de la videoconferencia como herramienta fundamental para el trabajo colaborativo, en este caso resultó muy útil tener la oportunidad de reunirse físicamente con colegas a los que uno nunca había visto antes en persona.

Sobre la situación del proyecto EOSC en sí, se pudo constatar tanto el gran esfuerzo colaborativo que se está llevando a cabo a escala europea, como la dificultad de coordinar de forma ágil y eficaz a un número tan elevado de países y colectivos científicos con múltiples especificidades. Para lograr un cambio de la magnitud del que se persigue, será necesario un impulso de esa misma magnitud.

La tercera reunión se celebró un par de semanas después: se trató del TNC, la reunión anual para redes académicas y científicas que organiza nuestra asociación europea GÉANT, y que, tras dos ediciones virtuales, en esta ocasión se organizó de forma presencial en la ciudad italiana de Trieste. 

El evento sirvió, entre otras cosas, para conocer en persona a nuevos colegas que se han incorporado en los dos últimos años a este entorno de colaboración europeo. Y no solo europeo, porque el CEO de GÉANT, Erik Huizer, tuvo la buena idea de convocar una reunión para más de 60 directores de redes académicas nacionales de los 5 continentes (entre los que se encontraba nuestro colega ucraniano), para poner en común experiencias y visiones estratégicas a través de distintos grupos de debate.

De nuevo, la ciberseguridad emergió como la preocupación predominante, incluso para redes académicas como la británica JISC, que cuenta con más de 100 empleados solo para esta actividad, y que fue la que se hizo cargo de coordinar la sesión dedicada a ese tema. Entre otras cosas, los colegas de JISC comentaron cómo cambiaron radicalmente su enfoque cuando en 2015 sufrieron un ataque de denegación de servicio que dejó sin conectividad a sus instituciones afiliadas durante dos días, y que tuvo amplio impacto en los medios de comunicación, incluyendo la BBC. Esperemos que otros no tengamos que pasar por algo así, o como el ataque que sufrió el SEPE, para que se hagan los cambios y mejoras que la situación exige.

Entre otros cambios, habrá que ajustarse a la nueva Directiva NIS2 (Network and Information Systems Security), cuya aprobación formal se producirá en breve, y que tendrá que incorporarse al Derecho nacional en 21 meses. En base a esa disposición, se otorgará a redes académicas y científicas como RedIRIS la condición de operador de servicio esencial, algo que no es de extrañar si se considera que RedIRIS tiene más de 500 instituciones afiliadas, y da acceso a Internet a casi 5 millones de usuarios en universidades, centros científicos y escuelas.

La adaptación a esa condición de operador de servicio esencial implica la puesta en marcha de controles y auditorías adicionales, orientados a garantizar la estabilidad y la seguridad del servicio. Eso se suma al proceso de adaptación tanto a los cambios experimentados recientemente en el Esquema Nacional de Seguridad (ENS), como a la modificación que tendrá lugar en breve de la especificación de ciberseguridad ISO 27001.

Todo ello supone un esfuerzo notable, pero, eso sí, plenamente alineado con el objetivo fundamental de RedIRIS, de intentar garantizar la continuidad de los servicios que presta a sus instituciones afiliadas. Y ahí juega un papel esencial la ciberseguridad, que, como la salud, nos pasa desapercibida cuando se tiene, y se convierte en nuestra principal prioridad cuando nos falta. En estos momentos complejos esperamos que no tengamos ninguno problemas ni de seguridad ni de salud.

Y a ello esperamos que contribuya nuestro primer evento presencial desde 2019: un foro, que tendrá lugar en noviembre en Barcelona, y que tratará…sobre ciberseguridad.