Cómo ayuda la provincia de Gelderland a 42 municipios a ser ciberresilientes

Aumentar la ciberresiliencia de los municipios de Gelderland

La ciberdelincuencia es un reto cada vez mayor, también para los municipios holandeses. La provincia de Gelderland quería ayudar a los municipios de la provincia a aumentar su ciberresiliencia. Lo hicieron en colaboración con Bureau Veritas Cybersecurity. El proyecto denominado Troya fue un gran éxito. 'De antemano era difícil calcular cuántos municipios participarían, así que estamos muy contentos de que se hayan inscrito 42 municipios. Esto demuestra que el interés por este tema es enorme", afirma la directora del proyecto, Marjolein Zeeman, de la provincia de Gelderland.

¿Qué es el proyecto Troje?

'El proyecto Troje es un desafío cibernético en la provincia de Gelderland', dice Marjolein Zeeman. Trabaja como jefa de proyecto de resiliencia en la provincia de Gelderland y supervisa los proyectos de lucha contra la subversión criminal en la provincia. 'El objetivo principal era concienciar sobre la ciberdelincuencia. Vemos, como todo el mundo, que la ciberdelincuencia está aumentando enormemente. Queríamos hacer algo al respecto'.

La medición de referencia como base

El desafío, que se prolongó hasta finales de 2023, constaba de dos partes, explica Zeeman: 'Ofrecimos a los municipios que quisieron participar -la participación era voluntaria- una medición de referencia. En seis áreas, se comprobó su nivel actual de ciberresiliencia. A continuación, se dieron recomendaciones a los municipios sobre lo que se podía mejorar en función de lo que se descubrió". Estas mediciones de referencia fueron realizadas por Bureau Veritas Cybersecurity.

Floris Duvekot, de Bureau Veritas Cybersecurity, explica lo que se midió: "Medimos, por ejemplo, el estado de la seguridad técnica y de Procesos. Pero también cómo abordaban la seguridad los empleados del municipio. Durante una de las mediciones, uno de nuestros ingenieros sociales éticos intentó colarse en los municipios participantes. Esto nos permitió poner a prueba la seguridad física del ayuntamiento y la concienciación de los empleados' Los tres municipios que obtuvieron las mejores puntuaciones en seguridad ganaron una evaluación de Red Teaming, o en realidad una célula roja, una versión compacta de Red Teaming, afirma Zeeman. Esos municipios -Aalten, Arnhem y Doesburg- fueron completamente examinados por Bureau Veritas Cybersecurity'.

Enorme necesidad

De antemano, Zeeman no sabía cuántos municipios se apuntarían al desafío: "Gelderland tiene 51 municipios. Pero se desconocía de antemano si participaría 1 municipio o 51." Eso hizo que la preparación y la licitación del proyecto fueran todo un reto. 'Nunca esperamos que 42 municipios se apuntaran: eso es más del 80% de los municipios de Gelderland. Eso indica que la necesidad en esta zona es enorme. Estamos muy satisfechos de haber podido ayudar a tantos municipios a dar un paso para aumentar su ciberresiliencia'.

Punto de contacto: CISOs

Zeeman y su equipo optaron por dirigirse a los CISO de los municipios de Gelderland como punto de contacto para el proyecto. 'Sienten la urgencia de este asunto como nadie. Además, son los que mejor pueden comunicarlo al resto de la organización'. Invitar personalmente a todos los CISO de los municipios fue un trabajo intenso, pero lo conseguimos: 'Al final, hablamos con todos los CISO 1 a 1 para responder a sus preguntas. También estuvieron presentes en la reunión inicial. Así que un gran efecto secundario de este proyecto fue la formación de una red de CISO de los municipios de Gelderland'.

Cooperación con Bureau Veritas Cybersecurity

Después de que Zeeman y su equipo se hubieran puesto en contacto con todos los municipios de Gelderland, los ayuntamientos hubieran firmado y se hubieran organizado todos los documentos de salvaguardia y los acuerdos de ciberseguridad, Bureau Veritas Cybersecurity se hizo cargo de la ejecución del proyecto. 'Me gustó mucho trabajar con Bureau Veritas Cybersecurity', dice Zeeman. 'El equipo lo manejó muy bien'.

El director del proyecto, Floris Duvekot, de Bureau Veritas Cybersecurity, dice de la colaboración: "Como la provincia supervisó el inicio del proyecto y había hecho tanto trabajo preliminar, los municipios tuvieron tiempo suficiente para presentar sus solicitudes. Esto también nos dio tiempo para preparar adecuadamente las mediciones de referencia. Al discutir los progresos con la provincia mensualmente, la cooperación fue muy transparente. Lo singular de este proyecto fue que la provincia no tuvo acceso a los resultados de las mediciones de referencia. Su papel fue completamente facilitador. Aprecié mucho la confianza mutua en esta colaboración".

Qué hacer y qué no hacer

Zeeman recibe muchas preguntas de otras provincias y organizaciones sobre este proyecto. 'Suelo decir: adelante, háganlo. Hemos visto que existe una enorme necesidad de compartir conocimientos sobre este tema'. aconseja Zeeman:

• Invierta en el contacto personal con los CISO y otros implicados. 'Esto lleva tiempo, pero merece la pena la inversión. No olvide incluir también a la junta directiva, para que el tema resuene realmente en este grupo'.
• Tómese mucho tiempo. 'Esto es realmente necesario con un proyecto tan grande. Pasamos un año entre el inicio y el cierre de la licitación. La puesta en marcha tardó más de un año después'.