Google ha pedido al gobierno de EE.UU. que se replantee su práctica de favorecer la tecnología de Microsoft a la hora de adquirir tecnología, acusando a la empresa de tener una reputación de vulnerabilidad en materia de ciberseguridad y mala percepción por parte de los usuarios.
“Las repetidas violaciones de la ciberseguridad en sistemas gubernamentales estadounidenses han perturbado trabajos esenciales y han costado al contribuyente miles de millones de dólares”, escribe Jeanette Manfra, directora sénior de Riesgo y Cumplimiento Global de Google Cloud, en una entrada del blog de la empresa.
Antes de unirse a Google Cloud, Manfra pasó 20 años en el sector público desempeñando diversas funciones de seguridad, la más reciente como jefa de la división de ciberseguridad de la recién creada Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). Fue responsable de la prestación de servicios y capacidades a un centenar de organismos civiles, así como de nuestras infraestructuras críticas para socios estatales y locales de todo Estados Unidos.
Con esas credenciales, Manfra escribe que dedicó mucha energía a trabajar para mantener a los malos actores fuera de los sistemas informáticos del gobierno. “Lo que acabé comprendiendo es que estábamos en desventaja. No sólo teníamos que lidiar con sistemas heredados, sino que también teníamos una mentalidad heredada. Nuestras políticas y capacidades dependían excesivamente de un enfoque de defensa basado en el perímetro e introducían capas de fricción con herramientas como las VPN, que inhibían la productividad y aumentaban la frustración”.
Asimismo, escribe: “Pasé los últimos años de mi tiempo en el gobierno haciendo todo lo posible para modernizar este enfoque de la seguridad y apoyando a las muchas personas que compartían esta visión. Aunque la mayoría de ellos siguen ahí, haciendo un trabajo excelente, las repetidas violaciones de la ciberseguridad de los sistemas del gobierno de Estados Unidos han interrumpido un trabajo vital y han costado a los contribuyentes miles de millones de dólares. La brecha de SolarWinds en 2020, por ejemplo, puede haber costado a gobiernos y empresas más de 100.000 millones de dólares y la pérdida de información vital para la seguridad nacional. Sin embargo, muchas agencias gubernamentales siguen confiando en el mismo software de productividad heredado”.
Luego, Manfra cita una nueva encuesta realizada por Public Opinion Strategies y encargada por Google Cloud, que muestra que muchos trabajadores de la administración pública se hacen eco de estas preocupaciones. La encuesta reveló que la mayoría de los empleados públicos encuestados declararon estar ‘muy’ preocupados por los ciberataques que puedan sufrir sus empresas en los próximos años”.
Los resultados de la encuesta también mostraron una falta de satisfacción con el software heredado, con más del 50% de los funcionarios públicos a nivel nacional respondiendo que hay otros productos y servicios que podrían ayudarles a hacer su trabajo mejor.
“Estos nuevos resultados no sólo hablan de los retos a los que se enfrentan nuestros empleados públicos, sino que también esbozan una oportunidad para mejorar la innovación y la seguridad que puede ayudarles a cumplir mejor sus funciones”, escribe Manfra.
Preocupación por la ciberseguridad
La mayoría de los encuestados cree probable que el gobierno federal sea víctima de un ciberataque en los próximos años. Una de las razones más frecuentes de esta preocupación por los ciberataques es que muchos de los encuestados declararon haber sufrido un ciberataque en su trabajo.
El problema de la “monocultura” en TI
Según los encuestados, el 84% de los empleados del gobierno metropolitano de D.C. utilizan principalmente productos de Microsoft en el trabajo, como Word, Outlook, Teams y OneDrive. Esto es confirmado por otro estudio reciente de Omdia que encontró que el 85% de los empleados del gobierno utilizan el software de productividad de Microsoft, claramente el mayor proveedor de productividad de TI por cuota de mercado.
“Esta dependencia de una sola suite de software podría sugerir que estos productos son seguros y protegidos, pero la encuesta de Public Opinion Strategies encontró que más de la mitad de todos los encuestados dijo que la dependencia del gobierno de estos productos de Microsoft en realidad hizo que el gobierno federal fuera más vulnerable a los hackers o ciberataques”, escribe Jeanette Manfra, quien añade: “Teniendo en cuenta estas vulnerabilidades, ¿por qué las TI del gobierno siguen confiando en el mismo conjunto de herramientas de productividad en el trabajo? La razón, según los encuestados, tiene más que ver con la inercia que con la innovación. Cuando se les preguntó por qué sus empleadores utilizaban los servicios de Microsoft, alrededor de la mitad dijo que la razón por la que su empleador sigue eligiendo a los proveedores tradicionales era más por no querer cambiar que por querer la herramienta más eficaz para el trabajo”.
Junto con esta preocupación por las vulnerabilidades, los encuestados consideran que sus soluciones informáticas actuales no son las mejores para sus necesidades. Alrededor de la mitad de los encuestados que utilizan principalmente Microsoft en el trabajo dijeron que preferirían tener la opción de utilizar productos y servicios de otras empresas. Y entre los que utilizan Microsoft en el trabajo, el 43% cree que hay otros productos y servicios que les permitirían hacer mejor su trabajo.
El problema de la TI invisible
Manfra comenta que esto puede estar llevando a los trabajadores a adoptar una “shadow IT”, o TI invisible, al utilizar productos y servicios que no están oficialmente aprobados o respaldados por sus departamentos de TI.
“Con tantos encuestados que dicen estar insatisfechos con sus soluciones de TI heredadas, puede ser el momento de que el gobierno se replantee su enfoque de la contratación”. En una encuesta de investigación independiente de Omdia en diciembre de 2021, 250 personas responsables de las decisiones de compra de tecnología en los gobiernos federales, estatales y locales de EE.UU. dijeron que la tecnología del gobierno y las prácticas de adquisición a menudo tienen más que ver con hacer las cosas más fáciles para el departamento de TI, que elegir los productos que los propios empleados estiman sería la mejor solución. De hecho, sólo el 27% de los funcionarios encuestados en esa investigación citaron las peticiones de los usuarios como un factor que afecta a sus decisiones de compra”.
“A medida que los gobiernos trabajan para satisfacer los requerimientos y preferencias de sus electores -y de sus empleados-, está claro que hay una dependencia excesiva de las soluciones heredadas, a pesar de un historial de vulnerabilidades de ciberseguridad y de la mala percepción de los usuarios”, concluye señalando Jeanette Manfra, directora sénior de Riesgo y Cumplimiento Global de Google Cloud.
