1
00:00:00,000 --> 00:00:08,900
Y vamos a empezar con Adolfo Sanz de Diego, que es el jefe de servicio de plataformas educativas de la Comunidad de Madrid

2
00:00:08,900 --> 00:00:14,740
y su ponencia se titula Protegiendo el futuro, la ciberseguridad, la plataforma educativa EducaMadrid.

3
00:00:15,439 --> 00:00:19,399
Os voy a poner en contexto primero, voy a empezar a hablar de EducaMadrid para quien no lo conozca.

4
00:00:20,179 --> 00:00:26,260
Voy a empezar con simplemente tres cifras, tres cifras grandes para que os situéis.

5
00:00:26,260 --> 00:00:42,880
Medio millón de usuarios activos al mes, 400 millones de correos procesados al año y 9.000 millones de páginas servidas al año.

6
00:00:43,000 --> 00:00:51,820
Esos son los tres números más gordos y más representativos de lo que es la plataforma educativa de la Comunidad de Madrid.

7
00:00:51,820 --> 00:00:57,780
Pero no voy a hablar solo de números, voy a hablar un poco también, para ponernos en contexto, de servicios.

8
00:00:57,920 --> 00:01:02,920
¿Qué servicios ofrecemos a los profesores, alumnos y centros de la Comunidad de Madrid?

9
00:01:04,180 --> 00:01:12,359
Bueno, tenemos una gestión de usuarios que hacemos con OpenLedApp, por debajo, OpenLedApp, que es software libre.

10
00:01:13,319 --> 00:01:20,359
También ofrecemos un servicio de correo a profesores, alumnos y centros con Qmail y Roncube, software libre.

11
00:01:21,819 --> 00:01:36,799
Webs de centros, webs de clase, webs de departamento, comunidades virtuales, eso lo ofrecemos con LiveRay, sobre todo, y para los centros, las webs de centros, también con WordPress. Tienen la posibilidad de los centros de elegir LiveRay o WordPress.

12
00:01:36,799 --> 00:01:45,180
Software libre. Aulas virtuales, 300.000 cursos tenemos ya con Moodle, software libre.

13
00:01:45,180 --> 00:02:14,159
Luego tenemos un desarrollo propio, parecido a Pumuki, de esta mañana. Es un sitio, la Mediateca, donde profesores, docentes, alumnos y centros pueden subir no solo vídeos, pueden subir audios, pueden subir documentos, pueden subir Excel Learning, pueden subir imágenes, pueden subir rutas, pueden subir código, pueden subir un montón de elementos multimedia.

14
00:02:15,180 --> 00:02:27,979
También tenemos el Cloud de EducaMadrid, un sitio donde compartir archivos, carpetas con compañeros y edición colaborativa. Utilizamos NextCloud y Colabora, software libre.

15
00:02:29,259 --> 00:02:39,340
También tenemos un desarrollo propio de boletines para que profesores y centros puedan mandar noticias a familias y a alumnos.

16
00:02:39,340 --> 00:02:43,199
videoconferencia con Jitsi, software libre

17
00:02:43,199 --> 00:02:45,900
streaming, un servicio de streaming

18
00:02:45,900 --> 00:02:47,620
con Peertube, software libre

19
00:02:47,620 --> 00:02:50,139
tenemos también un servicio de compartidos

20
00:02:50,139 --> 00:02:52,639
para poder compartir archivos de hasta 15 gigas

21
00:02:52,639 --> 00:02:54,939
con Jirafo, que es software libre

22
00:02:54,939 --> 00:02:57,639
tenemos un servicio de formularios

23
00:02:57,639 --> 00:03:00,360
para que docentes y centros puedan coger datos

24
00:03:00,360 --> 00:03:04,639
de sus alumnos y de las familias

25
00:03:04,639 --> 00:03:07,680
con Lime Survey, software libre

26
00:03:08,659 --> 00:03:15,259
También tenemos el portal CAU para los docentes y para los centros con Redmine, que es software libre.

27
00:03:16,400 --> 00:03:23,240
También tenemos una página de ayuda con toda la documentación de todos nuestros servicios hecha con Bookstack, que es software libre.

28
00:03:24,039 --> 00:03:37,439
También tenemos nuestro propio sistema operativo, una distribución Linux basada en Ubuntu, software libre, que instalamos en las distribuciones que damos a los centros.

29
00:03:37,680 --> 00:04:02,750
Tenemos más servicios, pero no voy a decirlos aquí todos, he dicho los más importantes y quería terminar con Empieza. No por ser el último es el menos importante, al revés. Empieza es afinar un panel de control en donde los centros y los profesores y los alumnos pueden ver el conjunto de servicios que ofrecemos.

30
00:04:02,750 --> 00:04:32,449
No solo eso, también se pueden crear grupos de trabajo dentro de Empieza para poder compartir los distintos calendarios que tenemos en la plataforma, calendario de correo, calendario de las aulas virtuales, poder mandar un mensaje automáticamente a todos los alumnos o a todo ese grupo, crear con ese grupo un determinado curso en las aulas virtuales, todo de forma bastante sencilla y bastante intuitiva.

31
00:04:33,589 --> 00:04:43,230
Bueno, y hasta aquí os he contado un poco a grandes rasgos qué es EducaMadrid, qué nos diferencia de otras plataformas que todos conocéis.

32
00:04:44,689 --> 00:04:55,769
Bueno, pues es una plataforma sostenible, es eficiente energéticamente, facilitamos la movilidad entre centros a profesores, un profesor interino se cambia de forma sencilla de un centro a otro.

33
00:04:55,769 --> 00:05:10,110
Los alumnos no se suelen cambiar mucho, pero sobre todo los alumnos cuando promocionan a la universidad, pues por lo menos el software Moodle, que es muy usado en las universidades, pues lo conocen y promueve la colaboración entre usuarios.

34
00:05:11,310 --> 00:05:21,139
¿Todo esto realmente nos diferencia de otras plataformas? Tal vez no sea lo que más nos diferencia de otras plataformas.

35
00:05:21,139 --> 00:05:37,050
Entonces, ¿qué es lo que nos diferencia de otras plataformas? Pues es una plataforma segura. Está supervisada por docentes, está supervisada por los centros, cumple la Ley de Protección de Datos, estamos certificados en el Esquema Nacional de Seguridad.

36
00:05:38,410 --> 00:05:49,730
¿Esto realmente nos diferencia de otras plataformas? Hay otras plataformas que dicen que cumplen la Ley de Protección de Datos. Hay otras plataformas que también están certificadas en el Esquema Nacional de Seguridad.

37
00:05:50,730 --> 00:06:13,949
Entonces, pues tal vez no sea esto lo que nos diferencia de otras plataformas. Pero, ¿qué nos diferencia realmente de otras plataformas? La soberanía que tenemos. Soberanía tecnológica, que no sé si está por ahí en el público, pero esta mañana Juanda lo ha estado reivindicando, ¿no?, que deberíamos las administraciones públicas tener una soberanía tecnológica.

38
00:06:13,949 --> 00:06:31,370
Pues nosotros tenemos hardware propio, usamos software libre, no generamos usuarios cautivos de herramientas privativas y no generamos huella digital a los alumnos que son al final nuestros usuarios.

39
00:06:32,269 --> 00:06:42,230
Eso realmente sí que nos diferencia de cualquier otra plataforma. Nadie va a poder llegar en ninguna otra plataforma a poder ofrecernos esto.

40
00:06:43,949 --> 00:06:57,209
Ese soy yo, nuestro CPD. Tenemos cuatro cabinas de almacenamiento con 800 terabytes, tenemos cuatro frames con 32 servidores físicos, más de 600 máquinas virtuales.

41
00:06:57,209 --> 00:07:09,110
Hace poco hemos comprado GPUs, tenemos 11 GPUs con un poder de cálculo de casi un giga, o sea, casi un tera de memoria RAM, algo menos.

42
00:07:09,829 --> 00:07:16,389
¿Para qué? Sobre todo para poder empezar a utilizar modelos LLM y poder hacer inferencia en nuestros propios servidores.

43
00:07:17,670 --> 00:07:26,430
Y, como decía, ese soy yo, jefe de servicio de plataformas educativas y esa es todo el organigrama de la plataforma educativa EducaMadrid.

44
00:07:27,230 --> 00:07:28,730
Ya está, un jefe de servicio.

45
00:07:30,829 --> 00:07:35,569
Afortunadamente, tengo algún funcionario más. Somos nueve funcionarios.

46
00:07:35,569 --> 00:07:38,610
no solemos estar allí todos los días

47
00:07:38,610 --> 00:07:40,389
trabajando, no solemos trabajar de pie

48
00:07:40,389 --> 00:07:42,430
pero bueno, ese día nos juntamos ahí

49
00:07:42,430 --> 00:07:44,649
en el CPD y nos hicimos

50
00:07:44,649 --> 00:07:45,110
una foto

51
00:07:45,110 --> 00:07:48,790
¿Y solo trabajamos con nueve

52
00:07:48,790 --> 00:07:49,970
personas? Pues

53
00:07:49,970 --> 00:07:52,750
funcionarios sí, luego tenemos algún

54
00:07:52,750 --> 00:07:54,750
que otro contrato, como entiendo

55
00:07:54,750 --> 00:07:56,750
que aquí casi todos somos administraciones

56
00:07:56,750 --> 00:07:58,769
públicas, pues al final ¿cómo trabajamos?

57
00:07:59,149 --> 00:08:00,610
Pues con distintos contratos

58
00:08:00,610 --> 00:08:02,550
que al final pues tenemos

59
00:08:02,550 --> 00:08:04,689
a técnicos, una treintena

60
00:08:04,689 --> 00:08:13,670
de técnicos, entre gente del CAO, gente de desarrollo, gente de sistemas, gente de ciber, pues que nos ayudan con todo esto

61
00:08:13,670 --> 00:08:24,689
y a sacar la plataforma adelante. Ya os he puesto en contexto y así que ahora voy a hablar de cómo hemos mejorado

62
00:08:24,689 --> 00:08:33,789
la ciberseguridad en los últimos años. Voy a ir un poquito hacia atrás. Bueno, 2020, a mí me ofrecen ser jefe de servicio

63
00:08:33,789 --> 00:08:44,210
en enero de 2020. En febrero de 2020, marzo, ya sabe lo que pasó. En 2020, pues, hicimos lo que pudimos,

64
00:08:44,669 --> 00:08:52,210
aguantamos todo lo que pudimos. La verdad es que salimos reforzados. Nuestra demanda creció como un 500%

65
00:08:52,210 --> 00:09:00,129
de la noche a la mañana y la verdad es que se ha mantenido. O sea, crecimos mucho y ahora la gente,

66
00:09:00,129 --> 00:09:07,110
los profesores se han acostumbrado a usarla y se está usando bastante. Pero, bueno, no estamos hablando aquí de cómo hemos crecido,

67
00:09:07,230 --> 00:09:13,730
sino de cómo hemos mejorado la ciberseguridad. En 2020 la ciberseguridad no estaba dentro de nuestros planes.

68
00:09:14,129 --> 00:09:21,029
Ya en el 2021 empezamos a decir, bueno, a ver, esta plataforma vamos a ponerla en condiciones.

69
00:09:21,029 --> 00:09:38,549
En el 2021, protección básica, cortafuegos, control perimetral, VPN para acceso a los servidores. Empezamos a usar como sistema anti-spam lavadora de Rediris.

70
00:09:38,549 --> 00:10:01,210
Empezamos a usar el sistema anti-DDoS de GIDA, de Rediris, y pues teníamos el backup y cierta monitorización. ¿Monitorización de qué? Pues básicamente de los sistemas, CPU, RAM, poco más. Eso era lo que teníamos, ese era nuestro sistema de ciberseguridad.

71
00:10:01,210 --> 00:10:25,700
Así que empezamos el 2022, pues como he puesto ahí, descubriendo el NS. En el 2022 contratamos a una persona, hay una comisión de servicio de un profesor, una TD que viene con nosotros, profesor de informática y montamos el departamento de ciberseguridad de una persona.

72
00:10:25,700 --> 00:10:36,980
Como hemos dicho, somos nueve funcionarios, pues uno de ellos es el departamento de ciberseguridad. Por eso he puesto ahí esa imagen de un guerrero contra un ejército, porque básicamente eso es lo que tenemos en ciberseguridad.

73
00:10:38,240 --> 00:10:45,419
Pero bueno, aunque seamos pocos, pues como los 300, ¿no?, pues podemos hacer muchas cosas. Pues básicamente eso es lo que hacemos.

74
00:10:45,419 --> 00:10:56,659
Empezamos a estudiar qué es eso del NS, como Administración Pública, pues tenemos que cumplir el Esquema Nacional de Seguridad, pues entonces, pues venga, pues no vamos a incumplir la ley.

75
00:10:57,500 --> 00:11:08,659
Hacemos una declaración de aplicabilidad, empezamos a establecer protocolos y decimos, oye, ¿qué es esto de…? ¿Quién está haciendo a la VPN? ¿Quién accede a la LLDAP, al DNS?

76
00:11:08,659 --> 00:11:13,340
Empezamos a establecer protocolos, protocolos muy sencillos al principio, pero bueno, empezamos.

77
00:11:13,340 --> 00:11:21,980
Creamos nuestra CMDB que no teníamos, es que no sabíamos ni qué activos teníamos, no sabíamos ni siquiera qué teníamos que proteger

78
00:11:21,980 --> 00:11:26,220
Entonces dijimos, bueno, hay que hacer un listado de qué tenemos aquí para empezar a protegerlo

79
00:11:26,220 --> 00:11:35,639
Empezamos a mejorar un poquito la seguridad perimetral, empezamos a meter listas negras en los firewall

80
00:11:35,639 --> 00:11:41,480
porque ahora mismo los firewalls eran reglas básicas y si teníamos algún atacante,

81
00:11:41,639 --> 00:11:43,919
pues poníamos esa IP ahí en el firewall y poco más.

82
00:11:44,419 --> 00:11:51,360
Pero dijimos, joder, pues si ya está sin malos de Rediris y el TCN también nos da ciertas listas de listas negras,

83
00:11:51,419 --> 00:11:55,139
pues vamos a nutrir a nuestro firewall con esas listas.

84
00:11:55,700 --> 00:12:00,480
Empezamos a bloquear también la Rector y varias VPNs que eran ahí un poco sospechosas

85
00:12:00,480 --> 00:12:05,320
y una de las cosas que dice el LNS es tener un botón del pánico.

86
00:12:05,639 --> 00:12:25,820
Empezamos ya a crear reglas de qué pasa si un día tenemos un ataque y tenemos que desconectar de forma rápida nuestros servidores. Empezamos a crear reglas. Y otra cosa que empezamos a hacer también es estudiar los PCs, los endpoints de nuestros administradores, de los que acceden a nuestros servidores, porque no teníamos ningún protocolo.

87
00:12:25,820 --> 00:12:44,899
Ahí accedía quien fuera así, de aquella manera. Estaban actualizados los sistemas operativos, tenían antivirus. O sea, ¿qué mínimo? Pues es que hasta ahora no lo habíamos ni planteado. Entonces, empezamos a planteárnoslo y a decir, oye, la gente que sea administradora, que se va a conectar, ¿qué mínimo que eso?

88
00:12:44,899 --> 00:12:54,639
Empezamos con la gestión de identidades. Empezamos a poner 2FA en la VPN y empezamos a inventar las cuentas de administración,

89
00:12:54,639 --> 00:13:02,840
que hasta ahora estaban por ahí en una hoja de cálculo perdida de la persona que gestionaba la VPN, pero ya está, eso es lo único que teníamos.

90
00:13:03,279 --> 00:13:10,200
Empezamos a tomar conciencia de lo que teníamos que hacer. Y empezamos también a tener control de los backups.

91
00:13:10,200 --> 00:13:24,580
¿Qué máquinas estaban haciendo backup? ¿Cuáles no? ¿Qué NFS estaban haciendo backup? ¿Cuáles no? Y también hacer pruebas de restore, porque vale, muy bien, el backup está ahí, pero vamos a ver si podemos restaurarlo y la restauración funciona. Bueno, pues una toma de control que empezamos a hacer.

92
00:13:24,580 --> 00:13:34,980
Empezamos a saber qué era eso de la superficie de exposición y decir, venga, pues vamos a ver. Empezamos a supervisar las entradas DNS, a hacer limpieza de DNS.

93
00:13:34,980 --> 00:13:42,000
Tenemos ahí un montón de DNS que ya no usábamos y, bueno, pues esto a eliminarlo. Cerramos el FTP porque nos dijeron, oye, que esto es inseguro. Venga, pues lo cerramos.

94
00:13:43,259 --> 00:13:54,100
Empezamos a detectar y bloquear cuentas comprometidas. Contratamos a un técnico externo de ciberseguridad y empezó a meterse en foros.

95
00:13:54,580 --> 00:14:18,240
en la dark web y bueno, empezamos ya a saber que hay cuentas comprometidas por ahí nuestras y bueno, también empezamos a proteger ciertas webs con WAFs, empezamos también a mejorar la monitorización de la red con el servicio de centileda de Rediris,

96
00:14:18,240 --> 00:14:35,259
Empezamos a hacer logs de cambios en el DNS y en el LDAP. Empezamos también a monitorizar servicios, nuestros servicios. No los sistemas, sino los servicios, tanto de forma interna como de externa, porque no teníamos ningún tipo de monitorización.

97
00:14:35,259 --> 00:14:49,779
Y también iniciamos una cosa muy importante, que yo creo que es una de las más importantes, que es la concienciación. Empezamos a mandar boletines a nuestros usuarios, a nuestros profesores, sobre temas de ciberseguridad.

98
00:14:50,620 --> 00:14:57,299
Hicimos una simulación de phishing, catastrófica, por cierto, pero bueno, empezamos.

99
00:14:58,039 --> 00:15:06,399
Empezamos también a hacer networking, contacto con el CCN, empezamos a asistir a congresos y a eventos de ciberseguridad, nos dimos de alta en ProTap.

100
00:15:06,399 --> 00:15:12,139
¿Quién de aquí es miembro de ProTap? ¿ProTap PP? ¿Tres, cuatro? Pues no hay mucha gente.

101
00:15:12,139 --> 00:15:29,840
Pues, si no lo conocéis, los que no conozcáis lo que es ProTab, os recomiendo que es una lista de correo de funcionarios preocupados por temas de ciberseguridad. O sea, si sois CIS o lleváis temas de ciber, os recomiendo que lo busquéis y os deis de alta.

102
00:15:29,840 --> 00:15:51,500
¿Vale? Empezamos a pensar también en tener un CPD de respaldo. Simplemente el diseño. Ahora en medio tenemos uno, aunque lo tenemos en el mismo cubo. Tenemos como dos CPDs en el mismo cubo. Es un poco ridículo, pero bueno, con futuro, es decir, dentro de un año o dos años, nuestra intención es tener dos CPDs.

103
00:15:51,500 --> 00:15:57,799
No en activo-activo, pero sí, si se nos cae uno, poder tirar de copias de seguridad y poder levantar el servicio en otro CPD.

104
00:15:59,720 --> 00:16:06,120
Mejoramos las comunicaciones. Desactivamos protocolos de TSL antiguos, versiones antiguas e inseguras.

105
00:16:06,299 --> 00:16:15,960
Empezamos a usar correo cifrado con claves PGP, sobre todo para pasarnos contraseñas, para pasarnos documentos confidenciales.

106
00:16:15,960 --> 00:16:20,500
Y empezamos a segmentar las redes, cosa que decías tú, ¿cómo no estaba esto hecho?

107
00:16:20,500 --> 00:16:27,460
pues empezamos a segmentar las redes para que alguien, por ejemplo, de desarrollo no tenga que acceder a ciertas cosas que no le hace falta.

108
00:16:27,620 --> 00:16:28,659
Para eso están los de sistemas.

109
00:16:31,750 --> 00:16:37,950
Se han pasado dos años, ya hemos conocido el NS, vamos hacia el NS, ya empezamos a hacer más cosas.

110
00:16:39,429 --> 00:16:45,350
Implantamos Clara, empezamos a bastionar los servidores según la guía del CCN, implantamos Loreto,

111
00:16:46,029 --> 00:16:49,389
hacemos nuestro primer plan bienal de ciberseguridad.

112
00:16:49,389 --> 00:17:01,370
Por cierto, todas las herramientas del CCN ya sabéis que son gratuitas para las administraciones públicas. Os recomiendo que empecéis a usarlas porque algunas son de muy buena calidad.

113
00:17:03,049 --> 00:17:14,490
Empezamos a montar un sistema de log centralizado. No es un SIEM, pero es el inicio de decir que vamos a saber en un sitio centralizado qué es lo que está pasando en toda nuestra red y en todos nuestros sistemas.

114
00:17:14,490 --> 00:17:25,069
Seguimos mejorando la gestión de identidades. Empezamos a poner 2FA no solo en la VPN, sino en las herramientas, por lo menos, administrativas, nuestras, internas.

115
00:17:26,210 --> 00:17:32,250
Desarrollamos una pequeña aplicación de gestión de permisos para saber qué personas tienen permiso en qué aplicaciones.

116
00:17:32,250 --> 00:17:38,470
Es una aplicación muy tonta, pero nos viene para saber qué administradores tienen acceso a qué sitios.

117
00:17:39,309 --> 00:17:43,809
Y empezamos a revisar las cuentas de las VPN, que hasta aquel momento no las revisábamos.

118
00:17:43,869 --> 00:17:51,450
Y empezamos a hacer un cambio periódico de contraseñas de la VPN, obligatorio, cada X meses, ¡pum!, reinicio total de todas las cuentas.

119
00:17:52,609 --> 00:18:01,109
Quien de repente, si hay alguien que tiene VPN y no se queja, le hemos cambiado la contraseña y no se queja, pues es que la VPN no la está usando.

120
00:18:01,289 --> 00:18:07,049
Y entonces, pues si algún día la usa ya se quejará y si no, pues esa VPN desaparece. La eliminamos y ya está.

121
00:18:08,470 --> 00:18:20,650
Seguimos mejorando o siendo conscientes de toda nuestra superficie de exposición. Empezamos a controlar el flujo de correo hacia lavadora. Aseguramos el DNS de los servidores con el servicio de umbrela de Rediris.

122
00:18:21,329 --> 00:18:32,690
Empezamos a cerrar de forma automática todas las sesiones de todos nuestros servicios, que hasta ahora no lo hacíamos. O por lo menos fuimos conscientes de que teníamos que cerrarlo. ¿Cada cuánto? Pues establecimos cada hora, cada dos horas, depende del servicio.

123
00:18:33,589 --> 00:18:38,490
Implantamos el D-Mark en el correo y empezamos a fortalecer la política de contraseñas.

124
00:18:38,609 --> 00:18:43,730
No las nuestras que ya estaban fortalecidas, sino las de nuestros propios usuarios, las de profesores y alumnos.

125
00:18:46,109 --> 00:18:47,789
Seguimos mejorando la monitorización.

126
00:18:48,009 --> 00:18:56,589
Instalamos las sondas del CCN que nos dicen, alguna vez nos han dicho, hay muchos falsos positivos,

127
00:18:56,589 --> 00:19:02,890
pero de vez en cuando nos avientan de cosas que dices tú, ostras, qué bien que el CCN nos haya avisado.

128
00:19:03,650 --> 00:19:06,829
Activamos el servicio BeautyNet de Rediris, también muy útil.

129
00:19:08,869 --> 00:19:13,329
Y seguimos con la concienciación, que es una de las patas, yo creo, que más importantes.

130
00:19:13,470 --> 00:19:21,289
Empezamos a crear los ciberjueves. Esto no cuesta dinero y es súper sencillo y súper interesante, porque además hacemos networking.

131
00:19:21,710 --> 00:19:26,970
¿Qué son los ciberjueves? Una vez al mes, al final no es una vez al mes, es cada dos meses, a veces cada tres.

132
00:19:27,509 --> 00:19:37,190
Llamamos a un ponente de renombre en ciberseguridad. Esto lo hacemos de gratis. Ellos vienen porque les gusta.

133
00:19:37,809 --> 00:19:47,410
Y hacemos un evento en donde suelen ser eventos por invitación o suelen ser eventos públicos, pero sí que llamamos a alguna empresa proveedora, a alguien más.

134
00:19:47,410 --> 00:19:56,190
Y ese ponente viene y da una charla a todo nuestro equipo, a los funcionarios, a los técnicos y a más gente que invitamos.

135
00:19:56,190 --> 00:20:12,230
Y la verdad es que funciona muy bien. Esta es una foto del superciberjueves, que es con todos los ponentes que han ido viniendo a lo largo de un año y medio, pues les juntamos a todos ahí, a todos los ponentes, y hicimos un superdía, ¿no? Estuvimos allí toda la mañana.

136
00:20:13,069 --> 00:20:25,730
Más cosas de concienciación. Documentación de ayuda sobre ciberseguridad. Documentación de ayuda para profesores, alumnos, para centros. O sea, documentación, que en nuestra página de ayuda esté ahí temas de ciberseguridad.

137
00:20:26,710 --> 00:20:33,769
Creamos un curso de ciberseguridad en nuestra propia aula virtual para nosotros mismos, funcionarios y gente externa.

138
00:20:34,529 --> 00:20:43,970
Y empezamos a exigir a las empresas que den formación de desarrollo seguro y de ciberseguridad a sus empleados.

139
00:20:45,980 --> 00:20:52,279
Empezamos también a gestionar las vulnerabilidades, a decir qué es eso de un CVE, que mucha gente no sabía ni qué era eso.

140
00:20:52,279 --> 00:21:04,559
Y empezar a decir, ostia, este CVE, ¿qué nivel tiene? ¿Un 6, un 7, un 8? Pues si tiene un 9, hay que arreglarlo sí o sí, hay que ver cómo arreglarlo y arreglarlo.

141
00:21:04,920 --> 00:21:12,519
No podemos, porque claro, las aulas virtuales las migramos una vez al año, pero si hay un bug crítico, pues algo habrá que hacer, algo habrá que hacer, aunque suele ser para echarlo.

142
00:21:12,519 --> 00:21:22,559
Pues empezamos a gestionar esas vulnerabilidades. No todas las hacemos, estudiamos, vemos si realmente es muy crítico o no y, si es muy crítico, pues tenemos que hacerlo.

143
00:21:23,880 --> 00:21:29,519
Instalamos Guazú en nuestros servidores para empezar a tener un SIEM en condiciones.

144
00:21:30,940 --> 00:21:42,019
Y llegamos al 2024 y ya por fin nos certificamos, después de dos años de mucho trabajo, por no decir tres, nos certificamos en el esquema nacional de seguridad.

145
00:21:43,259 --> 00:22:06,940
Creamos un comité de seguridad. El alcance fue solo el hosting, no fueron todos los servicios de EducaMadrid. Y la categoría media. ¿Para qué nos ha venido el esquema nacional de seguridad? ¿Para tener un papelito? No, sobre todo para recorrer el camino, para ir mejorando nuestra ciberseguridad.

146
00:22:06,940 --> 00:22:16,960
Si solo nos quedamos el papelito, el papelito se saca relativamente fácil, pero no nos podemos quedar en el papelito, tenemos que indagar y hacer cosas.

147
00:22:17,920 --> 00:22:24,039
Seguimos al 2004, mejor gestión de identidades. Hemos puesto un PAM, un gestor de cuentas privilegiadas.

148
00:22:24,599 --> 00:22:33,779
Hemos creado un LDAP solo para los usuarios administradores, porque ahora mismo las cuentas de los administradores estaban compartidas con el resto de cuentas de profesores y de alumnos.

149
00:22:35,900 --> 00:22:45,740
Hemos implantado un sistema antiespam interno. ¿Para qué? Para los correos internos de Duca Madrid a Duca Madrid, que eso no pasaba por ninguna lavadora ni por nada.

150
00:22:47,220 --> 00:22:51,400
Hemos seguido mejorando la gestión de cuentas comprometidas, que cada vez tenemos más.

151
00:22:52,000 --> 00:22:59,440
Nos han hecho un ejercicio de retim. ¿Que nos han puesto la cara colorada? Sí, pero por lo menos sabemos ya dónde tenemos que mejorar.

152
00:22:59,440 --> 00:23:19,460
Hemos puesto el de Mark Reject ya en el correo. Hemos creado un programa de Back Bounty sin dinero. Sí, no tenemos dinero para dar, pero bueno, hemos creado el programa de Back Bounty y lo que hacemos es un Hall of Fame y los hackers que nos encuentran vulnerabilidades, pues, les tenemos ahí.

153
00:23:20,140 --> 00:23:28,420
Esto vino a raíz de un chico de SMR, SMR es FP de grado medio, que un día nos puso un mensaje,

154
00:23:28,420 --> 00:23:33,799
oye, tenéis una vulnerabilidad aquí, nos quedamos aquí, ¿te quieres venir a hacer las prácticas con nosotros?

155
00:23:34,500 --> 00:23:41,279
Y se vino y nos estuvo sacando mucha vulnerabilidad, la verdad, porque el chico tenía 17 años,

156
00:23:41,460 --> 00:23:45,779
pero era el tío muy capaz y nos estuvo contando del programa de Back Bounty.

157
00:23:45,779 --> 00:23:55,880
Así que dijo, no hace falta dinero, simplemente ya con dar un Hall of Fame ya es suficiente. Así que ahí tenemos el programa de Back Bundy.

158
00:23:57,079 --> 00:24:11,799
Y hasta aquí todo lo que hemos hecho hasta ahora. Ahora, presente y futuro, ¿qué nos queda hacer? Pues a mí me gustaría ampliar el alcance del NS, no solo quedarnos en el hosting, sino certificar todos los servicios.

159
00:24:12,440 --> 00:24:19,880
certificarnos no en nivel medio, sino en nivel alto y hacer planes de recuperación, que no tenemos todavía planes de recuperación.

160
00:24:22,109 --> 00:24:33,869
Y una tarea pendiente que tenemos ahí encima de la mesa y que tenemos que poner es el 2FA para profesores, sobre todo, pero también para alumnos.

161
00:24:33,869 --> 00:24:39,690
Para alumnos es más complicado poneros ahí cómo hacéis un 2FA para un alumno de ocho años.

162
00:24:39,690 --> 00:24:58,470
Pues es un poco difícil, pero lo estamos pensando. Tenemos que ver cómo, pero hay que hacerlo. Y otra cosa que tenemos ahí en la recámara es el backup online, porque tengo miedo de que un día entre un ataque ransomware y nos quedemos sin nada. Pues que esto, backup offline, lo tenemos ahí en mente y a ver si lo hacemos.

163
00:25:00,609 --> 00:25:13,930
Conclusiones. Para terminar, me estoy yendo un poquitín, cinco minutillos me he ido, pero ya termino. Se puede y se debe mejorar la ciberseguridad, lo tenemos que hacer como Administraciones Públicas, es nuestro deber.

164
00:25:16,549 --> 00:25:26,509
Certificarnos el esquema nacional de seguridad no debe ser un fin, tenemos que hacerlo porque somos Administraciones Públicas, pero sobre todo es un camino que hay que recorrer y es bueno.

165
00:25:26,509 --> 00:25:40,130
Bueno, los problemas ya veréis que no suelen ser técnicos, por lo menos en nuestro caso, no, sí, vale, que sí, que no hemos inventado redes, sí, que hay ciertas cosas que se pueden mejorar, sí, pero los problemas no suelen ser técnicos.

166
00:25:40,130 --> 00:26:00,069
El eslabón más débil suele ser el usuario y muy importante la formación tanto a técnicos como a la concienciación, no solo a técnicos, a gente de administradores y usuarios y a los jefes también. Hay que tenerlos ahí y explicarles la importancia que tiene la ciberseguridad en nuestros sistemas.

167
00:26:01,170 --> 00:26:06,410
Y yo creo que con esto ya he terminado, así que muchas gracias.