Nunca dejará de sorprenderme el tipo de criterio que se tiene a la hora de lanzar concursos para licitaciones relacionadas con tecnología y seguridad informática. Desde lo absurdo de pagar 1,6 millones de euros por una página como la del Congreso de los Diputados que se podría asemejar a la página más simple que pueda hacer para cualquiera de mis clientes en Geocrono.
Pero por si estos 1,6 millones parecen muchos, más son los 20.601.000€ que se han dejado en toda la infraestructura informática del Servicio Público de Empleo (SEPE) y, sobre todo el paquete de «seguridad informática» con un total de 881.275€ (+ IVA).
Pero ojalá solo fuera esto y es que lo más próximo a un concurso o licitación sobre monitorización de seguridad o ciberseguridad es bastante reciente, del pasado 24 de noviembre de 2020, que se firmó por un montante de 257.857,40€ para la típica empresa que destina más presupuesto al marketing y a sus comerciales que a verdaderos profesionales para ofrecer un “Servicio de monitorización y análisis para la detección de problemas que afecten al rendimiento de aplicaciones informáticas del Servicio Público de Empleo Estatal (SEPE)” pero el reciente ataque al sistema de SEPE con un Randomware ha dejado claro que si bien monitorización apenas había, seguridad es precisamente lo que no existe pero, claro está, en la licitación no ha aparecido ni se muestra ningún tipo de pliego técnico ni estratégico para garantizar ningún tipo de seguridad o licitación posiblemente llevado por un becario o el típico cursillo de seguridad informática del CCC.
Si seguimos observando los pliegues y necesidades de contratación podemos encontrar un “informe de necesidad” que habla de consultoría en proyectos de seguridad informática: “El objeto del contrato es la prestación de un servicio de asistencia técnica, relacionada con la actividad propia, especializada en Gestión de la Calidad y la Seguridad, Business Intelligence y Análisis y Calidad del Dato para la Subdirección General de Tecnologías de la Información y Comunicaciones (SGTIC) del Organismo Autónomo Servicio Público de Empleo Estatal (SEPE).”, 670.700,80€ .
Seguimos destinando una barbaridad de dinero, dinero de todos, a las empresas de siempre con nombre y poco trabajo, con unas descripciones y necesidades bastante ocultas o translúcidas y con un enfoque insuficiente, mal gestionado y mal dirigido en la seguridad informática, todo esto con el uso de equipos informáticos (portátiles, ordenadores de sobremesa de Pentium III (con suerte) de más de 15 años donde se guardan todos los datos sensibles de los ciudadanos y que, muy posiblemente el propio Estado el primero en vulnerar la Ley de Protección de Datos tras el ataque sufrido y en el que posiblemente jamás sepamos cual ha sido la exposición real y hacia donde.
La solución no será aprender de los errores, destinar ese dinero a verdaderos profesionales o empresas que se dediquen realmente a esto sino volver a pagar unas millonadas a las empresas de siempre para solventar el problema que ellos mismos han generado.