Si bien el Departamento de Medio Ambiente, Alimentación y Asuntos Rurales (Defra) está logrando avances para abordar los “riesgos y vulnerabilidades de los servicios urgentes” introducidos por la histórica falta de inversión en tecnología, aún no logra planificar adecuadamente la transformación digital más amplia que necesita. sufrir, introduciendo más elementos de riesgo, según un informe de la Oficina Nacional de Auditoría (NAO).
Dado que Defra tiene la responsabilidad de múltiples servicios digitales críticos, como la prevención de enfermedades, la protección contra inundaciones y la calidad del aire, la NAO dijo que estaba especialmente preocupada por el creciente número de aplicaciones heredadas utilizadas en el departamento, muchas de las cuales dependen de una infraestructura de TI obsoleta.
Dijo que la falta de prioridad de inversión de Defra había llevado a una situación en la que el 30% de sus aplicaciones ahora no son compatibles, lo que significa que los desarrolladores no están emitiendo ningún software o actualizaciones de seguridad. Dijo que esto estaba comprometiendo la resiliencia de importantes servicios ambientales y aumentando la exposición de Defra a los ataques cibernéticos.
La NAO dijo que Defra no estaba sola al hacer frente a los problemas asociados con los patrimonios tecnológicos viejos y chirriantes, pero sí enfrentó uno de los desafíos más difíciles para abordarlos: no se espera que complete el trabajo que debe hacer antes de 2030, y su propio las estimaciones actualmente sugieren que las tres cuartas partes de su gasto total en digital, datos y tecnología se desperdicia en el mantenimiento de tecnología antigua.
“El gobierno continúa dependiendo de muchos sistemas de TI obsoletos a un costo significativo. Defra enfrenta una tarea particularmente desafiante al reemplazar sus aplicaciones heredadas y ha comenzado a abordarla de manera estructurada”, dijo el director de NAO, Gareth Davies.
“Solo se puede acceder al potencial completo de la tecnología para mejorar los servicios públicos y reducir el costo para el contribuyente si este programa y otros similares en todo el gobierno se implementan de manera efectiva”.
Sin embargo, el informe completo de la NAO reconoció que Defra está haciendo esfuerzos para reducir los riesgos más apremiantes, y también reconoció que el departamento, antes de la revisión de gastos de 2021, no había recibido los fondos necesarios. Ahora se han asignado £ 366 millones del Tesoro para gastar en TI hasta 2025, en comparación con solo £ 100 millones para gastar entre 2016 y 2019.
Agregó que desde la revisión de gastos, Defra ha establecido con éxito un “plan bien diseñado”, pero dijo que los fondos adicionales, aunque útiles, no fueron suficientes para reducir el riesgo a niveles aceptables o financiar esfuerzos de transformación digital más amplios.
La NAO instó a Defra a mantener el ritmo con su Programa de aplicaciones heredadas a medida que pasa de la fase de corrección y estabilización a una transformación digital completa.
También recomendó que Defra y otros departamentos hagan más para desarrollar una “visión digital estratégica”, junto con estructuras de gestión y gobierno adecuadas para ayudar a garantizar que las consideraciones digitales y de datos sean “centrales para los planes de transformación empresarial”.
El jefe de soluciones de la industria de Illumio, Raghu Nandakumara, comentó: “Es preocupante que una gran proporción de los sistemas gubernamentales queden vulnerables a los ataques, en particular con el ransomware tan frecuente. Pero tampoco es sorprendente.
“La mayoría de las grandes organizaciones tienen una cantidad sustancial de infraestructura heredada que no siempre es fácil de retirar o parchear. Pero en esos escenarios, es fundamental que se tomen medidas para minimizar el riesgo y la exposición a los ataques. Como mínimo, esto significa limitar el acceso a sistemas y servicios con vulnerabilidades conocidas e imponer una estrategia de privilegio mínimo.
“Un pilar clave de la estrategia de seguridad cibernética del gobierno consiste en mitigar el riesgo cibernético, por lo que es importante que practique lo que predica. En última instancia, la mejor manera de reducir el riesgo es mediante la práctica de una buena higiene de la seguridad y un enfoque de defensa en profundidad para desarrollar la resiliencia cibernética”, dijo Nandakumara.