José Borja Tomé, director del Departamento de Informática Tributaria de la Agencia Española de Administración Tributaria (AEAT) desvela los principales retos a los que se enfrenta la entidad en plena campaña de la Renta y en un contexto en el que «la actividad maliciosa crece».
Desde su origen, en 1992, la Agencia Tributaria es una de las entidades públicas que más ha apostado por las tecnologías de la información.
José Borja Tomé, director del Departamento de Informática Tributaria de la Agencia Española de Administración Tributaria (AEAT), explica a CIO cuáles son los principales desafíos a los que se enfrenta la entidad en términos de seguridad y de implantación de nuevas tecnologías.
¿Ha acelerado la pandemia la digitalización de la Agencia Tributaria?
Sí, sobre todo en la atención muticanal, al incorporar la telefónica. Nos hemos dado cuenta de que podíamos incorporar más canales y funcionar desde las casas de los funcionarios que teletrabajaban y llegar a las casas de los contribuyentes, gracias a la asistencia telefónica y en ocasiones de videoasistencia; también por medios como el chat o el Zoom, aunque en estos últimos casos no para presentar la declaración de la renta. De hecho, y a raíz del plan de Planificación Estratégica de la Agencia Tributaria, se ha impulsado la atención multicanal (estamos creando administraciones digitales integrales) que son oficinas físicas pero que prestan atención a los contribuyentes a través de servicios no presenciales exclusivamente. Se acaban convirtiendo en oficinas especializadas en estos servicios.
¿Cuáles son los principales desafíos a los que os enfrentáis a nivel tecnológico?
El principal desafío es hacer las cosas todavía más fáciles a los contribuyentes. Yo diría que este es nuestro principal reto. Esto tiene que ver, por una parte, con trabajar en la usabilidad y por otra parte, con trabajar todavía con un conjunto de información que todavía tenemos parcialmente y que tiene que ver con la información de las actividades económicas. En la medida que podamos tener mayor información podremos completar este círculo que nos permitirá prestar servicios integrales a todos los ciudadanos.
El desarrollo legislativo que estamos haciendo ahora es muy importante en ese sentido y va a estar encima de la mesa, no ya porque así lo queramos en la Agencia Tributaria española, sino porque está en la mesa en todas las agencias tributarias del mundo.
El tema de la usabilidad y la accesibilidad es un asunto que ha escalado al primer plano del debate público, sobre todo desde la iniciativa que pedía una mayor consideración a la hora de garantizar el acceso a servicios bancarios a personas mayores. También se están visibilizando las necesidades de personas con capacidades diferentes con respecto a la tecnología.
Asegurar que la brecha digital se cubre de una forma suficientemente satisfactoria para el conjunto de la sociedad es una máxima preocupación en la Agencia Tributaria. El número de ciudadanos a los que damos servicio es muy grande y no podemos plantearnos dejar de lado a las personas que tienen mayores dificultades.
Tenemos que hacerlo con los medios suficientes; tenemos que ser muy eficientes y no podemos derrochar recursos, ni en la asistencia digital ni en la presencial. Encontrar el equilibrio de cómo poner los medios al servicio del ciudadano donde realmente se requieren es complicado.
Sea como sea, hoy nadie pone en duda que hacer la declaración de la renta es más fácil que con aquellas hojas de papel en las que nos pasábamos horas rellenándolas con la calculadora. Pero es cierto que ha habido quien esto le ha pasado por encima; para eso se crearon los servicios presenciales y ahora telefónicos.
La Agencia Tributaria hace un uso intensivo de datos sensibles. ¿Cómo garantiza la seguridad de esos datos?
Dedicamos una parte muy importante de nuestro esfuerzo en asegurarnos de que las políticas de la seguridad, la arquitectura de la seguridad, nuestros procedimientos, los recursos humanos, la formación, al diseño técnico y la implementación de los sistemas, todos ellos estén concebidos, desde su punto de partida, con seguridad.
Para nosotros la seguridad es crítica porque la base de nuestra actividad es la información. Tenemos requisitos muy estrictos con respecto al uso de la información y muy sensibles a cómo la utilizamos y la ponemos a disposición de nuestra organización y evitamos que esté disponible para aquel a quien no le corresponda, dentro o fuera de nuestra organización.
No es una cuestión de medidas técnicas únicamente, sino de medidas organizativas y culturales. Se trata de asegurarse de que tienes una definición que va desde las políticas, hasta la implementación, pasando por las personas que tienen que estar formadas sobre el manejo de la información y sabiendo además que es un reto permanente que no va a disminuir, sino que va a aumentar. Cualquier organización que hace un uso avanzado de la información está expuesta a riesgo. Debemos asegurarnos de mitigar todos aquellos riesgos con las medidas que en cada momento son oportunas, revisarlo continuamente de acuerdo a la normativa de seguridad y el Esquema Nacional de Seguridad y siempre teniendo los ojos muy abiertos a una realidad tan cambiante que nos obliga a estar permanentemente alerta.
Hablamos de un enfoque doble que tiene en cuenta, por un lado, la seguridad a nivel interno y por otro, a nivel externo.
Lo primero de todo es el nivel interno. Los propios funcionarios y empleados de la Agencia Tributaria aben que deben hacer un uso pertinente de la información porque además los sistemas están diseñados para evitar el uso de información que les compete y también para que en caso de que se haga un uso inadecuado, pase a ser objeto de control y de sometimiento a las explicaciones pertinentes. En la parte interna nos sentimos seguros.
En la parte externa se trata de vigilar de forma continua y de seguir construyendo nuestros sistemas de la forma más robusta sin que esto imposibilite el uso de la información. Aquí hace falta un equilibrio. Existe la tentación de diseñar los sistemas de tal manera que la seguridad sea la prioridad, claro que de esta forma se hacen inusables.
Siguiendo con la seguridad, ¿se apuesta más por un enfoque preventivo o reactivo? Ya conoce el dicho popular que sostiene que la cuestión no es si vas a ser atacado o no, sino cuándo y cómo vas a recuperarte.
Nosotros somos atacados con frecuencia, algo que nos obliga a estar siempre pendientes de lo que está pasando. El enfoque tiene que ser integral: preventivo, de detección y correctivo. Además de los ataques hay otros tipos de incidentes que tienen que ver con la seguridad y que pueden ser igualmente dañinos, como una pérdida de información. Si un determinado sistema deja de funcionar y la información no está convenientemente asegurada donde corresponde, aunque no haya sido provocado por un ataque externo, nos va a ocasionar una pérdida muy grave.
Nosotros optamos por las dos vías, es decir, en el ámbito preventivo hacemos todo lo posible y en el ámbito de detección y corrección intentamos estar lo mejor preparados posible, coordinados con el resto de órganos de la administración pública que gobiernan la ciberseguridad y por otra parte empleando nuestro mejor talento para tratar de asegurar que seamos capaces de detectar un ataque lo antes posible e impedir que el daño que se ocasione sea grande.
¿Ha notado la Agencia Tributaria un aumento de la actividad maliciosa dadas las tensiones geopolíticas provocadas por la guerra de Ucrania?
La actividad maliciosa crece con el paso del tiempo. Va creciendo en la medida que vamos digitalizando nuestros sistemas. Ahora tenemos una tensión geopolítica que provoca que pueda haber determinados sistemas que puedan ser más atacados. Pero no ha habido un cambio cualitativo. Nosotros ya estábamos muy intranquilos antes de la guerra, quizá porque somos una infraestructura crítica y porque los datos que tratamos son relativamente sensibles. La exposición a riesgos que tenemos es relativamente elevada.
El interés de abrir una brecha de seguridad no corresponde necesariamente a potencias extranjeras que están en una situación de enemistad, sino también a muchas organizaciones públicas y privadas, nacionales e internacionales. No nos queda más remedio que estar protegidos ahora y en el futuro.
¿Qué opinión le merece esta nueva actualización del Esquema Nacional de Seguridad que afecta directamente a la Administración pública?
Es parte de este todo que tiene que ser nuestra apuesta por la seguridad. La revisión permanente de nuestros riesgos, de las normativas, de los procedimientos o de las políticas no es que sea necesaria o imprescindible, sino que es obligatoria, aunque no quisiéramos.
A lo mejor me llevo una sorpresa y dentro de unos años hay una estabilización de las tecnologías, pero creo que todavía nos quedan bastantes años para ver más actualizaciones pese a que los fundamentos, cuando son sólidos y están desde el principio, ayudan mucho a que lo que construyes por encima de ello sea más permanente.
Volviendo a la gestión de datos, ¿cuál es la madurez de tecnologías como la inteligencia artificial, analítica y automatización en la institución y su grado de implementación?
Están bastante maduras. Ahora no tenemos miedo a poder usar los datos que necesitemos. El volumen de los datos, la velocidad de los mismos o su variedad son cuestiones que nos dan mucho menos miedo que hace años. Entonces había proyectos que parecían impensables y que ahora hemos podido hacer.
Somos una organización compuesta por más de 17.000 funcionarios que utilizan activamente los sistemas de análisis de información en aquella parte de los datos que les es competente. En relación a las tecnologías predictivas y de inteligencia artificial las tecnologías están también muy maduras y la incorporamos en proyectos orientados a la asistencia al contribuyente.
Es indudable que las tecnologías están maduras, pero lo que no está tan maduro es cómo utilizarlas.
¿Dónde se van a dirigir las inversiones de la entidad próximamente?
Invertiremos en el mantenimiento del negocio que venimos prestando a la sociedad. Tenemos centenares y miles de procedimientos tributarios y aduaneros y el mantenimiento es necesario. También vamos experimentar una mejora en la usabilidad de estos servicios y en la omnicanalidad, algo que nos obliga a transformar las infraestructuras con las que estábamos contando.
Al mismo tiempo, debemos afrontar otro gran reto, que es el de cómo utilizar los datos para mejorar el cumplimiento aún más. Hay un reto muy importante porque el volumen de información, el de transacciones y servicios a prestar será mayor. Tenemos un claro esfuerzo a realizar aquí. Y esto siempre complementado con la seguridad, no sólo en nuestro puesto de trabajo, sino en nuestras infraestructuras.
Por otra parte, y ya fuera del ámbito más estrictamente de Agencia Tributaria, en ocasiones tenemos que prestar apoyo a otras unidades de la Administración pública tanto en el ámbito tributario como en otros.
Estamos dando infraestructuras tecnológicas a órganos que ya no son de la Agencia Tributaria y que están completamente separados, como es el caso de los tribunales económico-administrativos en la dirección general de tributos. Más recientemente hemos puesto el foco en la puesta en marcha de las ayudas que han permitido salvar a ciertos sectores afectados por la crisis de la guerra de Ucrania, como es el caso del sector de los hidrocarburos y el que tiene que ver con transportistas para hacer el pago de las solicitudes de ayuda. Articular todos estos sistemas de una forma ágil para proporcionar ese tipo de servicios a la sociedad es también un reto para nosotros porque se extiende más allá de la misión de la Agencia Tributaria y del propio departamento de informática tributaria.
¿Tenéis la flexibilidad y la agilidad para dar respuesta a estos retos que se plantean de pronto y de improviso?
Por la forma en la que estamos organizados y en la que hemos venido haciendo nuestros proyectos en los últimos años es cierto que tenemos una capacidad de reacción que es infrecuente no sólo en las administraciones públicas, sino también en las empresas privadas. En el caso del asunto de los hidrocarburos, la normativa se aprobó un martes y el viernes teníamos que tener un formulario que permitía la solicitud del anticipo de las ayudas. La semana siguiente, el lunes o el martes, ya se estaban pagando.
El factor humano es fundamental en cualquier empresa, también en la administración pública. ¿Cómo veis la escasez de talento de la que alerta la Unión Europea y de la que se aquejan en las empresas?
Con preocupación pero con serenidad. Es cierto que hay escasez y que no hay tanta oferta de profesionales como sería deseable para abordar el ritmo de transformación que se está demandando por parte de las administraciones públicas y del sector privado.
Además, esto se convierte en un cuello de botella para los procesos de innovación en el caso del sector público. Esperamos tener jubilaciones muy importantes en los próximos años en el área funcional de la tecnología en la Agencia Tributaria y vemos con preocupación que la posible cobertura de los puestos de trabajo pueda estar comprometida o que incluso pueda afectar al servicio que prestamos a los ciudadanos.
Dicho esto, la buena noticia es que los profesionales que tenemos son muy buenos y que estamos contentos con la capacidad y el talento que tenemos. Esto nos permite capear con eficiencia el aumento de las necesidades, pero es preocupante. Si no hay una reversión en los próximos años en la incorporación al mercado laboral de profesionales en el ámbito de la tecnología, podemos encontrarnos con cierta frustración porque será en consecuencia de no poder atender a todos los compromisos. En esta pugna público-privada por este talento la más perjudicada es, indudablemente, la propia sociedad, sobre todo si es encarnizada.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |