Administración Digital: Ciberseguridad y Compliance

La transformación digital del sector empresarial, tanto en el ámbito público como en el privado, ha desencadenado una transformación global en nuestra sociedad donde la información y los datos (que algunos han llamado el petróleo del siglo XXI) han pasado a tener un valor inestimable y un papel determinante en nuestra operativa diaria. Esta eclosión de la economía digital ha supuesto incontables beneficios para todos, sin embargo, su contraprestación vienen de la mano de las ciberamenazas y la necesidad de proteger todo este ecosistema con la única herramienta disponible para combatirlas: la ciberseguridad.

La Administración Digital no se queda a la zaga en tomar conciencia de la necesidad de protegerse frente a amenazas del ciberespacio, y aunque, con más o menos impulso, trabaja a diario por securizar su entorno físico y virtual, a día de hoy siguen existiendo numerosos riesgos que a menudo pasan desapercibidos. Una muestra son las amenazas relacionadas con el ciberespionaje, el ciberdelito y el hacktivismo, sin dejar de prestar atención al ciberterrorismo, muchas veces financiado por la delincuencia organizada.

Aunque las personas son el principal foco de riesgo y el objetivo prioritario de las acciones fraudulentas, debemos ser conscientes de que la rueda tecnológica nunca se detiene y que estamos asistiendo a un nuevo modelo caracterizado por la pruralidad de identidades digitales (como muestra la creciente presencia de algoritmos inteligentes en la vida ordinaria o la eclosión del Internet de las cosas, por citar solo algunos ejemplos de recursos tecnológicos con IP propia). Esto hace que el perímetro de defensa sea prácticamente ilimitado. La respuesta a este nuevo escenario pasa por la necesidad de contar con un régimen sancionador firme, desarrollar estrategias de cibervigilancia para anteponernos a posibles ataques futuros, y aumentar las inversiones públicas para combatir la obsolescencia de los equipos informáticos y minimizar así la vulnerabilidad de las organizaciones.

Pero, ¿Qué soluciones deben adoptar las AAPP para mejorar su capacidad de respuesta ante el creciente número de amenazas digitales? En primer lugar, hay que establecer mecanismos de notificación y métricas para determinar el origen de los ataques, los recursos afectados y el tiempo empleado en resolver el incidente, aunque resulte difícil de instrumentar. La inteligencia debe estar preparada para la maldad, por ello se necesita un equipo profesional dedicado a tiempo completo capitaneado por un responsable de seguridad para así garantizar respuestas eficientes y procedimentales que minimicen el impacto de los ataques. Pero además, las AAPP deben ser proactivas en la anticipación (definir estrategias preventivas ante situaciones de crisis) sin dejar de trabajar en la resiliciencia.

Los expertos señalan también la importancia de que la contratación pública tenga en cuenta el cumplimiento de estándares básicos de seguridad en sus pliegos de condiciones, para cuya efectividad es necesario que los prestadores de servicios cuenten con certificaciones de seguridad y productos TIC confiables.

Compliance

La Ley de Seguridad Nacional supuso la creación de un marco legal para enfrentar los nuevos retos de seguridad de los organismos públicos. Previamente ya se había creado el Consejo de Seguridad Nacional, presidido por el Presidente del Gobierno, una muestra del enorme interés y responsabilidad del gobierno sobre políticas y asuntos de seguridad y ciberseguridad estatal. Pero es sin duda el Esquema Nacional de Seguridad (ENS) la norma vigente en nuestro país más relevante en este campo. Al igual que el Esquema Nacional de Interoperabilidad, es de obligado cumplimiento, aunque no disponga de un régimen sancionador.

El ENS surge de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos, y es de aplicación a todos los sistemas de las Administraciones Públicas (locales, autonómicas y estatales). A pesar de ser una norma de consenso, ha veces ha resultado difícil su implantación en el seno de los organismos públicos, sobre todo en la administración local. Por eso es fundamental la creación de una red de confianza entre administraciones que permita compartir información, crear estructuras que faciliten la interoperabilidad administrativa y un modelo de gobernanza en materia de ciberseguridad.

Las empresas privadas juegan un papel decisivo para lograr la aplicación completa del ENS en la Administración Pública (su implantación actual apenas sobrepasa el 50%). La publicación de la Guía CCN-STIC-809, sobre declaración y certificación de conformidad con el ENS y distintivos de cumplimiento, permite habilitar a empresas para hacer auditorías de seguridad y expedir certificados. Desde la Administración Pública, hay que impulsar el desarrollo de estas auditorías.

A nivel europeo, tenemos la Directiva 2013/40 relativa a los ataques contra los sistemas de información. En ella se abordan las normas de derecho penal de los Estados miembros de la UE, estableciendo infracciones penales y sanciones aplicables a los ataques informáticos. Esta Directiva, ya incluida en el Código Penal en nuestro país, constituye una herramienta sólida y eficaz contra la ciberdelincuencia, aunque algunos puntos requieren mayor concreción. Para su aplicación efectiva, es necesario además que jueces y fiscales conozcan todos los detalles de la norma y se formen en materia de ciberseguridad de forma complementaria.

También se incorporaron al derecho europeo dos normas: la Directiva 2016/1148, sobre medidas para garantizar un nivel de seguridad elevado en redes y sistemas de información de la UE (más conocida como Directiva NIS), y el Reglamento General de Protección de Datos, sobre protección de personas físicas en cuanto al tratamiento y libre circulación de sus datos personales.

En enero de 2021, el BOE publicó el esperado Real Decreto 43/2021 por el que se desarrolla nuestro Reglamento de Seguridad de las Redes y Sistemas de Información (Reglamento NIS). Su finalidad es desarrollar la Ley NIS aprobada en 2018 sobre marco institucional de la materia, cooperación y coordinación, gestión y notificación de incidentes o la función del CISO, entre otros aspectos. Este Reglamento afecta directamente a los operados y proveedores de servicios esenciales con actividad en España. No debemos olvidar que las AAPP deben trabajar a conciencia y con la máxima prioridad en la protección de las infraestructuras críticas.

En general, las AAPP disponen de un nivel aceptable de ciberseguridad gracias al ENS

Además, existe un potente acervo normativo de obligado cumplimiento para el sector público en este ámbito. Aún así, es necesario seguir trabajando en políticas y estrategias públicas de sensibilización y formación en la materia, especialmente en la fase de prevención de incidentes de seguridad.

Algunos consejos de ciberseguridad para las AAPP

Como hemos comentado, las ciberamanezas no paran de crecer y ganar en sofisticación, los hackers idean todo tipo de artimañas para provocar brechas de seguridad importantes cuyas consecuencias pueden ser críticas. Por ello, hay que proteger las organizaciones con todos los recursos disponibles al alcance (siempre en el marco de una estrategia de ciberseguridad 360º). Algunos consejos de ciberseguridad son:

• Cifrar los datos.
• Usar firewalls o cortafuegos para bloquear accesos no autorizados.
• Usar aplicaciones antimalware que filtren contenido malicioso y protejan el correo, la navegación y las conexiones.
• Borrar los datos de forma segura, siguiendo un patrón que impida el intercambio de información no deseado.
• Hacer un buen uso del correo electrónico, no abriendo emails ni descargando archivos procedentes de fuentes dudosas.
• Navegar de forma segura, accediendo solo a sitios web de confianza y evitando la descarga de programas de sitios no oficiales.
• Incrementar la seguridad de los dispositivos móviles, deshabilitando las conexiones inalámbricas, por ejemplo.
• Separar las comunicaciones personales de las profesionales.
• Usar redes privadas para proteger el tráfico de datos.
• Extremar la ciberseguridad de redes inalámbricas, cambiando las configuraciones por defecto.
• Configurar a conciencia la privacidad en redes sociales.
• Proteger los dispotivos IoT, manteniéndonos actualizados y comprobando periódicamente la configuración de seguridad.
• Realizar copias de seguridad periódicas.
• Crear una política de seguridad, es decir, un plan organizado de procedimientos con objetivos concretos.