¿Y la seguridad de la información en la Administración Pública, bien?

Iñaki Moreno trabaja en Lantik donde se encarga de cuestiones de seguridad. Tuve la suerte de dirigirle el TFM del Master de Administración Electrónica de la UOC en el que trató el tema de la accesibilidad (del que ha prometido volver a hablarnos). Hoy nos habla (con mucho fundamento) del Esquema Nacional de Seguridad en tiempos tan complejos como los actuales

Basta con echar un vistazo alrededor para darnos cuenta que la tecnología forma parte de nuestras vidas (salvo que seamos un asceta viviendo en una cueva); como ejemplo, el dispositivo donde estamos leyendo este texto será un móvil, una tablet o, incluso para los más clásicos, un portátil; la tecnología se ha democratizado y ha cambiado la forma de socializarnos e interaccionar con los demás; y esto incluye a la Administración Pública; que se ha embarcado en un proceso lento y costoso denominado Administración Electrónica.

Ahora bien, durante dicho proceso de adaptación a las TIC, la Administración Pública debe tener siempre presente que el tratamiento de la información por medios electrónicos debe reunir unos mínimos de seguridad, ya que dicha información, en una gran medida, es propiedad o representa a la ciudadanía.

Conscientes de eso, en España, las cabezas pensantes de la Administración Pública decidieron plasmar en diversos decretos y normativas menciones relativas a Seguridad de la Información, como puede verse el artículo 42 de la ya derogada Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos; que tuvo continuación en el artículo 13 de la vigente Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas y en el artículo 156 de la  Ley 40/2015 de 1 de octubre, de Régimen Jurídico del Sector público, donde se recoge el objeto del Esquema Nacional de Seguridad (ENS, en adelante), que no es otro que el de  establecer y normalizar la seguridad de la información en la Administración Pública Española a través del obligado cumplimiento de una serie de normativas y políticas en el ámbito de los servicios públicos que empleen medios electrónicos; refrendando la obligatoriedad de que la transformación digital de la Administración Pública debe ir acompañada de medidas organizativas y técnicas que protejan de forma proporcional la información gestionada por ella y los servicios públicos prestados.

Para velar por el cumplimiento de esta legislación, el Estado Español encarga al Centro Criptológico Nacional (CCN, en adelante), organismo dependiente CNI, el mantenimiento y gestión del ENS en el Estado.

Todo esto suena perfecto entonces, ¿es suficiente esta normativa para considerar que la seguridad de la información dentro de la Administración Pública está correctamente implementada?

En mi opinión se ha visto que no lo es, a la Administración Pública le falta recorrido en materia de seguridad de la información; esta carencia puede ser debida a diversos factores como pueden ser el desconocimiento generalizado en la Administración del ámbito de la seguridad de la información,  la falta de personas especializadas en seguridad de la información o  falta de asignación de recursos económicos necesarios.

Como muestra de esta inmadurez de la Administración Pública española en materia de seguridad tenemos el ejemplo en el propio CCN, que mantiene una lista de entidades del sector público que se encuentran certificadas en  el ENS:  un simple vistazo a esta lista nos hace comprobar que existen muchísimas entidades publicas, desde Ayuntamientos, Mancomunidades, Diputaciones… hasta Ministerios! Que no se encuentran certificadas en seguridad de la información.

Espera, espera… ¿estás insinuando que no estar certificado significa que una entidad no mantiene una adecuada seguridad de la información en sus sistemas?

No necesariamente, una entidad pública no certificada en ENS puede seguir una adecuada seguridad de la información, pero lo cierto es que el ENS es una buena base para implementar la pertinente seguridad de la información en la entidad, puesto que enuncia unos requisitos mínimos para lograr dicho objetivo de forma equiparable, independientemente de la entidad que sea.

Me interesa, ¿qué entidades del estado deben cumplir el ENS?

En unas pocas palabras, prácticamente todo el sector público español:

• La Administración General del Estado.
• Las Administraciones de las Comunidades Autónomas.
• Las Entidades que integran la Administración Local.
• El sector público institucional:
  • Organismos públicos.
  • Entidades de derecho público.
  • Entidades de derecho privado vinculadas o dependientes de las Administraciones públicas, que quedarán sujetas a lo dispuesto en las normas de esta ley que sean específicas a ellas y en todo caso cuando ejerzan potestades administrativas.
  • Empresas privadas, que presten un servicio público encargado por mandato, o que sean proveedores de entidades públicas, deberán cumplir con lo indicado en el ENS en estos servicios prestados.
  • Las Universidades Públicas.

Y… ¿qué debo hacer para cumplir el ENS?

Antes de nada, hay que conseguir el apoyo explícito y firme de la alta dirección política de la institución; conseguir dicho apoyo garantiza el disponer de recursos, tanto personales, como económicos, para implantar todos los requisitos en materia de seguridad de la información que sean necesarios.

Sin este apoyo, muchos de los intentos de implantar los requisitos del ENS quedarán en nada, o, lo que es peor, constituyendo un sistema de seguridad de la información de “cartón piedra”, sólo útil de cara a la galería y destinado únicamente a cumplir el requisito legal, pero sin establecer un proceso adecuado de seguridad de la información en la institución.

Sí… eso está muy bien, pero… ¿cómo consigo el apoyo de la dirección política?

Actualmente, este apoyo se consigue relativamente fácil, los incidentes de seguridad de la información han pasado de ser esos incidentes que “les ocurrían a otros” y de forma muy esporádica, a incidentes que le ocurren “al vecino de al lado” o a ti mismo, y de forma continuada. Y ya sabemos que el menor momento para obtener recursos  para aplicar medidas que reduzcan el riesgo de un incidente es, desgraciadamente, cuanto el incidente acaba de suceder.

Así, tenemos multitud de casos en donde una institución pública ha sufrido un incidente de seguridad (en su mayoría, el temido ransomware), tenemos así noticias como la del ayuntamiento de Jerez, Hazi (Gobierno Vasco), Zaragoza y otros muchos; tras estos incidentes se esconden paradas del servicio público prestado a la ciudadanía, pérdidas económicas y de reputación grandes; esto sería motivo suficiente para obtener el apoyo.

Muy bien, me has convencido, ¿por donde empiezo a implantar el ENS?

Para contestar a esta pregunta, podemos echar mano de un documento publicado por el CCN, la guía 883, de implantación del ENS en Entidades Locales, que nos servirá de referencia durante todo el proceso de implantación.

A grandes rasgos, como primer punto de partida, se debería realizar una auditoría previa por parte de una empresa especializada, que nos indicase cuan de lejos estamos de cumplir los requisitos de seguridad en nuestra organización; identificando el GAP, el espacio en “donde estamos ahora” y donde nos indica el ENS que deberíamos estar.

Sí, sí… saber GAP está muy bien, ¿pero cuales serían los primeros pasos en la adecuación?

La lista de los primeros pasos para adecuarnos al ENS sería esta:

1. Elaborar la Política de Seguridad, la piedra angular, que es un documento aprobado por la alta dirección del organismo y donde se indican los objetivos y misión de este, el marco legal, los roles y funciones de la seguridad, con sus deberes y responsabilidades y la estructura del comité de seguridad de la información, así como diversas directrices generales en materia de seguridad de la información. Existen diferentes ejemplos de Política de Seguridad de acuerdo al ENS, como puede ser este.
2. Inventariar y categorizar los sistemas de información de los que dispone el organismo para prestar los diferentes servicios que presta.
3. Realizar el análisis de riesgos, proceso por el cual identificaremos las diferentes amenazas que pueden sufrir los sistemas de información y el grado de exposición de estos; identificando aquellos riesgos no asumibles y que debemos gestionar antes, marcando así una priorización en la asignación de recursos (cada vez más limitados), a través del Plan de Tratamiento de dichos riesgos
4. Ejecutar las tareas de dicho Plan de Tratamiento de Riesgos, implantando las medidas organizativas, técnicas, operacionales y de protección necesarias para reducir dichos riesgos a un nivel aceptable

Dicho así, todo parece fácil, pero para ejecutar de forma exitosa estos pasos se requieren diferentes recursos (=dinero) que, en los tiempos actuales, con una pandemia encima, son cada vez más difíciles de conseguir.

Me interesa protegerme, pero, como bien dices, no tengo suficiente dinero disponible, ¿qué hago entonces?

Debido a los tiempos actuales y que se avecinan, hay que ser consciente de que los recursos son y cada vez serán más, limitados; por tanto, en materia de seguridad de la información, si los recursos son limitados, tenemos que volver a unos básicos, mínimos, que nos hagan sobrevivir; en mi opinión son estos:

1. Mantén los equipos (servidores, ordenadores, móviles…) en soporte vigente por parte del fabricante y actualizados, desplegando todos los parches de seguridad disponibles. Teniendo un adecuado proceso de actualizaciones tenemos mucho ganado en materia de seguridad.
2. Dispón de un adecuado software antivirus en dichos equipos; los antivirus tradicionales están ya superados, actualmente los antivirus por comportamiento son la orientación del mercado; existen diversas webs independientes que pueden ayudarnos a elegir una adecuada solución antivirus, como puede ser AV-Comparatives
3. Diseña e implementa un adecuado Plan de concienciación y formación en ciberseguridad entre tu personal; las personas son el último eslabón de la cadena, y una persona no formada, se transforma en el eslabón más débil: formales en formas de detectar un ciberataque que pueda llegarle a su buzón de correo electrónico, en qué consiste una contraseña segura, en no compartir sus credenciales…

Una charla de Chema Alonso (CDCO de Telefónica) muy interesante puede ser esta https://www.youtube.com/watch?v=l8ckZEovuGo&t=6s

• Por último, y no menos importante, una entidad local podrá pedir apoyo en este proceso de seguridad de la información a su Diputación u Órgano equivalente

Recursos:

A continuación, se listan una serie de recursos para mejorar la seguridad de la información en la administración pública:

• Portal ENS del CCN: https://ens.ccn.cni.es/es/esquema-nacional-de-seguridad-ens
• Guías 800 del CCN: https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html
• Cuaderno editado por la FEMP de recomendaciones para implantación del ENS https://www.ccn-cert.cni.es/pdf/documentos-publicos/ens/2449-femp-ens-tomo-1-guia-estrategica-en-seguridad-para-entidades-locales/file.html

Y para entidades locales de menos de 2.000 habitantes https://www.ccn-cert.cni.es/pdf/documentos-publicos/ens/2452-femp-ens-tomo-2-guia-para-entidades-locales-de-menos-de-2000-habitantes/file.html

Listado de entidades acreditadas para certificar ENS: https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens/entidades-de-certificacion

• Entorno de validación ENS: https://www.ccn.cni.es/index.php/es/esquema-nacional-de-seguridad-ens/evens
• Portal sobre la ISO27001 (norma ISO relativa a seguridad de la que bebe el ENS): https://www.iso27000.es