RESUMEN: Con este artículo se pretende abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

ARTÍCULO:

1. Introducción

Con este artículo se pretende abordar la problemática específica que se les plantea a las organizaciones pertenecientes al Sector Privado que, de una manera u otra, se encuentran obligadas por las disposiciones del Esquema Nacional de Seguridad (ENS).

Se basa en la experiencia práctica adquirida auditando y certificando la conformidad respecto a las disposiciones del ENS a diferentes organizaciones de esta naturaleza. Nos permitimos apuntar posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad, que siempre deben ser tomadas con las correspondientes cautelas ante el caso particular.

Jamás un artículo de ámbito general debe sustituir a la labor de asesoramiento que realizan organizaciones de consultoría especializada.

1. Ámbito de aplicación del ENS (sujetos obligados). Fundamentos jurídicos.

Por un lado, el ENS se encuentra legislado mediante el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y modificado posteriormente por el Real Decreto 951/2015, de 23 de octubre. Su ámbito subjetivo de aplicación se determina en el artículo 2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) que, focalizando en el sector privado señala en su apartado 1 “La presente Ley se aplica al sector público que comprende: (…) d) El sector público institucional”, continuando en el apartado 2 “El sector público institucional se integra por: (…) b) Las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas que quedarán sujetas a lo dispuesto en las normas de esta Ley que específicamente se refieran a las mismas, en particular a los principios previstos en el artículo 3, y en todo caso, cuando ejerzan potestades administrativas”.

Vemos así que las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas adoptan la condición de sujeto obligado por el ENS, a todos los efectos.

Por otro lado, el capítulo “VII. Soluciones y servicios prestados por el sector privado” de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad [1], dispone que “cuando los operadores del Sector Privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS, deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos que los exigidos en esta Instrucción Técnica de Seguridad para las entidades públicas. Será responsabilidad de las entidades públicas contratantes notificar a los operadores del sector privado que participen en la provisión de soluciones tecnológicas o la prestación de servicios, la obligación de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondientes Certificaciones de Conformidad”.

Es un requisito que ya se está viendo materializado en los pliegos de condiciones para los diferentes concursos públicos, con la solicitud de los correspondientes Certificados de Conformidad como condición ineludible para la contratación.

Vemos así que los proveedores de las Administraciones Públicas, con incidencia relevante en los servicios prestados por éstas en el ámbito del ENS, adoptan también la condición de sujeto obligado, a todos los efectos.

2. Doble vía de obligación para organizaciones pertenecientes al Sector Privado.

Hemos deducido, a partir de los fundamentos jurídicos anteriores, que las organizaciones pertenecientes al Sector Privado pueden estar obligadas por el ENS, en igual medida que las pertenecientes al Sector Público, dependiendo de:

• Si son sujetos obligados, al encontrarse vinculadas o dependientes de las Administraciones Públicas.
• Si proporcionan soluciones, o prestan servicios, directamente a algún sujeto obligado por el ENS, ya sea una Admiración Pública o cualquier otra organización vinculada o dependiente.

2.1 Operadores pertenecientes al Sector Privado que prestan servicios o proveen soluciones

Hemos visto a partir de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad la obligación inferida a los operadores del Sector Privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del ENS por ser relevantes para los servicios públicos ofrecidos a la ciudadanía que se apoyen, directa o indirectamente, en medios electrónicos.

Un caso particular, bastante habitual en la práctica, son las cadenas de subcontratación de proveedores, en la que un proveedor presta servicios a otro que a su vez se encuentra en la situación del último punto anterior. En este escenario, todos los proveedores que forman parte de la cadena deben estar Certificados de Conformidad respecto a las disposiciones del ENS (Para categorías del sistema MEDIA y ALTA).

Una primera alternativa, si uno de ellos todavía no está en posesión de la correspondiente certificación de conformidad acreditada, es “solicitar” al proveedor que se certifique, incluso dándole un plazo para hacerlo si no quiere perder un cliente, de forma que no frene la propia certificación, más aún, impida de facto la certificación de todas las demás organizaciones que se apoyan en sus servicios en el ámbito del ENS.

Una segunda alternativa consiste en que la entidad de certificación audite a dicho proveedor por cuenta de quién desea certificarse y no puede debido a que su proveedor no lo está. Viene a ser algo así como una auditoría de certificación (tercera parte) con formato de auditoría de proveedor (segunda parte).

Figura 1. Necesidad de auditar al proveedor

Pongamos un ejemplo para aclarar conceptos: Imaginemos un desarrollador de software que trabaja para la Administración mediante su plataforma imaginaria “GESPADM”. Dicha plataforma el primer proveedor la entrega en modalidad SaaS como servicio, que se apoya en un segundo prestador de servicios de infraestructura (IaaS) en la Nube. Si el proveedor titular de “GESPADM” desea certificarse, pero su proveedor de IaaS no dispone de la certificación de conformidad con el ENS, deberá acordar con ambos -su proveedor de IaaS y la entidad de certificación- que se extienda el alcance de la auditoría también al proveedor de IaaS, aunque éste no opte de momento a la certificación.

Este proceder es factible para proveedores que se encuentran ubicados en España, pero más difícil de materializar para proveedores en otros países del mundo. De todas formas, la primera alternativa suele ser más práctica que la segunda, dado que puede limitarse el alcance de la certificación únicamente al requerido por el cliente y más adelante ampliarlo de forma generalista.

2.2 Entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas

Como se detalla en la Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad” [2] hay que tener especial consideración, por suscitar posibles dudas, con las entidades de derecho privado vinculadas o dependientes de las Administraciones Públicas, siendo como son sujetos obligados por el RD 3/2010:

• Las entidades de derecho privado pertenecientes al Sector Público Institucional, como pueden ser RENFE, AENA, INCIBE o TMB, entre muchas otras.
• Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, como TVC Multimedia SL, Ciudad de las Artes y las Ciencias SA, Televisión Autonómica de Aragón, Empresa Municipal de Servicios de Tres Cantos SA o Circuito de Jerez SA, entre muchas otras. El ENS les será de aplicación cuando ejerzan potestades administrativas por atribución directa o delegación, de acuerdo a la legislación autonómica aplicable, así como en cuanto a su régimen de patrimonio y en materia de responsabilidad patrimonial ante terceros por el funcionamiento de sus servicios, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por ésta.
• Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, como pueden ser la Empresa Municipal de Transportes de Madrid SA, Barcelona de Serveis Municipals SA o Centro de Informática Municipal de Bilbao SA, entre muchas otras, en las materias en que les sea de aplicación la normativa presupuestaria, contable, de control financiero, de control de eficacia y contratación, de acuerdo a lo dispuesto por la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, así como en el ejercicio de las funciones públicas que les hayan sido atribuidas estatutariamente, cuando se rijan por las previsiones de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas en los términos establecidos por esta.
• Las entidades de derecho privado y fundaciones, como son RTVE, Fundación del Teatro Real, Empresa Nacional de Residuos Radiactivos SA, entre otras, en la medida que están sujetas a las normas de la Ley de Régimen Jurídico del Sector Público que específicamente se refieran a las mismas y, en todo caso, cuando ejerzan potestades administrativas.

 

3. El concepto de servicio y de Sistema

3.1 El concepto de servicio en el ENS desde la perspectiva del Sector Público

No podemos perder de vista que el objeto del Esquema Nacional de Seguridad es que se dé cumplimiento a los requisitos de seguridad de los servicios prestados por el Sector Público a la ciudadanía, apoyándose directa o indirectamente en medios electrónicos, velando para que se aseguren los sistemas de información en que se apoyan.

En consecuencia, este concepto de “servicio público”, entendido como el servicio en sí, junto a los datos por él tratados, es el que determinará la categoría del sistema que lo soporta o, en otras palabras, del sistema de información que es requerido para que pueda prestarse el servicio.

Dicho sistema puede ser titularidad de la Administración Pública, serlo únicamente en parte o no serlo en ninguna, por haberse externalizado parcial o totalmente en el Sector Privado.

3.2 El concepto de servicio en el ENS desde la perspectiva del Sector Privado

Como ya se ha visto, los operadores pertenecientes al Sector Privado que prestan servicios contratados o aportan soluciones contratadas al Sector Público, también están obligados por las disposiciones del ENS, según se determina en el capítulo VII de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad.

Figura 2. Diferencia entre SERVICIO PÚBLICO y servicio contratado

Pero dichos servicios contratados desde el Sector Público al operador privado, entendidos como una forma de materializar la externalización de sistemas o subsistemas públicos, o de su gestión, no deben confundirse con los servicios públicos que el organismo contratante presta a la ciudadanía. Estos últimos, los servicios públicos, son los denominados propiamente como SERVICIOS en el ENS. Los otros, los servicios contratados, son considerados por el ENS como SISTEMAS o SUBSISTEMAS externalizados, pese a que en ocasiones pueda haber total correspondencia entre unos y otros.

Dicho de otra manera, desde el prisma de la organización privada contratada:

• De puertas adentro (ad-intra) lo que presta son servicios al Sector Público.
• De puertas afuera (ad-extra) lo que le ha sido adjudicado es un sistema o subsistema en que se apoyan totalmente o en parte los servicios públicos prestados a la ciudadanía por el organismo contratante.

 

4. Valoraciones en interconexión de sistemas

Sobre valoraciones ante interconexión de sistemas puede consultarse el apartado 5.4 “Terceras partes” de la Guía CCN-STIC 803 (Valoración de los Sistemas) en cuya revisión han participado José Antonio Mañas y AUDERTIS.

4.1 Sistema que maneja información de terceros

Si un sistema maneja información de terceros, o le presta servicios, la valoración de esa información y esos servicios será la determinada por el tercero, titular de los servicios públicos prestados a la ciudadanía. Es irrelevante que el sistema que maneja la información sea titularidad del Sector Público o del Sector Privado.

Un ejemplo podría ser una Diputación Provincial que preste servicios a determinados Ayuntamientos (Público – Público) o un prestador de servicios de Cloud que presta servicios de IaaS a un Ayuntamiento (Privado – Público).

Figura 3. Sistema que maneja información de terceros

En ausencia de valoración, el Responsable de Seguridad del organismo que maneja el sistema de información externalizado, sea público o privado, la establecerá según su mejor criterio y, en consecuencia, categorizará el sistema acorde a dicha valoración.

 

4.2 Organismo que se apoya en sistemas de terceros

A “sensu contrario” de lo expresado en el apartado anterior, cuando el Sector Público utiliza sistemas de terceros para tratar información o para prestar servicios, la valoración propia será impuesta al tercero que colabora, que la tendrá en cuenta en su propio Plan de Adecuación. Es irrelevante que el tercero sea también del Sector Público, o sea del Sector Privado.

Figura 4. Sector Público que se apoya en sistemas de terceros

 

5. Roles en el Sector Público y en el Sector Privado

5.1 Responsable del Servicio y Responsable de la Información

Desde el punto de vista expresado en los apartados precedentes, los únicos servicios, según los entiende el ENS, son los prestados por el Sector Público.  En consecuencia, es el organismo público el que debe nombrar uno o varios Responsables del Servicio y uno o varios Responsables de la Información que esos servicios traten. En ocasiones asumen dicho rol los responsables del área entre cuyas competencias está la prestación de algunos de esos servicios a la ciudadanía. Se admite que ambos roles, Responsable de la Información y Responsable del Servicio, converjan en una misma persona, con las debidas cautelas [4].

El operador perteneciente al Sector Privado no requiere nombrarlos, ya que seguirá las directrices de dichos roles en el organismo público al que le presta servicios para adecuar sus sistemas. Aunque un organismo público materialice sus servicios en base a servicios contratados externamente, sigue teniendo la responsabilidad de valorarlos a través de sus propios Responsables del Servicio y de la Información.

Puede ser aceptable, aunque no frecuente, que la organización perteneciente al Sector Privado nombre a su vez a un Responsable del Servicio y a un Responsable de la Información, según los entiende el ENS. Esto puede ser con Roles específicos o equiparando otros roles existentes. En ese caso lo sustancial es que no pueden llevar la iniciativa, sino coordinarse y asumir las valoraciones y disposiciones de sus homónimos en el organismo público, que a la postre son los que se responsabilizan de los servicios públicos prestados a la ciudadanía, estén externalizados o no.

En la práctica lo que ocurre es que únicamente se coordinan a través de Responsable de Seguridad del organismo público o, lo más común, que la organización del Sector Privado se adscriba a determinada categoría del sistema para poder participar en los pliegos de contratación, ya sea para esa categoría o inferior, y ni se plantee nombrar al Responsable del Servicio ni al Responsable de la Información.

5.2 Comité de Seguridad y roles del ENS

El operador perteneciente al Sector Privado deberá disponer de un Responsable de Seguridad, que deberá velar por el cumplimiento de las medidas de seguridad en los sistemas de información, en su área de competencia delegada, debiendo coordinarse de ser necesario con el Responsable de Seguridad del organismo, que tendrá una visión holística al tener responsabilidad sobre todos los sistemas, propios y externalizados. Lo mismo debe considerarse respecto al Comité de Seguridad.

Análogamente se requerirá un Responsable del Sistema para todo aquello que requiera ser administrado técnicamente respecto al servicio contratado, por lo que es también una figura imprescindible en el Operador Privado que administra sistemas o subsistemas por cuenta del Sector Público.

El organismo público que contrata, en el hipotético caso de que no dispusiera de ningún sistema debido a tenerlos todos externalizados, ya no requerirá asignar internamente la figura de Responsable del Sistema, y se apoyará en la del operador privado contratado. Si en vez de uno, los operadores contratados son varios, entonces sí que tiene sentido disponer de Responsable del Sistema en el organismo público, aunque sea a efectos de coordinación.

Se vislumbra que deberá estudiarse detenidamente cada caso particular, para encontrar la solución más efectiva en función del nivel de externalización, de los recursos disponibles y de la estructura y categoría de los sistemas.

5.3 Organizaciones multinacionales del Sector Privado

Estamos inmersos en una economía global, por lo que cada vez es más frecuente que organizaciones pertenecientes al Sector Privado aporten soluciones, o presten servicios, al Sector Público en calidad de filial española de determinado grupo multinacional.

En esos casos, lo primero que solemos encontrarnos es que ya disponen de un sistema integrado de gestión (SIG) constituido por varias normas ISO, muchos de cuyos instrumentos organizativos – Por ejemplo políticas, normas internas, procedimientos, instrucciones operativas- se gestionan a nivel grupal.

Expresaré para empezar que debe estudiarse cada caso particular, siendo arriesgado e injusto generalizar. No obstante, no podemos olvidar, a diferencia de lo que ocurre con la norma ISO 27001, que el ENS es una norma española, concretamente amparada por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ello quiere decir que no puede aprovecharse la política general integrada del grupo multinacional que actúa como proveedor, habitualmente en inglés y muy generalista, sino que como mínimo debe definirse un anexo a la misma (o política local) que trate los requisitos del ENS, acorde a lo que dispone la medida de seguridad “Org.1 Política de Seguridad” del Anexo II del ENS, escrito en idioma español para facilitar su comprensión por parte del sujeto obligado por la norma, que requiera conocer dicha política.

Pensemos que es una práctica habitual que se le requiera al proveedor no únicamente el Certificado de Conformidad con las disposiciones del ENS, sino también el último informe detallado de auditoría y la política. Esta última para conocer a grandes rasgos cómo se gestiona la seguridad al amparo del ENS y el Informe de Auditoría para conocer cómo se garantizan las que sean de aplicación de las 75 medidas de seguridad que dispone el Anexo II del ENS. Es algo imprescindible para poder coordinar la seguridad entre ambas organizaciones.

En cuanto a los Roles, no deberían hacer referencia y materializarse en personas del grupo fuera del territorio Español, ya que a mi entender iría en contra de la “ratio legis” de la norma. Ya sé que, como indica el segundo párrafo del art. 3 del RS 3/2010, los sistemas que tratan información clasificada están excluidos del ámbito de aplicación del ENS, al estar regulados por Ley 9/1968, de 5 de abril, de Secretos Oficiales y demás normas de desarrollo, pero aun así estamos hablando de todo el Sector Público Español y organizaciones vinculadas o relacionadas, ya sea en base a sus competencias, o por ser proveedoras. En cualquier caso, deberían cumplir fielmente las funciones y requisitos que se especifican en la política, o el anexo a la política, o en el posible documento de roles y comités vinculado que suele disponerse en sistemas de gestión de seguridad de la información.

En ese sentido, si ya existe un Comité de Seguridad o equivalente en la sede internacional de la organización privada, propongo se cree un sub-comité local en España o uno de específico para cumplir con las disposiciones del ENS. Igual sucede con el Responsable de Seguridad, con los Administradores de Seguridad si existen y con el Responsable del Sistema que, implícitamente, ya constituyen un grupo local, por lo que no ha de resultar demasiado difícil implementarlo.

Únicamente recordar que no debe depender jerárquicamente el Responsable de Seguridad del Responsable del Sistema, de modo que exista total imparcialidad y ausencia de conflictos de interés en las decisiones, en pro de la seguridad, por parte del primero de ellos.

6. Documentos consultados

– [1] BOE. “Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad”.

ITS de Conformidad

– [2] Carlos Galán y José María Molina. Guía del Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad”.

CCN-STIC-830

– [3] Apartado 5.4 “Terceras partes” de la Guía del Centro Criptológico Nacional “CCN-STIC-803 Valoración de los sistemas”, última edición revisada por José Antonio Mañas y AUDERTIS.

CCN-STIC-803

– [4] Guía del Centro Criptológico Nacional “CCN-STIC-801 ESQUEMA NACIONAL DE SEGURIDAD – RESPONSABILIDADES Y FUNCIONES”, marzo 2019.

CCN-STIC-801

La Agencia Española de Protección de Datos ha publicado hasta ahora diferentes documentos destinados a facilitar la adecuación al RGPD de las Administraciones públicas (AAPP), especialmente las Entidades Locales (EELL). Su objetivo es que sirvan como hoja de ruta o hilo conductor de las diferentes actividades necesarias para lograr la adecuada implantación del RGPD en las mismas:

1) Decálogo para la adaptación al RGPD en las Administraciones públicas, consistiendo en una representación secuencial de seis tareas principales y seis actividades paralelas, en 2 páginas de extensión.

2) Guía sectorial de la AEPD: Protección de Datos y Administración Local, consistiendo en una guía que trata conceptos básicos, cómo adecuar el RGPD a los tratamientos y consultas frecuentes planteadas en el ámbito de los Ayuntamientos, con una extensión de 57 páginas.

3) EL NUEVO RGPD Y SU IMPACTO SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES LOCALES, documento de 6 páginas, con 15 aspectos a tener en cuenta en la adecuación al RGPD de un Ayuntamiento.

4) EL IMPACTO DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS SOBRE LA ACTIVIDAD DE LAS ADMINISTRACIONES PUBLICAS, análogo al anterior, pero generalizando para cualquier AALL, en 5 páginas y 15 aspectos a tener en cuenta.

Ahora que queda escasamente algo más de un mes para que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sea de aplicación efectiva, no está de más dar un vistazo a las tareas pendientes que muchas AAPP tienen por delante.

La hoja de ruta del RGPD establece dos caminos paralelos para esta correcta adecuación. Por un lado, establece una serie de tareas de análisis como son:

• La necesidad de designar a un Delegado de Protección de Datos o DPD (también conocido como DPO por las siglas de su denominación en inglés), algo preceptivo para las AAPP [Vid. Art. 37.1.a) RGPD], aunque pueden llegar a designar un único DPD el conjunto de varios organismos públicos [Vid. Art. 37.3 RGPD].
• Elaborar el Registro de Actividades de Tratamiento, espina dorsal del nuevo Reglamento, que sustituye a la obligación de registrar ante la Autoridad de Control los ficheros de datos de la Administración [Vid. Art. 30 RGPD]. Debe tenerse en cuenta que los datos deben tratarse de manera lícita, leal y transparente; recogidos con fines determinados, explícitos y legítimos; y obtenerse y conservarse adecuados, pertinentes y exactos [Vid. Art. 5.1 RGPD].
• Analizar la licitud de los tratamientos y su base jurídica. Ésta no únicamente puede basarse en el consentimiento del interesado, sino para el cumplimiento de una obligación legal o para el cumplimiento de una misión basada en el interés público o en el ejercicio de poderes en base a competencias públicas [Vid. Art. 6.1 RGPD]. La ponderación de derechos en base a un interés legítimo no es de aplicación a las AAPP, salvo a sus organizaciones dependientes o vinculadas, sujetas a Derecho privado [Vid. Último párrafo art. 6.1 RGPD].
• Realizar un proceso de apreciación (identificación, análisis y evaluación) de riesgos, determinando claramente aquellos que se consideren inaceptables. Los riesgos a considerar son jurídico/organizativos respecto a la protección de datos y tecnológicos. Para éstos últimos se puede recurrir al proceso de apreciación de riesgos efectuado para dar cumplimiento al Esquema Nacional de Seguridad (ENS) [Vid. Art. 24.1 RGPD].
• Tratar los riesgos inaceptables mediante controles técnicos y/u organizativos que los mitiguen o eviten, verificando que dichas medidas han mitigado el valor del riesgo inicial por debajo del umbral de riesgo inaceptable. A este nuevo valor le llamaremos riesgo residual que, si sigue siendo elevado, deberá seguir mitigándose mediante la aplicación de nuevas medidas. [Vid. Art. 25.2].
• si el tratamiento es de alto riesgo, detallar e implantar un procedimiento para realizar, una evaluación de impacto en la Protección de Datos (EIPD) – conocida como PIA por los anglosajones – [Vid. Art. 35 RGPD]. Si fuera necesario debido al resultado adverso de la EIPD, consultar previamente a realizar el tratamiento con la autoridad de control [Vid. Art. 35 RGPD]. La EIPD también está basada en el riesgo, pero focalizada en determinado tratamiento.

De forma paralela y en un ámbito más operativo, las administraciones públicas tendrán que:

• Revisar y adecuar los formularios de recogida de información, para que la concesión del consentimiento se corresponda con el principio de acción afirmativa del usuario y la información que se le ofrezca, sea lo más clara y concreta posible, aconsejándose en dos capas (la resumida primero y la detallada después) siempre que sea posible.
• Establecer y adecuar los procedimientos de ejercicio de derechos del ciudadano, teniendo en cuenta que con el RGPD aparecen de nuevos [Vid. Arts. 16 a 20 RGPD].
• Elaborar procedimientos varios: acreditar, obtener y revocar el consentimiento, notificar brechas de seguridad de datos personales, etc.
• Valorar de forma efectiva a los proveedores como encargados de tratamiento para asegurar que ofrecen medidas que garanticen el cumplimiento del RGPD, adaptando los contratos de encargado del tratamiento al nuevo Reglamento europeo.
• Elaborar las políticas de protección de datos necesarias para garantizar al ciudadano la confidencialidad de sus datos personales, acompañadas de las medidas de seguridad que determina el ENS.
• Establecer procesos de formación y concienciación del personal de la Administración, en base a una planificación y no a la improvisación.
• Cabe recordar que debido al principio de accountability, o responsabilidad proactiva, todo tiene que quedar evidenciado.

Como vemos, son múltiples las tareas que las Administraciones públicas tienen por delante para la preparación y cumplimiento de lo previsto por el RGPD, pudiendo apoyarse en el ENS en todas aquellas medidas que corresponda.

El Sector público tiene en la Administración electrónica un aliado imprescindible para ofrecer un servicio más eficiente y de mayor calidad a los ciudadanos.

Con el gran volumen de información que gestionan las AAPP se hace imprescindible que los servicios soportados por los sistemas de información estén bien definidos, se comuniquen entre sí y permitan la interoperabilidad con sistemas de otras administraciones.

A pesar de todo, los servicios online no tienen que ser implantados con vistas a ofrecer únicamente una imagen de modernidad, sino para obtener una serie de ventajas como puede ser la agilidad, el servicio 24 horas o cualquier otro requisito que se haya estudiado con antelación.

Por ejemplo, la implantación de servicios Cloud porque “está de moda” o porque “otros ayuntamientos lo hacen”, sin un adecuado análisis de las necesidades y requerimientos por parte de la Administración que los contrata, puede suponer un error difícil de subsanar y justificar. De la misma forma, el argumento del ahorro de costes, que realmente existe, tampoco puede ser el único motivo para implantar servicios Cloud.

Uno de los servicios en la Nube más habituales es el relacionado con la gestión de backup remoto. Si bien la implantación de estas herramientas es fundamental para cualquier organización, es necesario plantearse una serie de cuestiones a fin de poder dimensionar bien el servicio, evitando encontrarnos con una estructura que no puede hacer frente a las necesidades reales de backup.

Pensemos que las copias de seguridad se contemplan en la medida de seguridad [mp.info.9] del Esquema Nacional de Seguridad (ENS), que señala “Se realizarán copias de seguridad que permitan recuperar datos perdidos, accidental o intencionadamente, con una antigüedad determinada”. Está claro que esa antigüedad la marcará el Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) que hayamos efectuado previamente, aunque únicamente el ENS obliga su realización para sistemas de categoría MEDIA o ALTA.

En relación a las copias de seguridad, el ENS sigue diciendo “Estas copias poseerán el mismo nivel de seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad, según proceda, de que las copias de seguridad estén cifradas para garantizar la confidencialidad”.
Aquí es donde vemos que deben tenerse en cuenta muchos aspectos a la hora de elegir una solución de backup remoto en el Cloud, siendo una Administración pública quién contrata:

• ¿Tenemos bien definida, identificada e inventariada la información que vamos a respaldar?
• ¿Disponemos de un procedimiento que me permita actualizar los elementos a copiar en función de los cambios que se produzcan en las aplicaciones y las bases de datos?
• ¿Qué periodicidad va a tener la copia, y por qué? ¿Cada día, cada semana, cada hora…?
• Si son incrementales en un ciclo semanal ¿Cuánto tiempo puedo necesitar para una restauración total?
• ¿Durante cuánto tiempo voy a almacenar las diferentes copias realizadas (período de retención)? ¿Tengo definido el tiempo de vida válido?
• ¿Almacenaré copias mensuales o anuales, por ejemplo, con mayor período de retención?
• ¿Tengo establecidas alertas en caso de fallo del proceso de copias? ¿Quién las recibe y cómo debe actuar?
• ¿Tengo establecidos procedimientos para las pruebas de restauración y los llevo a la práctica?
• ¿Tengo establecidos procedimientos para la restauración y recuperación en caso de fallos o perdida de información real?
• ¿Existen acuerdos de prestación de servicios que regulen como se realizan y almacenan las copias?
• ¿Las copias contienen datos personales? ¿Dónde se almacenan realmente las copias? ¿Se almacenan fuera de la Unión Europea? ¿Soy consciente de que puede significar una Transferencia Internacional de Datos (TID)?
• ¿Tengo suscrito un contrato de Encargado del Tratamiento con el proveedor? ¿Está redactado acorde con el art. 28 RGPD, ahora qué pronto será de aplicación el nuevo Reglamento General Europeo?
• ¿La información que almacena en servicios online está cifrada?  El canal de comunicaciones a través de internet, ¿es seguro?

Como se puede ver en esta lista que no pretende ser exhaustiva, la realización de copias de seguridad remotas para una Administración pública no consiste simplemente en contratar un servicio adecuado y económico, sino que es fundamental definir correctamente las necesidades funcionales y de seguridad, cómo se va a llevar a cabo y saber si la ejecución es conforme a lo previsto por las diferentes normativas en materia de privacidad (RGPD) y Seguridad (ENS) que, para las AAPP, son indisociables en calidad de garantes de los derechos fundamentales de los ciudadanos en el ámbito de sus competencias.

La noticia sobre la filtración de más de 50 millones de cuentas de usuario de Facebook, es sin duda, la más importante de la semana. No solamente por la trascendencia de la fuga de información y su afectación a tantos usuarios, sino por las repercusiones que está tiene sobre la plataforma.

Responsables o no de los contenidos que alberga, Facebook ha estado en el punto de mira de la influencia en la campaña electoral de 2016. La cosa tiene miga, puesto que ante el clamor de políticos melifluos, se ha erigido el extremismo como el discurso que más cala. Para ello, la consultora que trabajó con Trump utilizó una aplicación que recopilaba los datos. Se llamaba thisisyourdigitallife («esta es tu vida digital», en español), un proyecto del profesor universitario Aleksandr Kogan, de la Universidad de Cambridge.

Por tanto, la brecha de seguridad ha dejado en evidencia la debilidad de los sistemas de control y ha supuesto para la red social unas perdidas de miles de millones de dolares en la bolsa.

¿Será el momento de tomar nuevas decisiones trascendentales tanto para Facebook cómo para el futuro de la seguridad en esta red social?

Más información en http://www.lavanguardia.com/tecnologia/20180319/441655204177/facebook-cambridge-analytica-filtracion.html

 

 

Qué la tecnología web es una herramienta fundamental para las administraciones públicas, es algo que nadie se atrevería a poner en duda. Hoy vamos a comentar un aspecto relacionado con la presencia online de las AAPP que, aunque aparentemente pueda parecer secundario, sí que tiene una gran importancia en lo que se refriere al objetivo final de la misma: prestar servicio al ciudadano, por lo que este artículo vamos a orientarlo a la accesibilidad, aunque al final repasaremos determinada legislación relevante respecto a las páginas Web en la Administración.

La accesibilidad tiene como principal objetivo lograr que el mayor número posible de personas, tengan disponibles los contenidos de una determinada web. En el caso de las administraciones públicas, esto es especialmente crítico, pues a través de estas webs los ciudadanos y usuarios de los diferentes servicios, pueden acceder a recursos e información que pueden ser fundamentales para ellos: tramites con la administración, denuncias, información sobre obras y licitaciones, etc.

Por ello, la administración pública debería considerar una serie de recursos que permiten especificar cuáles son los requisitos que deben cumplir las páginas Web disponibles en Internet, Intranets y otro tipo de redes para que, de esta forma, puedan ser utilizados por la mayor parte de las personas, incluyendo personas con discapacidad y personas de edad avanzada, de forma autónoma o mediante las ayudas técnicas pertinentes. Los principales recursos de accesibilidad serían:

• Norma UNE 139803:2012, sobre requisitos de accesibilidad para contenidos en la web. Es una norma española que destaca tres niveles de requisitos de accesibilidad para los contenidos en la Web, diferentes requisitos de conformidad y acaba con un repaso a técnicas de accesibilidad y fallos relacionados. En su “Anexo A” hace referencia a lo previsto en las Pautas de Accesibilidad para el Contenido Web WCAG2.0 (traducida al español por la Fundación Sidar) del Consorcio de la Web(W3C).
• UNE-EN 301549 V1.1.2, de diciembre de 2015, Requisitos de accesibilidad de productos y servicios TIC aplicables a la contratación pública en Europa es una norma que representa una base para que los compradores públicos puedan identificar requisitos funcionales a la hora de hacer sus adquisiciones referidas a productos y servicios TIC, junto a los procedimientos de prueba y metodología de evaluación de cada requisito de accesibilidad. También sirve a los fabricantes y proveedores de la Administración para que los empleen dentro de sus procesos de diseño, desarrollo y control de calidad. Su contenido es aplicable a cualquier desarrollo TIC, desde un teléfono móvil, hasta ordenadores, pasando por páginas web.
• WAI-ARIA Accessible Rich Internet Applications
  WAI-ARIA, aprobada la versión 1.0 en marzo del 2014 y cuya última versión 1.1 es de Diciembre de 2017, es una recomendación internacional que define cómo hacer el contenido y las aplicaciones webs más accesibles para personas con discapacidad. Proporciona importantes pautas para el desarrollo de contenido dinámico y para interfaces de usuario avanzadas desarrolladas mediante AJAX, HTML, Javascript y tecnologías relacionadas.

Los comentados serán, entre otros muchos, los principales recursos de adscripción voluntaria que las administraciones públicas tendrán a la hora de desarrollar y poner a disposición de los usuarios la información en entornos web que, hoy por hoy, se ha convertido en el principal punto de contacto para los ciudadanos: desde una sencilla Web que únicamente permite realizar consultas, hasta una completa Sede Electrónica que permite efectuar todo tipo de trámites.

Para verificar el cumplimiento de estas y otras normativas en materia de accesibilidad la administración ha creado el Observatorio de Accesibilidad, que tiene como principal objetivo el ayudar a las AAPP a configurar y controlar el grado de cumplimiento de los criterios de accesibilidad en los portales web.

Este observatorio cumple diversos cometidos, como serían:

• El desarrollo de estudios periódicos sobre el cumplimiento de las diferentes políticas de accesibilidad.
• Poner a disposición de las administraciones evaluaciones online sobre la accesibilidad de los diferentes sitios web que administran.
• Crear y publicar documentación y guías informativas relacionadas con sus funciones y,
• Crear y mantener una comunidad donde se reúnan los principales actores de la accesibilidad y compartan experiencias.

De esta forma, se controla y garantiza que los usuarios tengan siempre disponible la información que la administración genera, siendo una de las principales vías para dar cumplimiento continuado a la ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTBG). Pensemos que las AAPP deben de garantizar que la implantación de la Sociedad de la Información y del Conocimiento se desarrolle de forma armónica, garantizando la igualdad de oportunidades de los ciudadanos en el acceso a la información pública y a los nuevos servicios digitales, procurando que ningún colectivo social quede excluido. Esto viene refrendado por el art. 38.5 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), que señala: “La publicación en las sedes electrónicas de informaciones, servicios y transacciones respetará los principios de accesibilidad y uso de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos”.

Tampoco debemos olvidarnos de la ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de la legislación vigente en materia de protección de datos -a partir del 25 de mayo de 2018 el Reglamento (UE) 2016/679 (RGPD)-, del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, especialmente en su medida de seguridad [mp.s.2] referida a la protección de servicios y aplicaciones Web y, en determinados casos, el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

El RGPD plantea muchas novedades y exigencias para las Administraciones públicas. Una de ellas, también obligada para las organizaciones pertenecientes al Sector privado, es la necesidad de comunicar a las Autoridades de Control determinadas violaciones de la seguridad de los datos personales, como se dispone en el art. 33 RGPD.

Es importante recalcar que únicamente debe notificarse a la Autoridad de Control si la violación afecta a datos personales, no cualquier violación de seguridad como algunos han llegado a manifestar. De ahí que sea tan importante tener bien inventariados los datos de naturaleza personal que trata la organización. Está claro que, por competencias, las Administraciones públicas tratan cantidades ingentes de datos personales de los ciudadanos en tanto que personas físicas, por lo que están más expuestas a que, caso de producirse una brecha de seguridad, esta afecte a datos de carácter personal y deba de notificarse. Añadiré que no solo debe haberse producido dicha violación de datos personales, sino que además ha de constituir un riesgo para los derechos y libertades de las personas físicas afectadas.

Surge, no obstante, una duda respecto al Sector público. Hasta ahora, con la LOPD actual, los ficheros debían registrarse en la Autoridad de Control central (AEPD) si eran de organizaciones pertenecientes al Sector privado, o en las Autoridades de Control Autonómicas (AVPD y APDCAT) si eran de organizaciones pertenecientes al Sector público y existían tales Agencias en su comunidad.  ¿Se aplicará el mismo criterio respecto a las notificaciones de violaciones de seguridad de datos personales, o deberán notificarse siempre a la AEPD? Téngase en cuenta que el art. 56 RGPD sobre competencia de la autoridad de control principal está pensado para dirimir la competencia entre Autoridades de Control de diferentes Estados miembros y no dentro de un mismo Estado.

En cuanto a los afectados por dichas violaciones, según dispone el art. 34 RGPD, se les deberá también comunicar, sin dilación indebida, la violación de sus datos personales, siempre que ésta entrañe un alto riesgo para sus derechos y libertades. Por desgracia “alto riesgo” es un término jurídico indeterminado que diferentes grupos consultivos y autoridades de control deberán ir clarificando.

El plazo máximo de comunicación está establecido en el artículo 33.1 del RGPD:
“Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control
1.En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella…”
El contenido y formato de la notificación a la Autoridad de control, según se determina en el art. 33.3 RGPD, deberá contener como mínimo:
“(…)
describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
describir las posibles consecuencias de la violación de la seguridad de los datos personales;
describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos”.

Caso de tener que notificarla a los afectados, además de a la Autoridad de control correspondiente, el contenido mínimo a comunicarles es el correspondiente a los tres últimos puntos anteriores.

Ésta, junto a muchas de las nuevas obligaciones del RGPD, hacen que cobre importancia la responsabilidad activa (muy conocida en inglés como accountability), por la cual, el responsable del tratamiento, tenga tiene la obligación de establecer medidas de seguridad técnica adecuadas para evitar cualquier tipo de incidencia de seguridad y, si esta llega a producirse, minimizar el riesgo. Además, prever los procedimientos o protocolos de actuación necesarios para evaluar sin dilación las brechas identificadas y cumplir con el deber de notificación a la Autoridad de Control, y a los afectados, de ser necesario por el impacto de la violación de datos personales.

Pese a lo que el ciudadano pueda percibir, el concepto de Administración Electrónica o e-Administración es un concepto mucho más amplio y va mucho más allá de la simple implantación de medidas tecnológicas en los diversos sectores que componen la Administración pública.

La e-Administración, en realidad, es un proyecto que busca no solamente hacer 100% tecnológica y accesible a la Administración pública para el ciudadano, sino que además supone una estrategia a largo plazo donde se busca la mejora de la productividad del funcionario mediante la simplificación de procesos que tradicionalmente han demostrado ser tediosos.

La e-Administración no es, por tanto, la búsqueda del escenario ideal de “oficina sin papel”, sino un nuevo entorno en el que se busca que la relación entre administrador y administrado sea más ágil y directa, con independencia del canal de comunicación empleado.

Para poder hablar de Administración Electrónica, pues, debemos considerar los siguientes aspectos:

• La orientación al servicio. El desarrollo de cualquier proyecto de e-Administración no puede ir desligado de la orientación del mismo a la prestación de servicios a la ciudadanía y, por tanto, se tienen que incluir todos aquellos trámites que comúnmente se requieren, de forma conjunta, para determinado servicio en el formato tradicional. No sería comprensible para el usuario realizar un trámite online de forma parcial, y que la presentación de un cierto documento requerido para completarlo debiera realizarse de forma presencial. Tampoco que, para un mismo servicio público, del conjunto de trámites necesarios algunos pudieran ser online y otros presenciales obligatoriamente.

• Un adecuado backoffice. Pese a que el objetivo de este tipo de proyecto no es el despliegue de tecnología por sí misma, sino el usar esa tecnología para facilitar la relación con el ciudadano, es innegable que, sin un adecuado trasfondo tecnológico, eso no sería posible. Se trata pues de analizar convenientemente las necesidades y requerimientos para que el sistema tecnológico sea el adecuado y no un lastre que frene la innovación.

• Respeto de los derechos. No solamente entendido como los derechos inherentes a cada persona en su relación con la administración, como puede ser la privacidad y protección de sus datos personales, sino los denominados ciberderechos que recogen, entre otros, la capacidad de los usuarios al libre acceso y expresión a través de Internet, con independencia de las tecnologías concretas empleadas por éstos. La e-administración no debe discriminar según el tipo de terminal desde el que interactúe el usuario, preservando la autodeterminación tecnológica del ciudadano.

• La interoperabilidad. La e-Administración debe garantizar a los usuarios que su información será accesible por cualquier estamento de la administración pública (del estado, autonómica, local, etc.), sin tener necesidad de aportar la misma información a estamentos distintos ya que éstos también deben poder interactuar entre sí.

• La disponibilidad. La sociedad en que vivimos demanda a las empresas estar siempre disponibles para cualquier tipo de gestión. No sería comprensible para el usuario un horario de venta limitado para una tienda online. En el caso de la e-Administración, estamos en el mismo escenario. Los usuarios demandan poder interactuar con la Administración en cualquier momento, independientemente del día de la semana que sea y la hora.

• El ahorro de tiempo. El tiempo es un bien escaso para los usuarios y, por tanto, los trámites que se realicen a través de medios electrónicos deben suponer un ahorro de tiempo para estos usuarios. Se deben implantar procedimientos sencillos y ágiles que sean transparentes al usuario y le hagan percibir el ahorro de tiempo.

• La facilidad de acceso. La e-Administración debe estar preparada para acceder a ella a través de múltiples canales: in-situ, a través de un ordenador portátil, una tablet, un smartphone, etc. Cada vez más los usuarios se relacionan entre ellos y con las empresas a través de sus teléfonos móviles, por tanto, no tiene sentido limitar el acceso a ciertos dispositivos o a determinados sistemas operativos.

• Cumplimiento del ENS. Por descontado, cualquier proyecto de e-Administración llevará implícito el cumplimiento del Esquema Nacional de Seguridad a fin de garantizar a los usuarios la seguridad de los servicios públicos y de la información de los ciudadanos gestionada por ellos. La razón de ser del ENS es precisamente asegurar los servicios públicos prestados o que se apoyen en medios electrónicos. Para ello aporta, entre otras muchas ventajas, una gestión de riesgos, la prevención y la recuperación ante desastres y un compromiso de evaluación y mejora continua de los procedimientos y medidas de seguridad implantadas en la organización.

Como hemos podido ver, la implantación de un modelo de e-Administración no es simplemente dotarse de una estructura con recursos técnicos, sino que se requiere asumir el cambio de escenario que representa y saber adecuarse plenamente a esta nueva situación que la ciudadanía demanda.

La seguridad informática y la protección de datos son dos ejes clave para el buen funcionamiento de la contratación electrónica, obligada a partir del próximo 9 de marzo por la ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Sin embargo, para los expertos en Derecho de las nuevas tecnologías, la regulación al respecto es dispersa, como han explicado en el III Congreso Nacional de Contratación Pública Electrónica que finalizaba hoy mismo, Carlos Galán Pascual (doctor en Informática y abogado especialista en Derecho de las TIC), Jorge Fontevila Antolín (jefe de Asesoría Jurídica de la Consejería de Presidencia y Justicia del Gobierno de Cantabria) y Rubén Martínez Gutiérrez (profesor titular de Derecho Administrativo en la Universidad de Alicante).

A juicio de Fondevila, la ley 9/2017 es «asistemática en los contenidos de seguridad, no incluye referencias sobre aspectos como el archivo electrónico o la firma de empleados públicos y tampoco al Esquema Nacional de Seguridad que se aplica a todas las administraciones públicas».

Así lo expresa el profesor Martínez Gutiérrez: «es un error adentrarnos en la Smart City sin tener la administración electrónica y la contratación pública electrónica implantadas porque seguramente se infringen los principios de seguridad».

Sin embargo, las tasas de cumplimiento del Esquema Nacional de Seguridad (ENS) son altas: «casi el 70% de las entidades públicas recogidas en el Informe Nacional del Estado de la Seguridad (INES) están cumpliendo con los requerimientos del ENS», afirma Carlos Galán. No obstante, no solo debe cumplirse con las disposiciones del ENS, sino también evidenciarse mediante la Certificación de Conformidad expedida por una entidad de certificación acreditada.

La seguridad informática y la contratación pública electrónica son indisolubles, ya que cuando hablamos de procesos de contratación pública, además de regirse éstos por la LCSP, también deben regirse por el ENS, como dispone la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Dicha resolución en su apartado VII señala que cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos exigidos para las entidades públicas.

En relación a la confidencialidad y protección de datos, llama la atención el artículo 133.2 LCSP que señala: «El contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantºendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que los pliegos o el contrato establezcan un plazo mayor que, en todo caso, deberá ser definido y limitado en el tiempo».

La mayoría de normas de seguridad señalan un deber de secreto permanente que perdura incluso después de finalizar la relación contractual. Luego será responsabilidad de cada Administración pública que contrate, establecer en los pliegos o en el contrato particular un plazo mayor de los cinco años establecidos por defecto en la LCSP. Aunque deba limitarse en el tiempo, según el referido artículo, nada impide establecer el deber de secreto en, por ejemplo, 100 años.

Las ciberamenazas no son algo que se centra en el sector privado, sino que las Administraciones públicas también están sujetas a estos riesgos.

A modo de ejemplo, el Equipo de Respuesta de Ciberincidentes del Centro Criptológico Nacional (CCN-CERT) gestionó en el año 2016 un total de 20.940 ciberincidentes, detectados principalmente en el sector público y en empresas consideradas de interés estratégico para España, lo que supone un 14,5% más que en 2015. De ellos, el 3,6% fueron considerados por el equipo de expertos del CERT Gubernamental Nacional como muy altos o críticos, en función del grado de peligrosidad determinado por el tipo de amenaza, origen del atacante, perfil del atacado, número o tipología de los sistemas afectados, impacto…

La Administración pública, debido a sus competencias, es gestora de un gran volumen de datos, en muchos casos críticos, y con afectación a toda la ciudadanía dentro de sus competencias. Esa realidad la convierte en el blanco perfecto para ciberdelincuentes organizados, siendo la elaboración y desarrollo de políticas de seguridad bien dimensionadas el escudo ideal para evitar estas amenazas. Para crear una política de seguridad adecuada, es fundamental conocer cuáles son los principales riesgos a los que están sujetas las AAPP. Veamos algunos de ellos:

• PUESTO DE TRABAJO. Las principales fugas de seguridad se podrían evitar si el puesto de trabajo del funcionario, o personal laboral colaborador, estuviera bloqueado al abandonar temporalmente el puesto, estuviese fuera del acceso de terceros sin autorización o si no tuviera a disposición de otros documentos con información sensible como correos, contraseñas, etc.

• DISPOSITIVOS. El departamento de IT de las AAPP tiene que determinar cuáles son los requerimientos en materia de dispositivos móviles que requieren los usuarios y establecer normativa, configuraciones, modelos y bloqueos adecuados. No se debe permitir a los usuarios que puedan instalar aplicaciones que no tengan el visto bueno de los responsables de seguridad.

• USO DE EQUIPOS NO CORPORATIVOS. Cualquier uso y acceso a la información ha de realizarse siempre desde dispositivos controlados y nunca desde equipos públicos o particulares del empleado público. En caso de acceder a correo o información corporativa desde un equipo particular, nunca hay que descargar información.

• FUGAS DE INFORMACIÓN. La información más débil es la que se encuentra en soporte papel. No es conveniente desechar documentación en los contenedores de la vía pública, por lo que lo ideal sería destruirla con algún medio mecánico o suscribir un acuerdo con una organización certificada para la destrucción confidencial de documentos. Hay que confirmar siempre si el receptor de la información que vamos a enviar o trasladar, es el propietario o interesado para la misma. Nunca hay que facilitar información si no podemos confirmar quién la va a recibir. Esto es aplicable a información digital o en papel.

• GESTIÓN DE CREDENCIALES. Las políticas de acceso a la información siempre tienen que venir acompañadas de la validación de las credenciales como usuario y su contraseña. Para determinados sistemas será necesario un doble factor de autenticación basado, por ejemplo, en algo que se sabe (una contraseña) y algo que se tiene (un SMS, un token, un certificado digital, etc.). Las contraseñas deberán actualizarse de forma periódica y nunca estar en lugares visibles donde un tercero no interesado, puede tener acceso, según procedimientos y normativa interna claros, por escrito y dados a conocer.

• PROTECCIÓN DEL PERÍMETRO. El acceso a los servicios vía web, debería limitarse a aquellos que son necesarios para el puesto de trabajo y la labor del empleado público. Firewalls, servidores proxy, filtros de contenido y dispositivos IPS/IDS ayudarán técnicamente a proteger la red interna

• CORREO ELECTRÓNICO. Cualquier correo que se reciba sin que se pueda certificar el origen o a su emisor, debe ser eliminado. Por tanto, cualquier correo sospechoso tiene que ser eliminado para evitar el acceso de virus y otro malware. Se ha de evitar participar en cadenas de correos que puedan tener como fin, recopilar datos de otros usuarios. Antes de enviar información adjunta por correo electrónico fuera del perímetro, se deben eliminar los metadatos que no sean necesarios y cifrarla si corresponde a su clasificación.

• CONTINUIDAD DE LA INFORMACIÓN. Elaborar y seguir una política de backups es fundamental para la seguridad de las AAPP. El departamento de IT debe establecer políticas de salvaguarda de la información que garanticen que toda la información se copie y pueda ser recuperada en un plazo de tiempo suficiente según se ha estudiado previamente en un BIA o análisis de impacto para los diferentes servicios públicos prestados a la ciudadanía. Si la implementación práctica será mediante replicación a una ubicación remota en tiempo real o mediante un backup en cintas diario, es consecuencia del referido BIA aprobado por los responsables de los servicios y la información que estos tratan.

• COMUNICACIONES SEGURAS. Cuando sea necesario enviar información fuera del centro de trabajo, este traslado tendrá que realizarse de forma segura, cifrando la información si viaja en dispositivos extraíbles o asegurando el canal, mediante VPN o https, si lo hace a través de internet.

• SEGURIDAD PERSONAL. La principal garantía para la seguridad de una organización, son sus usuarios. Por tanto, estos tendrán que estar formados y concienciados de modo que estén preparados para detectar cualquier evento que crean que pueda poner en riesgo la seguridad de la información de su departamento o de la AAPP, notificando inmediatamente la incidencia a través de los canales y protocolos establecidos.

A este decálogo podríamos añadir muchas más medidas de protección hasta alcanzar las 75 que determina el Esquema Nacional de Seguridad (ENS), siendo éste un marco normativo obligatorio que persigue asegurar los servicios prestados por las Administraciones públicas y los datos que trata. Para mayor garantía de los ciudadanos, se requiere una certificación acreditada que, una vez obtenida se mostrará en la página Web del organismo que la ha obtenido en forma de sello que enlaza con el certificado acreditativo correspondiente.

Para terminar, únicamente poner de manifiesto que gran parte de los riesgos a los que está sometida una AAPP, se pueden evitar con el conocimiento básico de seguridad alcanzado por los usuarios, y sus buenas prácticas a la hora de llevar a cabo su trabajo diario, apoyados por los mecanismos de seguridad y monitorización de TI. Tan importante es la tecnología de seguridad como el factor humano. En consecuencia, podemos concluir que la seguridad es cosa de todos y, en el caso de la Administración pública, para todos.