La seguridad informática y la protección de datos son dos ejes clave para el buen funcionamiento de la contratación electrónica, obligada a partir del próximo 9 de marzo por la ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP), por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Sin embargo, para los expertos en Derecho de las nuevas tecnologías, la regulación al respecto es dispersa, como han explicado en el III Congreso Nacional de Contratación Pública Electrónica que finalizaba hoy mismo, Carlos Galán Pascual (doctor en Informática y abogado especialista en Derecho de las TIC), Jorge Fontevila Antolín (jefe de Asesoría Jurídica de la Consejería de Presidencia y Justicia del Gobierno de Cantabria) y Rubén Martínez Gutiérrez (profesor titular de Derecho Administrativo en la Universidad de Alicante).

A juicio de Fondevila, la ley 9/2017 es «asistemática en los contenidos de seguridad, no incluye referencias sobre aspectos como el archivo electrónico o la firma de empleados públicos y tampoco al Esquema Nacional de Seguridad que se aplica a todas las administraciones públicas».

Así lo expresa el profesor Martínez Gutiérrez: «es un error adentrarnos en la Smart City sin tener la administración electrónica y la contratación pública electrónica implantadas porque seguramente se infringen los principios de seguridad».

Sin embargo, las tasas de cumplimiento del Esquema Nacional de Seguridad (ENS) son altas: «casi el 70% de las entidades públicas recogidas en el Informe Nacional del Estado de la Seguridad (INES) están cumpliendo con los requerimientos del ENS», afirma Carlos Galán. No obstante, no solo debe cumplirse con las disposiciones del ENS, sino también evidenciarse mediante la Certificación de Conformidad expedida por una entidad de certificación acreditada.

La seguridad informática y la contratación pública electrónica son indisolubles, ya que cuando hablamos de procesos de contratación pública, además de regirse éstos por la LCSP, también deben regirse por el ENS, como dispone la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.

Dicha resolución en su apartado VII señala que cuando los operadores del sector privado presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad deberán estar en condiciones de exhibir la correspondiente Certificación de Conformidad con el ENS, cuando se trate de sistemas de categorías MEDIA o ALTA, utilizando los mismos procedimientos exigidos para las entidades públicas.

En relación a la confidencialidad y protección de datos, llama la atención el artículo 133.2 LCSP que señala: «El contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantºendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que los pliegos o el contrato establezcan un plazo mayor que, en todo caso, deberá ser definido y limitado en el tiempo».

La mayoría de normas de seguridad señalan un deber de secreto permanente que perdura incluso después de finalizar la relación contractual. Luego será responsabilidad de cada Administración pública que contrate, establecer en los pliegos o en el contrato particular un plazo mayor de los cinco años establecidos por defecto en la LCSP. Aunque deba limitarse en el tiempo, según el referido artículo, nada impide establecer el deber de secreto en, por ejemplo, 100 años.

Auditorías para reducir riesgos de seguridad: Cloud Computing

Hasta que el 13 de octubre de 2016 se promulgó por la Secretaría de Estado de Administraciones Públicas la Resolución que obliga a la ITS de Certificación de la Conformidad, los proveedores que querían trabajar con una Administración Pública debían adoptar una serie de medidas de seguridad que, en el mejor de los casos, establecía la administración contratante en el pliego de condiciones de contratación.

Ahora, según dispone la citada Resolución, es obligación de la Administración que contrata exigir en el pliego al futuro adjudicatario que esté en posesión del correspondiente certificado de conformidad con las disposiciones del Esquema Nacional de Seguridad (ENS).

Ya no basta con que el proveedor afirme en la oferta que está en disposición de cumplir determinadas medidas de seguridad en los servicios que se le contratan, sino que debe acreditarlo mediante el correspondiente Certificado de Conformidad con el ENS.

Las auditorías de conformidad son el proceso para garantizar una evaluación precisa del entorno de seguridad del proveedor, de sus controles, de sus procesos y de su efectividad actual para proporcionar productos o prestar servicios al Sector Público.

A través de esta auditoría se pueden identificar vulnerabilidades, y carencias en los controles necesarios para mitigarlas, evidenciando que no han sido tratadas adecuadamente para reducir el riesgo respecto a la seguridad.

Tanto los elementos de tratamiento, como las redes a través de las que circula la información, deberán estar adecuadamente protegidos, asegurándose de que no existen accesos no controlados ni conexiones cuyos riesgos no estén apropiadamente gestionados y supervisados por el proveedor de los servicios.

La protección del cloud computing 

Las empresas prestadoras de servicios de Cloud Computing que trabajen para la Administración han de cuidar especialmente la seguridad. Pero, ¿qué es el Cloud Computing o, como popularmente se le conoce, la Nube? Dicho de una manera sencilla, son los servicios informáticos que se prestan cumpliendo cinco características esenciales simultáneamente: Acceso desde Internet, permitir una rápida elasticidad en la capacidad contratada, servicio medible que permita el “pago por uso”, autoservicio bajo demanda desde un portal y que el proveedor disponga de un amplio “pool de recursos” para satisfacer la demanda de todos sus clientes dando la sensación de capacidad infinita.

Entre los servicios más habituales tenemos: servidores virtuales, bases de datos, almacenamiento, correo electrónico y otras aplicaciones especializadas bajo el modelo de SaaS, etc.

Este tipo de empresas están obligadas a mantener la seguridad de la información en todas sus dimensiones, incidiendo en la integridad, la confidencialidad y la disponibilidad de la misma. Esto es así  debido a que el Cloud Computing es un modelo de entrega de servicios basado en un entorno virtual al que se accede a través de Internet y eso implica que las amenazas sean constantes.

Un mal uso del Cloud Computing, sin las debidas garantías de seguridad por parte del proveedor, y del cliente en su acceso, puede dar lugar a ciberataques por parte de cibercriminales que  tienen en Internet su campo de operaciones. Los interfaces deben diseñarse de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental. Incibe nos da una serie de recomendaciones en este sentido.

Cloud pública, privada e híbrida

Existen tres posibles modelos de despliegue de Cloud,  que en su caso hay que proteger: la pública, la privada y la híbrida.

La Cloud pública se refiere a que el “pool de recursos” del prestador del servicio, es compartido por todos los clientes. En la Cloud privada, ese “pool de recursos” es específico para determinado cliente y no es compartido con nadie más. Una Cloud hibrida es un entorno mixto entre los dos anteriores.

Además existen tres modelos de entrega de servicios por parte del prestador de servicios de Cloud: La Infraestructura como Servicio (IaaS) que consiste, simplificándolo mucho, aprovisionar máquinas virtuales vacías (únicamente con el sistema operativo); La Plataforma como Servicio (PaaS) que consiste en proporcionar adicionalmente a la IaaS herramientas de desarrollo, bases de datos, etc. en un entorno especializado; Y el Software como Servicio (SaaS) que es el acceso a determinadas aplicaciones que corren en la Nube, como es el caso de Gmail.

La infraestructura contratada para trabajar en la nube debe ser segura, ya sea una nube privada o pública, o un servicio SaaS, PaaS o IaaS. Es importante conseguir:

• Seguridad de los componentes: la nube debe estar diseñada por parte del proveedor para ser segura, creada con componentes seguros y certificados, con interfaces sólidas y con procesos de evaluación que creen confianza.
• Debe disponer de un estudiado diseño en las interfaces específicas para los accesos de los clientes, minimizando los riesgos mediante las correspondientes capas de seguridad.
• A medida que las necesidades de un cliente se modifican, el proveedor de servicios debe ofrecer la posibilidad de aumentar o desactivar esos recursos (ancho de banda, procesadores, almacenamiento y memoria en cada máquina virtual, o reducir el número de éstas) según corresponda a los requisitos del cliente.
• Esta gestión del ciclo de vida del servicio debe administrarse con la responsabilidad por parte del proveedor para crear confianza. Por ejemplo, borrando completamente el área de datos ya no requerida por un cliente, de modo que no pueda ser accedida por el nuevo cliente al que se le reasigne ese recurso de almacenamiento del “pool general”.
• El prestador de servicios de Cloud debe garantizar también la portabilidad de los datos, de modo que al finalizar el servicio le sean retornados al cliente en un formato estándar o convenido.

Las soluciones de seguridad pasan por medidas técnicas como la protección de la red virtual, el control de los accesos a los recursos, el aislamiento del software, la protección de datos de forma segura, etc., y otras organizativas y jurídicas como el establecimiento de específicas cláusulas contractuales.

La contratación de servicios de Cloud Computing exige la realización de auditorías de seguridad ordinarias y extraordinarias, tal y como contempla el artículo 34 del ENS. Este artículo exige requisitos específicos sobre los criterios y métodos de trabajo empleados. En este proceso AUDERTIS es la entidad 100% especializada en el Esquema de Seguridad que ofrece un  proceso independiente y riguroso que transmite la máxima confianza.