El «hackeo» al SEPE empuja al Gobierno a implementar un gran Plan de Choque de Ciberseguridad

El «hackeo» sufrido por el Servicio Estatal de Empleo (SEPE), que fue pirateado con Ryuk, un conocido ransomware y una de las mayores amenazas para empresas y Administraciones públicas de todo el planeta, ha dejado marcado al Gobierno.

El SEPE quedó paralizado durante varios días. No debía haber ocurrido.

En España se había hecho sentir en el Ayuntamiento de Jerez y en la compañía Prosegur. Su entrada en los sistemas es muy simple. Basta con que un empleado pinche un correo malicioso y que los sistemas no estén debidamente protegidos.

Por eso el Consejo de Ministros aprobó el pasado martes la implementación de una paquete de medidas urgentes en materia de ciberseguridad para mejorar las capacidades de defensa virtual del sector público y las entidades que suministran tecnologías y servicios al mismo.

Entre las medidas, se encuentra la adopción de un Plan de Choque de Ciberseguridad y la actualización del Esquema Nacional de Seguridad.

Para Francisco Pérez Bes, socio de derecho digital de Ecix Group y ex secretario general de INCIBE, Alejandra Frías López , magistrada y exvocal del Consejo Nacional de Ciberseguridad y  Pablo García Mexía, director del Área Derecho digital del despacho Herbert Smith Freehills las medidas tomadas son importantes y van en la buena dirección, aunque no hay unanimidad.

Enumeración de los aspectos del Plan de Choque de Ciberseguridad.

TRES ELEMENTOS FUNDAMENTALES

“Sin conocer a fondo el contenido del plan, parece que el enfoque ejecutivo que se le va a dar va a diferencias entre inversión tecnológica, por un lado, y medidas regulatorias y de cultura en ciberseguridad por otro, y se basará en tres elementos fundamentales”, explica Pérez Bes.

El primero “en un aumento de la inversión pública en mejores infraestructuras tecnológicas y en medidas de prevención y reacción ante incidentes de ciberseguridad”.

Fruto de ella será “la implantación de un centro específico de operación de ciberseguridad de la Administración General del Estado y sus organismos públicos (COCS) que sirva para reforzar las capacidades del CCN-CERT en lo que tiene que ver con la gestión de la ciberseguridad en el sector público”.

El segundo elemento “la importancia del comúnmente conocido como ‘third party compliance’ [cumplimiento de terceros], que consiste en la exigencia a los proveedores de la Administración pública del cumplimiento de un nivel mínimo de seguridad en sus sistemas”.

“Sin embargo, esta exigencia ya venía recogida en la normativa aplicable, tanto en el propio Esquema Nacional de Seguridad (ENS) que, recordemos, es de obligado cumplimiento para toda Administración pública, como dice la Disposición adicional primera de la Ley Orgánica de Protección de Datos de 2018”.

“Este punto debe servir, también, como impulso para que las empresas privadas -especialmente las que son proveedoras del sector público- sigan reforzando sus niveles de seguridad de sus redes y sistemas de información, a la vez que exigen a sus propios proveedores el cumplimiento de la normativa aplicable», añade.

Francisco Pérez, socio de derecho digital de EcixGroup.

Para este experto “el objeto del ENS sigue totalmente vigente a día de hoy, y su enfoque en base a aproximación a riesgos, abordar la seguridad como proceso integra, o la mejora continua, son aspectos que siguen siendo plenamente aplicables”.

“Cabe concluir que es fundamental para cualquier compañía el auditar la seguridad de sus sistemas y certificar sus procesos internos -o prepararlos para obtener la certificación- en base a esquemas de certificación reconocidos, como puedan ser el ENS o la ISO 27001”, advierte.

“Finalmente, el Plan anunciado pretende fomentar la cultura de ciberseguridad dentro de todos los ámbitos, aunque en esa misma reunión del Consejo de Ministros también se aprobó el Plan Integral de Cultura en Seguridad Nacional”.

Esa iniciativa a seguro va a servir como impulso para lograr el objetivo de fomentar la sensibilización y concienciación en todo lo relacionado con la ciberseguridad nacional, que -no olvidemos- es un objetivo que ya viene recogido en la Estrategia Nacional de Ciberseguridad aprobada en el año 2019”.

En este contexto, destaca “el papel fundamental que viene desarrollando el Departamento de Seguridad Nacional, quien desde hace tiempo lidera y coordina con éxito numerosas actuaciones dirigidas a cumplir con los objetivos marcados en la citada Estrategia”.

UNA POLÍTICA REACTIVA DE URGENCIA

Alejandra Frías López cree que este plan de choque de ciberseguridad surge a raíz de la ola de ciberataques que se ha sufrido el país recientemente. Es un plan hecho con cierta urgencia por esta tesitura. No puede olvidarse que los ciberataques que recibió el SEPE tuvieron lugar en el mes de marzo.

Esta experta recuerda que “desde esos incidentes hasta la aprobación del plan de choque solo han transcurrido dos meses “junto con este plan se pone en marcha, también con carácter urgente, la elaboración de una nueva norma que sustituye  al Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica”.

“Hay que señalar que fue objeto de modificación en el año 2015 (por el Real Decreto 951/2015). Ante los recientes ciberataques se impulsa, con carácter urgente, la modificación o sustitución de este marco regulatorio”, añade

Para esta jurista, “una de las críticas que podemos formular, siempre con carácter constructivo, es que permanentemente avanzamos con urgencia cuando y hay actuaciones que probablemente requerirían mayor sosiego y reflexión. No parece adecuado legislar con tanta urgencia”.

De lo aprobado, cree que las medidas están en línea con actuaciones que ya se venían realizando desde hace tiempo.

“No hay nada especialmente novedoso y puede afirmarse que estas medidas van en línea con la Estrategia Digital europea aprobada en febrero del 2020 y con el programa Europa Digital  2021-27 que tiene cinco ejes fundamentales, uno de ellos centrado en la ciberseguridad”, subraya.

La magistrada Alejandra Frías, exvocal del Consejo Nacional de Ciberseguridad.

También destaca que “parte de los componentes de este plan entran dentro del desarrollo eje de ciberseguridad del programa Europa Digital 2021/27. Además, este Plan de choque está vinculado al Plan de Recuperación, Transformación y Resiliencia”.

Para Frías “desde el punto de vista práctico es bastante aplicable. Por ejemplo, ha de alabarse cuando se habla del componente 11 del Plan de Recuperación, en el que se afirma que se quieren conseguir 150.000 empleados públicos formados para el teletrabajo si bien este objetivo resulta loable, creo que sería oportuno que todos los funcionarios estén formados en ciberseguridad como medida básica inicial para evitar que sean la puerta de entrada de cualquier ciberataque y a fraudes”.

Considera que “con el cambio que se está generando en el Estatuto Básico del Empleado Público (EBEP) podría resultar adecuado incluir en esta norma referencia expresa a estas competencias digitales. Por ejemplo, dentro de derechos y deberes de los funcionarios, ya que no cabe duda de que esta formación en ciberseguridad ha de formar parte del derecho a la formación continua y a la actualización permanente de los conocimientos y capacidades profesionales, y dentro de los deberes habría de incorporarse referencia a la obligación de los empleados públicos de actuar con arreglo al principio de seguridad”, explica.

LA IMPORTANCIA DE INVERTIR EN CIBERSEGURIDAD

En cuanto a las medidas aprobadas para potenciar la ciberseguridad en nuestro país “hay que darse cuenta que todo tiene que ver con lo que se invierte”.

En la parte preventiva, «podemos afirmar que tiene un muy coste básico en lo que respecta a la formación del personal porque si todos tenemos formación en ciberseguridad, la prevención y la alerta y la posible notificación, en día cero, tras cualquier incidencia o anomalía sospechosa podría evitar consecuencias muy graves”.

Sobre la implementación del Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS), recuerda que “su creación se aprobó en febrero de2019, para prestar servicios horizontales de ciberseguridad para mejorar la vigilancia y la detección de amenazas en los sistemas de la AGE. Aquí ha de ponerse en valor la importante actividad que desarrolla el Centro Criptológico Nacional”.

“Detrás de estos últimos ciberataques hay Estados y no solo personas físicas. Con la finalidad de hacer frente a estas situaciones se aprobaron el Reglamento UE 2019/796 del Consejo, de 17 de mayo de 2019, de medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros y la Decisión PESC 2019/797, 17 mayo del Consejo relativa a medidas restrictivas contra los ciberataques que amenazan a la Unión o a sus estados miembros”.

Otra crítica al plan de choque es que debe ser más transversal en sus planteamientos ya que en nuestro país. “Seguimos anclados en un modelo que prioriza el enfoque de Seguridad Nacional de la Ciberseguridad, olvidando que, si bien dentro de la Seguridad nacional la ciberseguridad es un eje o componente muy importante, no toda la ciberseguridad es seguridad nacional”.

Una de las críticas al Plan de Choque es que debe ser más transversal en sus planteamientos ya que en nuestro país.

CIBERATAQUES Y PANDEMIA

Por su parte, Pablo García Mexía destaca que “la intensificación de los ciberataques se ha acentuado de la mano de la mayor dependencia general de las tecnologías digitales a raíz de la pandemia”.

“De ahí estas medidas que se toman, dos de estos bloques de medidas se engarzan en el Plan de Recuperación, Transformación y Resiliencia que se financiará con fondos europeos”.

“El primero de ellos es el llamado Plan de Choque de Ciberseguridad. Las medidas que incluye me parecen tan imprescindibles como previsibles, en los tres planos previstos de prevención, resolución de crisis y recuperación», comenta

De entre ellas, “tres me parecen especialmente destacables: una, la extensión de la aplicación del uso del segundo factor en los procesos de identificación y autenticación, una medida de eficacia preventiva absolutamente contrastada, como acredita su generalización a escala normativa en el plano financiero y su creciente uso en el ámbito empresarial”, indica este experto

Otra cuestión que destaca es “la continuidad de negocio y la recuperación ante desastres, resultarán especialmente novedosas en el sector público, donde hasta ahora las cuestiones de ciberseguridad se han venido circunscribiendo al reducido ámbito de los responsables de sistemas de información; ambas ponen en el centro el hecho de que la ciberseguridad es ya cuestión que atañe, y decisivamente, al conjunto de la organización, empezando por sus máximos responsables”

Una tercera iniciativa, que menciona este jurista es “la concienciación y la formación, sencillamente capital en esta materia, por dos razones: las obvias carencias del personal al respecto (no solo en el ámbito público, por cierto) y el evidente hecho de que una concienciación y formación adecuadas constituyen el mejor antídoto frente al ciberataque”.

Pablo García Mexía es vicepresidente de Internet Society-Capítulo español ISOC-es y «jurista digital».

Sobre la segunda actuación señala que “también se financiará con fondos europeos la implantación del Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS) que operará de un modo centralizado, con vistas a una mejor eficacia y eficiencia”.

Para este jurista esta medida ayudará a simplificar la estructura organizativa de la ciberseguridad en nuestro país”, a la vista de la gran complejidad que hasta ahora viene caracterizándola, con entes responsables encastrados en la Presidencia del Gobierno, diferentes ministerios, y organismos que conjugan a muchos de ellos”.

La tercera actuación de dicho Plan de Choque “es la actualización del Esquema Nacional de Seguridad (ENS), claramente necesaria si tenemos en cuenta las profundas transformaciones en materia digital acaecidas desde su elaboración en 2010”.

Este experto recuerda que “como se sabe, el ENS se aplica directamente a las entidades del sector público; pero indirectamente, también lo hace a las entidades privadas que colaboren en la prestación de servicios públicos”.

A su juicio “vuelve a ser de agradecer que esta actualización vaya a tomar forma, pues es sabido que el ENS se utiliza de hecho por muchas de estas empresas como estándar de cumplimiento de medidas técnicas y organizativas de alto nivel en materia de seguridad de la información, a modo de alternativa a un estándar ISO, por poner un ejemplo”.

También revela en las medidas aprobadas que “finalmente, se promoverá e incentivará el refuerzo de la seguridad de la información entre las empresas. Ya se ha mencionado la razón que sobradamente justifica esta medida en lo que se refiere a los suministradores públicos”.

Noticias Relacionadas:

Francisco Pérez Bes: «Los procuradores, por su posición estratégica en la cadena de gestión, deben implementar medidas de seguridad adecuadas a ese riesgo»

La Justicia absuelve a una mujer a la que suplantaron su dirección IP para estafar más de 900 euros a un tercero

El Gobierno indulta, siguiendo la tradición, a seis personas con penas inferiores a 4 años por Semana Santa

La FTC prohíbe las cláusulas de no competencia a empleados para impulsar la competencia y la innovación

Manos Limpias recuerda que es el juez el que decide si las informaciones contra Begoña Gómez son ciertas

¿Qué escenarios se pueden dar ante la decisión de Pedro Sánchez de continuar o no al frente del Ejecutivo?