Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Ciberseguridad en la Administración local: un desafío legal y tecnológico

Ciberseguridad en la Administración local: un desafío legal y tecnológico
Carlos Franco aborda en su columna la ciberseguridad en la Administración local, un frente que no está bien defendido.
28/10/2023 06:30
|
Actualizado: 27/10/2023 23:28
|

En esta noticia se habla de:

La Administración local es la más cercana a la ciudadanía y la que presta servicios esenciales para el bienestar de los habitantes.

Sin embargo, también es la más vulnerable a los ciberataques, que pueden poner en riesgo la seguridad, la privacidad y la confianza de los ciudadanos, así como el funcionamiento de las infraestructuras críticas.

Los ciberataques a las entidades locales han aumentado en los últimos años, aprovechando las debilidades de sus sistemas de información y comunicación.

Algunos ejemplos son el «ransomware» que afectó al Ayuntamiento de Jerez de la Frontera en 2019, el ataque DDoS que colapsó la web de diversos Ayuntamientos de la provincia de Barcelona en 2020 o el «phishing» que comprometió las cuentas de correo del Ayuntamiento de Madrid en 2021.

Ante esta situación, la Administración local debe afrontar el reto de mejorar su ciberseguridad, tanto desde el punto de vista legal como tecnológico.

Por un lado, debe cumplir con el marco normativo vigente, que establece las obligaciones y responsabilidades de las entidades públicas en materia de seguridad de la información. Por otro lado, debe adoptar medidas técnicas y organizativas para prevenir, detectar y responder a los incidentes cibernéticos.

El marco normativo de la ciberseguridad en la Administración local

El principal referente legal para la ciberseguridad en la administración local es el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo.

El ENS tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de las Administraciones Públicas, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

El Esquema Nacional de Interoperabilidad comprende el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.

En este sentido, el ENS es de obligado cumplimiento para todas las entidades locales, independientemente de su tamaño o nivel de desarrollo tecnológico.

El ENS establece una serie de principios básicos que deben ser observados por las entidades locales, entre los que se destacan los siguientes:

a) Seguridad como proceso integral.

b) Gestión de la seguridad basada en los riesgos.

c) Prevención, detección, respuesta y conservación.

d) Existencia de líneas de defensa.

e) Vigilancia continua.

f) Reevaluación periódica.

g) Diferenciación de responsabilidades.

El ENS se complementa con otras normas legales que también inciden en la ciberseguridad de la administración local española:

a) La Ley 39/2015, de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas, que, entre otras cuestiones, regula el derecho y la obligación de relacionarse electrónicamente con las administraciones públicas.

b) La Ley 40/2015, de 1 de octubre del Régimen Jurídico del Sector Público, que establece los principios generales del funcionamiento electrónico del sector público.

c) El Reglamento General de Protección de Datos (RGPD), que regula el tratamiento y la protección de datos personales por parte de las entidades públicas y privadas.

d) La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que adapta el RGPD al ordenamiento jurídico español y reconoce nuevos derechos digitales a los ciudadanos.

Además de cumplir con el marco normativo, la Administración local debe implementar a través de la potestad reglamentaria atribuida legalmente, las medidas técnicas y organizativas que le permitan mejorar su ciberseguridad.

Estas medidas deben basarse en estándares, buenas prácticas y recomendaciones reconocidas internacionalmente, como las que ofrece el Centro Criptológico Nacional, el organismo encargado de la seguridad de las tecnologías de la información y las comunicaciones en el ámbito de la administración pública española.

Entre las medidas técnicas que debe adoptar la administración local se encuentran las siguientes:

• Utilizar sistemas operativos, aplicaciones y dispositivos actualizados y con los parches de seguridad correspondientes.

• Instalar soluciones de seguridad como antivirus, cortafuegos, cifrado, copias de seguridad, etc.

• Configurar los sistemas y redes con criterios de seguridad, evitando los servicios innecesarios o inseguros.

• Segmentar las redes y aislar los sistemas críticos o sensibles.

• Controlar el acceso físico y lógico a los recursos e información, mediante sistemas de autenticación, autorización y registro.

• Proteger las comunicaciones electrónicas mediante protocolos seguros y certificados digitales.

• Realizar pruebas de seguridad periódicas para detectar vulnerabilidades o anomalías.

• Entre las medidas organizativas que debe adoptar la administración local se encuentran las siguientes:

• Definir una estrategia y una política de ciberseguridad que establezca los objetivos, los roles y las responsabilidades en esta materia.

• Crear un comité o equipo de ciberseguridad que coordine y supervise las acciones y proyectos relacionados con la seguridad.

• Establecer un plan de contingencia y continuidad que defina los procedimientos a seguir en caso de un incidente o una emergencia.

• Establecer un protocolo de respuesta a incidentes que defina las fases, las tareas y los responsables de gestionar un incidente cibernético.

• Establecer alianzas y colaboraciones con otras entidades locales, regionales, nacionales o internacionales para compartir información, recursos y experiencias en materia de ciberseguridad.

• Sensibilizar y formar al personal y a los usuarios sobre la importancia de la ciberseguridad y las buenas prácticas a seguir.

¿Cómo se puede mejorar la ciberseguridad en las pequeñas entidades locales?

Para mejorar la ciberseguridad en las pequeñas entidades locales, se pueden seguir algunas recomendaciones basadas en el Prontuario de ciberseguridad para entidades locales elaborado por el Centro Criptológico Nacional (CCN) y la Federación Española de Municipios y Provincias (FEMP). Algunas de estas recomendaciones son:

• Realizar un análisis de riesgos para identificar y valorar las amenazas y vulnerabilidades que afectan a los sistemas e información de la entidad local.

• Aplicar medidas de seguridad proporcionales al nivel de riesgo asumido y al impacto potencial de un incidente.

• Designar un responsable de seguridad que coordine y supervise las actuaciones en materia de seguridad.

• Elaborar un plan de seguridad que recoja las políticas, procedimientos y controles a seguir para garantizar la seguridad.

• Implantar un sistema de gestión de seguridad que permita monitorizar, auditar y mejorar continuamente el nivel de seguridad.

• Notificar al CCN cualquier incidente que afecte a la seguridad o al funcionamiento normal de los servicios.

• Formar y concienciar al personal y a los usuarios sobre las buenas prácticas y normas de seguridad.

• Utilizar sistemas operativos, aplicaciones y dispositivos actualizados y con los parches de seguridad correspondientes.

• Instalar soluciones de seguridad como antivirus, cortafuegos, cifrado, copias de seguridad, etc.

• Configurar los sistemas y redes con criterios de seguridad, evitando los servicios innecesarios o inseguros.

• Segmentar las redes y aislar los sistemas críticos o sensibles.

• Controlar el acceso físico y lógico a los recursos e información, mediante sistemas de autenticación, autorización y registro.

• Proteger las comunicaciones electrónicas mediante protocolos seguros y certificados digitales.

• Realizar pruebas de seguridad periódicas para detectar vulnerabilidades o anomalías.

• Establecer un plan de contingencia y continuidad que defina los procedimientos a seguir en caso de un incidente o una emergencia.

• Establecer un protocolo de respuesta a incidentes que defina las fases, las tareas y los responsables de gestionar un incidente cibernético.

• Establecer alianzas y colaboraciones con otras entidades locales, regionales, nacionales o internacionales para compartir información, recursos y experiencias en materia de ciberseguridad.

¿Qué es el Prontuario de ciberseguridad para entidades locales?

El Prontuario de ciberseguridad para entidades locales es un documento elaborado por el Centro Criptológico Nacional (CCN) y la Federación Española de Municipios y Provincias (FEMP) que tiene como objetivo servir de guía de referencia para la protección de las infraestructuras y sistemas de información de los ayuntamientos, diputaciones y cabildos españoles.

El documento aborda la gestión de la ciberseguridad a nivel local y el cumplimiento del Esquema Nacional de Seguridad (ENS), que es el marco normativo que regula la seguridad de la información en el uso de medios electrónicos por parte de las administraciones públicas.

El documento incluye un capítulo dedicado a la problemática de la ciberseguridad a nivel local, donde se analizan los riesgos y amenazas que emanan del ciberespacio. A continuación, se detallan los requisitos y responsabilidades necesarios para el cumplimiento del ENS en este tipo de entidades, así como los órganos y medidas para la gestión de la ciberseguridad. Finalmente, se aborda la prestación de servicios externos y su adecuación al ENS.

El Prontuario de ciberseguridad para entidades locales pretende mostrar de manera clara y concisa a los responsables de las entidades locales la realidad de la ciberseguridad y las garantías que ofrece el ENS, así como esbozar un catálogo de buenas prácticas y recomendaciones para mejorar la seguridad de la información tratada y los servicios prestados.

Otras Columnas por Carlos Franco:
Opinión | Situación actual de los «Exchange Trade Funds» de «Bitcoin» en Estados Unidos
Opinión | Implicaciones éticas y legales de los videos ultrarrealistas creados por IA: Un estudio sobre Sora de OpenAI
Opinión | El rol de la Inteligencia Artificial en la propiedad intelectual: análisis del caso Thaler en el Supremo inglés
Opinión | El impacto transformador de la Inteligencia Artificial en la práctica legal: una revolución digital en marcha
30 beneficios de la identidad digital europea para los ciudadanos, empresas y Administraciones Públicas
Objetivos y riesgos de la identidad digital europea
Últimas Firmas
  • Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
    Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito