No se preocupe el lector, que no se ha equivocado de revista ni de sección. Está leyendo la sección Futuro y Seguridad de Tecnología y Sentido Común. Sin embargo, la analogía de los barcos, los capitanes y el mar embravecido es perfectamente válida para explicar la situación en la que se encuentran muchas de las Administraciones Locales en España en lo referente a la Ciberseguridad. La analizamos en este artículo.
En mí es habitual mantener cierto contacto con profesionales TIC de las Administraciones Locales, pero recientemente he podido compartir más tiempo con un grupo de estos profesionales gracias a una formación en la que he participado. Y pese a que no me han sorprendido en absoluto los comentarios que estas personas han realizado sobre la situación de la Ciberseguridad en sus entidades, sí que he podido constatar que, pese a que su nivel de concienciación al respecto es muy alto, no consiguen que esta cuestión ‘cale’ en las capas directivas de las mismas, esto es, el personal electo y los funcionarios habilitados de carácter nacional, más concretamente, los que ejercen las funciones de secretaría general.
Con un Esquema Nacional de Seguridad (ENS), de obligatoria aplicación desde 2010 para todas las Administraciones Públicas, muchas de éstas aún están pendientes de realizar las más básicas adaptaciones que el ENS exige: Y no me refiero a las adaptaciones tecnológicas, ya que el personal al cargo se esfuerza diariamente en ello, sino sobre todo, a aquellas cuestiones que tienen que ver con las cuestiones organizativas. Sin ir más lejos, es patente la falta de una Política de Seguridad de la Información, exigida por el artículo 12, y que ha de definir aspectos tales como los objetivos o misión de la organización, el marco regulatorio en el que se desarrollará sus actividades, los roles o funciones de seguridad, con sus deberes y responsabilidades, la estructura y composición del comité para la gestión y coordinación de la seguridad, las directrices para la estructuración de la documentación de seguridad del sistema, o los riesgos que se derivan del tratamiento de los datos personales.
Este documento parece relativamente sencillo de elaborar, pero los comentarios que recibí de los profesionales TIC eran, mayoritariamente, de que la dificultad para aprobar y publicar una Política de Seguridad radicaba, en su caso, en la negativa de las capas directivas de la entidad local a asumir las responsabilidades que los roles definidos en el artículo 13 del ENS, que son los roles de responsable de la información, responsable del servicio, responsable de sistemas y responsable de seguridad. Éste último rol, por la experiencia vivida, suele ser el más complicado de asignar a alguno de los puestos de la entidad local, ya que parece que tiene una elevada componente tecnológica.
Esta dificultad no es más que la postrera demostración de la desidia o dejadez de la mayoría de directivos de la Administración Local, sean funcionarios o políticos, en cuestiones relacionadas con la ciberseguridad. Y ello, pese a que ya hace un tiempo la Federación Española de Municipios y Provincias, junto al Centro Criptológico Nacional, elaboró un estupendo documento, el “Prontuario de Ciberseguridad para Entidades Locales”, actualizado en diciembre de 2022 con los cambios de la nueva versión del ENS, y en el cual, en resumen, se indica que la máxima responsabilidad de la ciberseguridad de la entidad local es de la persona que ostenta la Alcaldía (o Presidencia de Diputación o Mancomunidad). Sin embargo, el prontuario también asigna responsabilidades a otros órganos o personas del municipio, especialmente, a los funcionarios habilitados de carácter nacional. En un estupendo resumen que se incluye como anexo al Prontuario, se detallan con claridad estas responsabilidades.
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.