Escasez de certificaciones en los Ayuntamientos
A finales de año, pudimos ver como cinco Ayuntamientos obtenían la certificación de conformidad al Esquema Nacional de Seguridad de acuerdo a lo establecido con el modelo µCeENS – Guía CCN-STIC 890 y esto ha sorprendido a propios y extraños.
Lo cierto es que no debería llamarnos la atención que un Ayuntamiento consiga la certificación en el ENS, puesto que debemos recordar que es un requisito legal obligatorio cuyo objetivo es facilitar a los ciudadanos el uso de los medios electrónicos para interactuar con la Administración Pública de una manera segura y sin embargo, fue una noticia muy comentada ya que estas certificaciones tiene un carácter excepcional, debido a que no es una práctica habitual que un ayuntamiento consiga dicha certificación.
Esta excepción es debida en gran medida a la ausencia de un procedimiento sancionador para aquellas administraciones que no cumplen con la legislación vigente en materia de seguridad; pero, más allá de cumplir porque lo exige una ley o por evitar sanciones, ¿Qué beneficios obtiene una administración pública cumpliendo con el ENS?
Sin duda, uno de los beneficios principales es la implantación de un Sistema de Gestión de Seguridad de la Información basado en el ENS, que permita a la entidad funcionar de una manera más segura y eficaz, con lo que todas las dimensiones de seguridad afectadas se ven reforzadas. Esto beneficia por un lado en la calidad de los servicios recibidos por el ciudadano, y por otro lado, en la seguridad del trabajo diario de funcionarios y empleados.
La implantación de un Sistema de Gestión de Seguridad de la Información beneficia igualmente al personal técnico, permitiendo un salto cualitativo en su forma de trabajar, procedimentando sus tareas rutinarias, permitiendo gestionar un workflow de actividades y creando un proceso de autorización que exija que ciertas actividades requieran de una autorización previa.
Una de las actividades que exige el ENS es realizar un análisis de riesgos. Esta tarea que puede preverse como complicada, no es más que un estudio meditado de las incidencias que pueden producirse en el ayuntamiento que puedan provocar un daño, y cómo de forma preventiva la entidad puede acometer acciones que eviten dichas situaciones.
Estas tareas derivadas de la gestión del riesgo, unidas a las tareas derivadas de la revisión del cumplimiento de las medidas aplicables del Anexo II, definen el plan de mejora de la seguridad, permitiendo a la organización dos cosas: primero, ser conscientes de la situación actual de la seguridad de la organización, y segundo, siendo conocedores de la misma, trazar la estrategia adecuada para empezar a aplicar medidas que redundaran en el beneficio de todos.
Estas actuaciones preventivas además permiten definir objetivos a corto, medio y largo plazo, y en base a ello, definir los presupuestos que se requerirán en años sucesivos.
Al final, necesariamente el ENS conlleva una inversión (que no debemos confundir con gasto) y debe centrarse en tres aspectos: económico, humano y temporal. Aparte de invertir económicamente, la gestión de la seguridad de la información de la entidad debe quedar a cargo de personal cualificado, especializado en la materia. Es algo que parece obvio pero que en ocasiones pasa desapercibido debido a la escasez de recursos, pero ¿acaso una orquesta suena igual sin su director? Y por supuesto, hace falta tiempo: tiempo para concienciar a nuestros empleados, tiempo para implantar los procedimientos, tiempo para valorar y reformular las estrategias de ciberseguridad y como no, madurar en nuestros procesos, tal y como exige y demanda el proceso de mejora continua.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
