sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Administración electrónica y ciberseguridad

¿Está la e-Administración preparada para las nuevas ciberamenazas? 24/01/2017 - Antonio García Navajas,consultor del Departamento de Ciberseguridad de Eulen Seguridad
En el presente artículo analizamos el nuevo marco jurídico y tecnológico que, en el contexto de la Sociedad de la Información y el Conocimiento, obliga a la Administración Pública española a acometer, de manera decisiva y perentoria, una transformación profunda. A continuación, se exponen las principales claves de este escenario.

1. De la transformación de la Administración Pública y de la imposibilidad de escapar.

Esta transformación consiste fundamentalmente en la adopción de un formato electrónico de su modelo de gestión, de los medios para realizar dicha gestión y de los canales por los que relacionarse con los ciudadanos, empresas y otras administraciones que, por supuesto, también supone innovaciones organizativas y nuevas aptitudes. A su vez, este formato electrónico impone nuevos requisitos de seguridad de la información que el nuevo entorno de riesgos sobre dicha seguridad exige.

Respecto de esta reconversión hacia la administración electrónica (e-Administración), conviene aclarar que no es un requisito nuevo de las más recientes disposiciones legislativas que analizaremos (como tampoco la Sociedad de la Información y el Conocimiento es algo reciente), sino que viene impulsada, desde hace ya bastantes años, por anteriores disposiciones a las que les faltó cierto rigor a la hora de establecer, de forma ineludible, la obligatoriedad de acometer los cambios que proyectaban.

La Sociedad de la Información y el Conocimiento tiene una dinámica de innovación y cambio social cada vez más rápido, que plantea nuevos retos en las relaciones sociales, con las subsiguientes necesidades regulatorias para dar respuesta formal, normalizada y con medios organizativos y tecnológicos adaptados a las circunstancias y condiciones de dichos retos.

Es razonable reconocer la verdad del dicho de que “la sociedad va siempre por delante de las leyes”. Y puede que, por ello, en España comprobemos con alguna frecuencia (más allá de lo razonable) la existencia en la Administración Pública de una cierta cultura de “obligación con salvedades”1, cuando ésta se dota de avanzadas leyes que pretenden dar respuesta a las nuevas demandas que el rápido cambio social plantea. Esta respuesta, en algunos casos como el que vamos a abordar en el presente artículo, exige la propia reconfiguración de la Administración.

Por ello, lo realmente nuevo y relevante de esta reforma legislativa es que los cambios necesarios que exige son ineludibles. En contraste con anteriores disposiciones regulatorias de la e-Administración, ahora, como bien dice Víctor Almonacid, “no hay puertas traseras o excepciones”2, “de la nueva Ley de Procedimiento Administrativo no es posible escapar”3.

2. El nuevo marco jurídico de la e-Administración y de la ciberseguridad pública.

Hace poco más de un año (mes de octubre de 2015) se aprobaron una serie de disposiciones legislativas de gran relevancia en dos ámbitos que están inherentemente relacionados, como son la administración electrónica y la ciberseguridad pública. Dichas disposiciones tienen antecedentes, de los que provienen, a los que derogan o que modifican. Para la mejor comprensión de las relaciones entre las disposiciones que tratamos en este artículo, pueden ver el cuadro que aparece en estas páginas.

Las leyes que se aprobaron en el mes de octubre de 2015 fueron, por parte de la e-Administración, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC) y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJ).

En relación con la ciberseguridad pública, se aprobó el Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

ciber_eulen

Las dos primeras leyes citadas, la LPAC y la LRJ, dimanan de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común que, con la promulgación de la LPAC, es derogada.

Este nuevo ordenamiento jurídico, proveniente de un único referente anterior, establece dos entornos diferenciados que constituyen los cimientos sobre los que se asentará el Derecho administrativo español. Ambos entornos regulan cómo se organizan y relacionan las administraciones, tanto externamente (ad extra), con los ciudadanos y empresas (LPAC), como internamente (ad intra) y con el resto de administraciones e instituciones del Estado (LRJ). En estas relaciones primará de manera casi absoluta el carácter electrónico.

Por lo tanto, ambas leyes tratan aspectos de la e-Administración desde su respectivo contexto. La LPAC incorpora como una de sus principales novedades la regulación de la e-Administración, si bien lo que hace es recoger e ir un paso más adelante respecto de lo regulado en esta materia por la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, a la cual deroga).

Dicha LAECSP instauraba el nuevo entorno de la e-Administración como el ámbito por el cual los ciudadanos podían ejercer su derecho a comunicarse con las administraciones públicas por medios electrónicos, obligando correlativamente a éstas a dotarse de los medios y sistemas electrónicos para que ese derecho pudiera ejercerse.

La nueva LPAC, con un carácter más decisivo que la LAECSP, generaliza el uso de los medios electrónicos en el procedimiento administrativo común, concretándose en conceptos como “procedimiento administrativo electrónico”, que ahora pasa a ser no sólo el habitual sino el único4, o en la forma de relacionarse con la Administración por medios electrónicos, que el caso de los ciudadanos, constituye un derecho (la relación puede ser electrónica o no) y en caso de las empresas y otras entidades, una obligación (la relación sólo puede ser electrónica)5.

Esta ley tiene un proceso escalonado de entrada en vigor. Con carácter general, el 2 de octubre pasado ya lo hizo (un año después de su publicación). No obstante, las previsiones en materia de e-Administración como el registro único, el punto de acceso general electrónico de la Administración y el archivo único electrónico producirán efectos dentro de dos años, el 2 de octubre de 2018.

Por su parte, la LRJ, que entró en vigor plenamente también el 2 de octubre pasado, se ocupa, en esta materia, de las relaciones interadministrativas entre los diferentes organismos públicos, las cuales deben ser obligatoriamente electrónicas, abarcando aspectos como las transmisiones para el intercambio de datos o la interconexión de sus redes.

Para que estos dos nuevos entornos de relaciones electrónicas entre las administraciones públicas y los ciudadanos y las empresas, por un lado, y entre los distintos organismos públicos, por otro, disponga de las necesarias condiciones de seguridad que eliminen o minimicen los riesgos asociados a su utilización, la LAECSP estableció la necesidad de elaborar un Esquema Nacional de Seguridad, el cual fue aprobado en enero de 2010 por real decreto, que permitía un plazo de cuatro años (hasta enero de 2014) para su aplicación efectiva.

El objeto fundamental del ENS es el establecimiento de los principios básicos y requisitos mínimos de una política de seguridad en la utilización de los medios electrónicos que permitan la adecuada protección de la información y que sea “aplicado por las administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”6.

Sólo así podrán crearse las condiciones de confianza necesarias para los ciudadanos y las empresas en el uso de los medios electrónicos en su relación con las administraciones públicas.

Los sistemas o plataformas que soportan la e-Administración y que están comprendidos en el ámbito del ENS son los siguientes: Sedes electrónicas. Registros electrónicos. Sistemas de información accesibles electrónicamente por los ciudadanos. Sistemas de información para el ejercicio de derechos. Sistemas de información para el cumplimiento de deberes. Sistemas de información para recabar información y estado de los procedimientos administrativos.

Es decir, en tanto que el entorno de actuación de la e-Administración y de relaciones entre las administraciones es el electrónico, el ENS es de aplicación a todos los sistemas de información de las administraciones públicas que dan soporte a un servicio público dirigido a los ciudadanos y a las empresas, debiéndose examinar con detalle cualquier caso que se aleje de la lista anterior7.

Dada la inherente relación de la e-Administración con la seguridad de la información, coincidiendo con la aprobación, en octubre de 2015, de la LPAC y la LRJ, el ENS fue también oportunamente modificado por el Real Decreto 951/2015, debido, según su Exposición de Motivos, a la necesidad de que el ENS se desarrolle y perfeccione “a lo largo del tiempo en paralelo al progreso de los servicios de Administración electrónica, la evolución de la tecnología, los nuevos estándares internacionales sobre seguridad y auditoría en los sistemas y tecnología de la información, y la consolidación de las infraestructuras que le sirven de apoyo, manteniéndose actualizado de manera permanente. (…) Por otra parte, las ciberamenazas, que constituyen riesgos que afectan singularmente a la seguridad nacional, se han convertido en un potente instrumento de agresión contra las entidades públicas y los ciudadanos en sus relaciones con las mismas, de manera que la ciberseguridad figura entre los doce ámbitos prioritarios de actuación de la Estrategia de Seguridad Nacional”.

Para la adecuación de sus sistemas de información a los nuevos requisitos, el Real Decreto 951/2015 de modificación del ENS concede a las administraciones públicas un plazo de dos años contados a partir de la fecha de su publicación, es decir, hasta el 22 de octubre de 2017.

La actualización del ENS permitirá no sólo afianzar el clima de confianza en la interacción en línea con las administraciones públicas, sino también que éstas puedan gestionar su ciberseguridad de manera más rigurosa y acompasada con los nuevos escenarios de ciberamenzas, garantizando una protección de los servicios públicos electrónicos conforme a unos requisitos y criterios de aplicabilidad comunes entre todos los organismos públicos.

Esta modificación del ENS responde además al Objetivo 1 de la Estrategia de Ciberseguridad Nacional, de 2013, que consiste en “garantizar que los sistemas de información y telecomunicaciones que utilizan las administraciones públicas poseen el adecuado nivel de ciberseguridad y resiliencia”. Objetivo que se concreta en la Línea de Acción 2 que persigue “garantizar la implantación del Esquema Nacional de Seguridad, reforzar las capacidades de detección y mejorar la defensa de los sistemas clasificados”.

Por otra parte, la actualización del ENS está también alineada con el Objetivo Estratégico V del Plan de Transformación Digital de la Administración General del Estado y sus Organismos Públicos (Estrategia TIC 2015-2020)8, denominado “Estrategia corporativa de seguridad y usabilidad” para el que el ENS “proporciona una visión holística del entorno que es necesario proteger”. Este Objetivo Estratégico V posee su correspondiente Línea de Acción 9, que establece como uno de los hitos a lograr el que en “2018, el cien por cien de las unidades administrativas dispondrán de mecanismos de seguridad gestionada.”Asimismo, para aquellos organismos públicos declarados como operadores críticos, según la legislación en esta materia9, el ENS debe representar un referente de primer orden de su sistema de ciberseguridad (y de mayor alcance que la Norma ISO 27001).

Según todo lo anterior, se plantea un escenario de cambios relevantes, incluso extraordinarios, y con unos plazos de implantación muy cercanos, en el entorno de la e-Administración. Ello obliga a la adopción de medidas organizativas, tecnológicas, operacionales y de seguridad de la información, que van a suponer un grandísimo esfuerzo y un reto a las Administraciones públicas.

3. El estado de implantación del ENS. Una necesidad de conocer recientemente abordada.

En este contexto de transformación profunda de la forma y los medios de la gestión pública, que lleva ya varios años proyectado (desde 2007 con la LAECSP), surge la pregunta sobre el estado actual de implantación del Esquema Nacional de Seguridad, casi siete años después de su entrada en vigor y casi tres años después de la fecha límite para su implantación efectiva, sin perjuicio del plazo adicional (queda un año) para la adecuación a las nuevas medidas establecidas en la modificación del documento.

Precisamente uno de los cambios realizados por la modificación del ENS que responde a la necesidad de “asegurar la plena implantación del ENS y articular los procedimientos necesarios para conocer regularmente el estado de las principales variables de seguridad de los sistemas afectados”10, es la obligación de todos los organismos públicos de informar sobre el estado de su seguridad11 . Para ello pueden utilizar la aplicación INES12, creada por el Centro Criptológico Nacional (CCN), que recoge y trata dicha información permitiendo elaborar el perfil general del estado de la seguridad en las administraciones públicas.

Así pues, el mecanismo de recogida de datos para conocer el estado real de implantación del ENS es reciente y lógicamente está poco rodado, tanto desde el punto de vista de su utilización por todos los organismos públicos obligados a informar, como de los datos disponibles sobre dicho estado real. No obstante, sobre la base de otras informaciones, se puede decir a un nivel general que el ritmo de implantación del ENS es más lento del necesario. Así se desprende de sendos informes del CCN, uno el presentado en las VIII Jornadas STIC CCN-CERT, celebradas en el mes de diciembre de 201413 y otro titulado ENS, estado de implantación. Herramienta INES, presentado en el seminario sobre Seguridad IT (10): Informe, auditoría y certificación ENS, celebrado el 30 de marzo de 2016 y organizado por la Fundación Socinfo14.

De la misma manera, el grado de preparación de las administraciones públicas para afrontar los inminentes retos organizativos y tecnológicos de la e-Administración, establecidos por la LPAC y la LRJ, es insuficiente. Así lo reflejan las ponencias y conclusiones, en relación a ambas materias (e-Administración y ENS), presentadas en el VI Congreso Nacional de Innovación y Servicios Públicos (CNIS), celebrado en Madrid el 2 y 3 de marzo de 201615.

Otro indicador de esta situación es la demora en formalizarse uno de los aspectos más importantes de un esquema de certificación como es el ENS. Este aspecto es el relativo a la acreditación oficial de las entidades de evaluación y certificación de la conformidad y la publicidad de los distintivos de cumplimiento, no habiendo sido hasta el mes de febrero de 2016 cuando se ha publicado la Guía de Seguridad CCN-STIC-809 sobre Declaración y Certificación de Conformidad con el ENS y Distintivos de Cumplimiento16.

Esta guía establece el aspecto, el contenido y la forma de publicidad de ambos modelos de conformidad con el ENS (Declaración y Certificación) y la exigencia, para el caso de la Certificación de Conformidad, de que sea expedida por una Entidad Certificadora que esté acreditada por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas conforme a la Norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.

Puede resultar un dato ilustrativo sobre el estado actual de implantación del ENS, que una entidad certificadora de primera referencia en España, como es Aenor, haya expedido hasta la fecha, algo más de 10 Certificados de Conformidad con el ENS con un distintivo propio17.

Todos estos datos evidencian un retraso en la adopción en las administraciones públicas de las acciones necesarias para la implantación de los servicios de administración electrónica y de las medidas inherentes y proporcionadas de ciberseguridad establecidas por el ENS para la adecuada protección de los sistemas de información que les dan soporte.

4. Una precisión final.

La discrecionalidad en materia de seguridad no es una opción.

Acabamos de hablar de adecuada protección y también hemos aludido al mismo concepto cuando nos referíamos al Objetivo 1 de la Estrategia Nacional de Ciberseguridad (“adecuado nivel de ciberseguridad y resiliencia”). Queremos abundar en esta condición, aún a riesgo de decir una obviedad, porque es la naturaleza “real” de los sistemas de información a proteger la que determina el alcance y el nivel de aplicación de las medidas de seguridad a adoptar, y no la capacidad para implantarlas del organismo titular de dichos sistemas, la que establece (al menos “declarativamente”) la naturaleza de dichos sistemas desde el punto de vista de la seguridad.

Aquí conviene dejar claro que la aplicación de uno u otro mecanismo de evaluación de la conformidad, Declaración o Certificación, (con significativas diferencias en cuanto a los requisitos exigidos), no debe considerarse una opción, sino una consecuencia directa de la categorización del sistema, necesariamente rigurosa, que el organismo realice “en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, como dimensiones de seguridad. La valoración de las consecuencias de un impacto negativo sobre la seguridad de la información y de los servicios se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos”18.

Así, el ENS establece tres categorías de los sistemas: baja, media y alta. En este punto, la responsabilidad de cada organismo público es crucial, pues la categorización que realicen de su sistema de información19, determinará tanto la selección y el nivel adecuado de aplicabilidad de las medidas del ENS, como la forma de evaluar dicha conformidad, que será bien por autoevaluación20 (caso de declaración, para sistemas con categoría baja) o bien por auditoría (caso de certificación, para sistemas de categoría media o alta).

La situación expuesta muestra la necesidad de colaboración estrecha entre la Administración Pública y el sector privado, especializado en servicios de seguridad de la información que abarcan el amplio espectro de medidas del ENS, para la implantación efectiva de una e-Administración confiable y cibersegura.

Como vemos una vez más, el desarrollo normativo que, en este caso, da respuesta a las necesidades del progreso de la Sociedad de la Información y del Conocimiento, y la realidad de la Administración Pública española para ponerlo en marcha y aplicarlo, evidencian una brecha que debe salvarse con urgencia.

Referencias

1 https://nosoloaytos.wordpress.com/2015/04/12/50-sombras-de-ley/ Puntos 30-31

2. Almonacid Lamelas, Víctor y Moreno Bonilla, Virginia: Manifiesto de Administración Electrónica. Ministerio de Administraciones Públicas, mayo de 2015, pág. 3.

3. https://nosoloaytos.wordpress.com/2015/09/24/especial-ley-de-procedimiento-administrativo-lpa/

4. Art. 36.1, Ley 39/2015, LPAC: “a menos que su naturaleza exija otra forma más adecuada de expresión y constancia”.

5. Art. 14, Ley 39/2015, LPAC.

6. Art. 1 RD 8/2010, ENS

7. Art. 30 RD 8/2010, ENS.

8. Este Plan es uno de los nueve planes específicos de la Agenda Digital para España, aprobada por el Consejo de Ministros el 15 de febrero de 2013, que constituye la hoja de ruta española en materia de tecnologías de la información y las comunicaciones (TIC) y de Administración electrónica para el cumplimiento de los objetivos de la Agenda Digital para Europa en el periodo 2015-2020.

9. Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.

10. Medida establecida en la Línea de Acción 2 del Objetivo 1 de la  Estrategia de Ciberseguridad Nacional de 2013.

11. Art. 35 RD 8/2010, ENS

12. En octubre de 2016 el CCN ha publicado la Guía de Seguridad CCN-STIC-824 sobre El Informe Nacional del Estado de Seguridad (INES). El día de 2 noviembre de 2016 se ha publicado en el BOE la Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.

13. https://www.ccn-cert.cni.es/publico/VIII_Jornadas/33-Ines_Informe_Estado_Seguridad_CCN.pdf

14. http://www.socinfo.es/contenido/seminarios/0109seguridad10/JavierCandau.pdf

15. http://www.cnis.es/ponencias/

16. La aprobación oficial de esta materia se ha realizado el día de 2 noviembre de 2016, con la publicación en el BOE de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el ENS.

17. Certificación del Esquema Nacional de Seguridad, Revista AENOR, nº 318, septiembre de 2016.

18. Art. 43 RD/2010, ENS.

19. Art. 44 RD /2010, ENS. Facultades: “La facultad para efectuar las valoraciones a las que se refiere el artículo 43, así como la modificación posterior, en su caso, corresponderá, dentro del ámbito de su actividad, al responsable de cada información o servicio. La facultad para determinar la categoría del sistema corresponderá al responsable del mismo”.

20. La autoevaluación, será realizada por el mismo personal que administra el sistema de información, o en quien éste delegue.   

Para ver el artículo publicado en la revista pincha aquí

Volver