Las instituciones públicas deberían ser el ejemplo a seguir en el campo de la protección de datos pero, en algunos casos, se dan situaciones sorprendentes, las críticas en este sentido que ha recibido la Agencia Española de Protección de Datos (AEPD), organismo responsable de hacer cumplir la Ley Orgánica de Protección de Datos, eson un ejemplo. Las críticas han sido expuestas en un informe elaborado por el Tribunal de Cuentas del Estado, en el documento se ha evaluado la implantación, durante los años 2016 y 2017, del Esquema Nacional de Seguridad, el certificado que tiene como finalidad la protección de los datos de los ciudadanos alojadas en la administración pública.

La noticia pone de manifiesto la importancia del Esquema Nacional de Seguridad (ENS),esta certificación es obligatoria en todas las instituciones públicas y, también, en todas las empresas privadas que trabajan para la administración pública.

Pero cuáles son las críticas contra l’AEPD? Según el informe elaborado por el Tribunal de Cuentas no se monitoriza de forma activa ni el tráfico de la red ni de los servidores, un seguimiento que sirve para detectar comportamientos inadecuados. Además también se apunta que no hay ningún sistema de gestión de información y eventos de seguridad que permita estar alerta de posibles problemas de ciberseguridad.

Otros disconformidades expresadas por el documento son el hecho de que los gestores documentales donde se guardan los procedimientos administrativos sancionadores no estén encriptados, la falta de las medidas exigidas por la ENS en los teléfonos móviles, las carencias de formación en seguridad informática del personal o la ausencia de un funcionario centrado en la implantación y coordinación de todas las acciones requeridas por el ENS. Finalmente se denuncia el poco control de los documentos que se imprimen físicamente, según el informe sería necesaria una persona que controlara que todo lo que se imprime lo recoge la persona indicada.

Por otra parte la AEPD ha presentado alegaciones al informe, dice que no se basa en el momento actual ya que los datos son de los años 2016 y 2017, según informa la Agencia, entonces, ya se estaba planificando seguir las medidas necesarias para aplicar todo lo que exige el ENS de modo que,en la actualidad, muchas de estas obligaciones se cumplen o están en curso de cumplirse de manera inminente. Además, según la AEPD, en el momento de elaborar el informe ya se estaba en proceso de integración con el sistema de monitorización del Centro Criptológico Nacional de modo que, actualmente, ya está en funcionamiento el sistema de monitorización, tanto del tráfico de red como de los servidores.

En el caso de los móviles, el ENS requiere que se funcione con el sistema MDM, un software que permite gestionar de forma centralizada y remota diferentes teléfonos móviles. La implantación de este sistema lo decide la Administración General del Estado y se prevé hacerlo en marzo de 2020, de todos modos se evaluó implantar un sistema propio que fue desestimado por temas de eficiencia de costes. Finalmente, respecto la encriptación de datos, la AEPD ha argumentado que esto sería obligatorio si sus sistemas fueran de nivel alto pero, en el caso de la Agencia son de nivel medio, por lo tanto este parámetro no es necesario aplicarlo.

Hay que añadir que una parte del problema es que no hay suficiente personal especializado, una anomalía que afecta el seguimiento de las propias medidas de ciberseguridad y también la gestión de las incidencias relacionadas con el incumplimiento de la ley de protección de datos. La contratación de más personal es una cuestión que depende de los Presupuestos Generales del Estado. Dentro de las posibilidades presupuestarias hay que tener en cuenta que el AEDP ha tenido el presupuesto congelado en los ejercicios 2016 y 2017, momento en el que se refiere el informe, más tarde, en 2018, la aportación al presupuesto se ha incrementado en 300.000 euros.

El hecho de haber cuestionado la aplicación del Esquema Nacional de Seguridad pone de manifiesto que esta certificación, junto con la ISO 27001 destinada a organizaciones privadas, son de vital importancia para ganar prestigio y credibilidad. Ambas herramientas se basan en el análisis, la gestión y la mitigación de los riesgos que conllevan las Tecnologías de la Información y las Comunicaciones en las organizaciones. Para ello se establece un sistema de controles para proteger adecuadamente la información, los servicios y los sistemas de la organización, esta metodología se integra dentro del ciclo de mejora continua basado en la Planificar-Hacer-Verificar-Actuar, puedes informarte más ampliamente de estas certificaciones en este enlace.

En Escuda te podemos ayudar a hacer la implantación y seguimiento estas certificaciones,  es de vital importancia aplicarlas para afrontar de la mejor manera posible ciberriesgos como la fuga de información, el software malicioso o la suplantación de identidad (phishing). Puedes llenar este formulario o llamar al 931 931 848.