Les institucions públiques haurien de ser l’exemple a seguir en el camp de la protecció de dades però, en alguns casos, es donen situacions sorprenents, les crítiques en aquest sentit que ha rebut l’Agencia Espanyola de Protecció de Dades (AEPD), organisme responsable de fer complir la Llei Orgànica de Protecció de Dades, en són un exemple. Les crítiques han estat exposades en un informe elaborat pel Tribunal de Comptes de l’Estat, en el document s’ha avaluat la implantació, durant els anys 2016 i 2017, de l’Esquema Nacional de Seguretat, el certificat que té com a finalitat la protecció de les dades dels ciutadans allotjades a l’administració pública.

La notícia posa de manifest la importància de l’Esquema Nacional de Seguretat (ENS), aquesta certificació és obligatòria en totes les institucions públiques i, també, en totes les empreses privades que treballen per l’administració pública.

Però quines són les crítiques contra l’AEPD? Segons l’informe elaborat pel Tribunal de Comptes no es monitoritza de manera activa ni el trànsit de la xarxa ni dels servidors, un seguiment que serveix per detectar comportaments inadequats. A més a més també s’apunta que no hi ha cap sistema de gestió d’informació i esdeveniments de seguretat que permeti estar alerta de possibles problemes de ciberseguretat.

Altres disconformitats expressades pel document són el fet de que els gestors documentals on es guarden els procediments administratius sancionadors no estiguin encriptats, la falta de les mesures exigides per l’ENS en els telèfons mòbils, les mancances de formació en seguretat informàtica del personal o l’absència d’un funcionari centrat en la implantació i coordinació de totes les accions requerides per l’ENS. Finalment es denuncia el poc control dels documents que s’imprimeixen físicament, segons l’informe caldria una persona que controlés que tot allò que s’imprimeix ho recull la persona indicada.

D’altra banda l’AEPD ha presentat al·legacions a l’informe, diu que no es basa en el moment actual, les dades són dels anys 2016 i 2017, segons informa l’Agència, aleshores, ja s’estava planificant seguir les mesures necessàries per aplicar tot el que exigeix l’ENS de manera que, en l’actualitat, moltes d’aquestes obligacions ja es compleixen o estan en curs de complir-se de manera imminent. A més a més, segons l’AEPD, en el moment d’elaborar l’informe ja s’estava en procés d’integració amb el sistema de monitorització del Centre Criptològic Nacional de manera que, actualment, ja està en funcionament el sistema de monitorització, tant del trànsit de xarxa com dels servidors.

En el cas dels mòbils, l’ENS requereix que es funcioni amb el sistema MDM, un software que permet gestionar de manera centralitzada i remota diferents telèfons mòbils. La implantació d’aquest sistema ho decideix l’Administració General de l’Estat i es preveu fer-ho el març de 2020, tot i així es va avaluar implantar un sistema propi que va ser desestimat per temes d’eficiència de costos. Finalment, respecte l’encriptació de dades, l’AEPD ha argumentat que això seria obligatori si els seus sistemes fossin de nivell alt però, en el cas de l’Agència són de nivell mig, per tant aquest paràmetre no és necessari aplicar-lo.

Cal afegir que una part del problema és que no hi ha prou personal especialitzat, una anomalia que afecta tant el seguiment de les pròpies mesures de ciberseguretat com, també, la gestió de les incidències relacionades amb l’incompliment de la llei de protecció de dades. La contractació de més personal és una qüestió que depèn dels Pressupostos Generals de l’Estat. Dins de les possibilitats pressupostàries cal tenir en compte que l’AEDP ha tingut el pressupost congelat en els exercicis 2016 i 2017, moment en el qual es refereix l’informe, més tard, el 2018, l’aportació al pressupost es va incrementar en 300.000 euros.

El fet d’haver qüestionat l’aplicació de l’Esquema Nacional de Seguretat posa de manifest que aquesta certificació, juntament amb la ISO 27001 destinada a organitzacions privades, són de vital importància per guanyar prestigi i credibilitat. Les dues eines es basen en l’anàlisis, la gestió i la mitigació dels riscos que comporten les Tecnologíes de la Informació i les Comunicacions en les organitzacions. Per fer-ho s’estableix un sistema de controls per protegir adequadament la informació, els serveis i els sistemes de la organització, aquesta metodologia s’integra dins el cicle de millora continua basat en la Planificar-Fer-Verificar-Actuar, pots informar-te més àmpliament d’aquestes certificacions en aquest enllaç.

A Escuda et podem ajudar a fer la implantació i seguiment aquestes certificacions,  és de vital importància aplicar-les per afrontar de la millor manera possible ciberriscos com la fuga d’informació, el software maliciós o la suplantació d’identitat (phishing). Pots omplir aquest formulari o trucar al 931 931 848.