Vivimos una realidad cambiante, que va muy por delante del Derecho y de la capacidad de reacción del sistema, en la que ni siquiera los hackers –más precisamente los crackers– son ya los de antes, cuando se dedicaban básicamente a hacer “cibergamberradas”. Ahora se desenvuelven en un escenario casi apocalíptico, aunque por desgracia muy real, de guerras y pandemias, y sintiéndose cómodos dentro de este caos son capaces de la más tremenda destrucción: acceso a información de carácter médico, a nuestras tarjetas de crédito, ataques a los sistemas informáticos de empresas, Administraciones Públicas, y por supuesto equipos particulares… Estos accesos son ilegítimos, ilegales y, en muchos casos, delictivos (estafas, amenazas, difusión, revelación o cesión ilegal de datos…). Y muy reales, pues ya son numerosos los casos de ataques llevados a cabo con éxito. ¿Qué podemos hacer para frenarlos?
Ante todo tomar conciencia del problema pues, sin duda, se trata del talón de Aquiles de la administración electrónica española. Un punto realmente débil (en su conjunto) que eclipsa o como mínimo afea otros logros importantes.
El Ayuntamiento de Alzira
Lo cierto es que, siendo realistas, ninguna organización puede garantizar al 100% que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, si bien algunas entidades públicas “han hecho los deberes” en este sentido, reduciendo exponencialmente las posibles brechas y con ello gran parte del peligro. Es el caso del Ayuntamiento de Alzira, una administración pionera en la que he tenido el honor de desempeñar el puesto de Secretario General entre 2012 y 2022, donde implementamos antes de la fecha tope establecida en la normativa (enero de 2014) las medidas de seguridad relacionadas el Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Se trata de medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible.
La ciberseguridad de la Administración electrónica «es un punto realmente débil (en su conjunto) que eclipsa o como mínimo afea otros logros importantes»
Entre estos controles, podemos destacar los siguientes (los cuales hacemos públicos para ilustrar a las organizaciones que desean mejorar en seguridad):
· Medidas de carácter preventivo:
· Realización periódicamente un análisis de riesgos, identificando los activos críticos del sistema, las relaciones existentes entre los mismos, valorando en términos de seguridad su criticidad y analizando los posibles eventos de seguridad a los que se encuentran sometidos tanto en probabilidad como en impacto, proponiendo para los riesgos resultantes proyectos que ayudan a ser cada día menos tolerantes al riesgo.
· Se proporciona al usuario una configuración “segura por defecto”, de manera que se protege la actividad del usuario, salvo que éste conscientemente se exponga al riesgo.
· Se dispone de un cortafuegos que separa la red interna de la exterior, de manera que sólo se deja transitar los flujos previamente autorizados.
· Segregación de las redes, acotando el acceso a la información, y por lo tanto, la propagación de incidentes de seguridad, limitándose al segmento afectado.
· Trabajando con personas, un hecho fundamental y en lo que ha insistido el Ayuntamiento es en la formación y concienciación del personal, informándoles de las incidencias más habituales, virus actuales y sobre todo, abriendo un canal de comunicación de incidencias de seguridad para que puedan escalar rápidamente cualquier sospecha de incidencia.
· Medidas reactivas:
· Se dispone de herramientas que protegen los servicios web más expuestos (correo electrónico, servicios, aplicaciones web y ataques de denegación de servicio), los cuales disponen de alertas que permiten tomar decisiones tempranas.
· Implantación de herramientas que protegen al ayuntamiento frente a virus, gusanos, troyanos, programas espías (spyware), y en general, contra cualquier malware.
· Medidas de recuperación:
· Realización de copias de seguridad que garantizan la continuidad de las operaciones en caso de pérdida de los sistemas habituales de trabajo.
· Se ha realizado un análisis de impacto y consecuentemente planes de continuidad, de manera que se establecen una serie de acciones a realizar en el caso de interrupción de los servicios prestados con los medios habituales. Todo ello dentro de la Estrategia de Ciberseguridad Nacional, que se completa con las Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional, y sometido además a un proceso de mejora continua de seguridad, de manera que el proceso integral de la seguridad es actualizado y mejorado de forma continua.
Y aún así, queridos lectores, no estamos completamente a salvo. Eso sí, es nuestra obligación, como responsables de los datos de nuestros ciudadanos y, en general, de información especialmente sensible, ponérselo difícil a los crackers.