Esta semana tuvimos ocasión de escuchar en la Universidad de Oviedo a reconocidos expertos en materia de contratación pública electrónica. Se trataba de un curso de formación organizado por la Gerencia para responsables de la administración universitaria. Francisco Javier García, funcionario de la Universidad de Castilla la Mancha, terminó el programa abordando la situación actual de la e-Administración, tras una lenta evolución de sus crecientes niveles da madurez.

La realidad es que la nueva Administración ha alterado sustancialmente nuestra metodología del control interno de los procesos administrativos y tecnológicos, de las revisiones y de las auditorías. Antonio Minguillón lo suele describir magistralmente en sus intervenciones. Siempre nos deja con la duda de lo poco que hacemos para que el acceso de los nuevos funcionarios públicos, en cualquier escala, reconozca la realidad de esa transformación y, por tanto, si las habilidades digitales deben prevalecer sobre el conocimiento del derecho administrativo. Hace unos años ya titulamos en este blog “La contratación no es labor para viejos”, al modo de aquel oscarizado film.

“Hoy, ya no podemos concebir la contratación sin su intima unión con la vertiente tecnológica”.

El ponente dedicó la parte final de su exposición a insistir en la necesidad  de incluir la cultura de la ciberseguridad en todos los niveles de las organizaciones y a hablar de la protección de la información en su conjunto, como decisivo área de riesgo actual.

Javier García es autor de una obra en descarga libre que, en solo 20 páginas, pormenoriza los requisitos técnicos y legales que deben cumplir las que denomina AICPE (Aplicaciones Informáticas de Contratación Pública) desde los referidos a equipos (hardware) hasta las integraciones necesarias para el óptimo funcionamiento de tales aplicaciones, pasando por algunos aspectos de la propia licitación de estos contratos, a fin de evitar el denominado “secuestro tecnológico” de los adjudicatarios sobre el poder adjudicador.

Javier terminó explicando de manera sencilla la emergente tecnología BLOCKCHAIN, así como los retos y oportunidades que su utilización puede representar para el futuro de la universidad y del resto de administraciones, debiéndose reclutar y formar a los empleados públicos orientado a su conocimiento, para así aprovechar todo su potencial en beneficio de los fines públicos y la eficiencia del gasto.

¿Secuestro digital?

Hace unos años, la Cámara de Comptos de Navarra ya había alertado sobre la descapitalización que suponía para el sector público la creciente externalización de las tareas informáticas, en todas sus vertientes. No sólo ante la necesidad de controlar los riesgos que incorpora la interposición de esos proveedores en los procesos administrativos, sino la seguridad del propio almacenamiento o computación por los proveedores de cloud, entendido como la integración “en la nube” del software, hardware e infraestructura de Internet. El grado máximo del riesgo de secuestro tecnológico.

Sin ir más lejos en el tiempo, durante el último mes, los grandes auditores públicos mundiales, la GAO nortemericana y la NAO británica, han hecho pública su enorme preocupación por esta área.

La Government Accountability Office (GAO) y la nube

La GAO reconoce oficialmente que las agencias federales de EEUU desde el año 2010 han clausurado 6.250 Data centers y calculan por ello un ahorro 2.700 millones de dólares. Sin embargo, continúa designando la seguridad de la información como un área de alto riesgo en todo el gobierno federal y está siendo objeto de gran cantidad de informes. No se ha librado ni el mismísimo Servicio Secreto que también fue objeto de análisis por los auditores. Menudo marrón.

Una perla: la preocupación por el asunto llega a la propia GAO que cambió la denominación de los equipos encargado de estas auditorías, antes denominados «Tecnologías de la información» (IT) y ahora “Tecnologías de la información y ciberseguridad” (ITC).

La National Audit Office (NAO) y su guías.

La política digital del gobierno británico apoya sin cortapisas el cambio a la nube y su uso. Los servicios contratados están aumentando rápidamente tanto en el sector público como en el privado.  Sin embargo, reconoce que algunas organizaciones más tradicionales pueden carecer de la capacidad y la experiencia para seleccionar el producto adecuado para sus necesidades, implementarlo de manera segura y administrarlo de manera efectiva.

Este uso de la nube conlleva mayores desafíos que el simple almacenamiento de datos en ella. Por eso la NAO acaba de divulgar una Guía para los comités de auditoría. Hace unos meses publicó Guía de buenas prácticas de transformación para los comités de auditoría así como una guía que proporciona una lista de verificación sobre cuestiones y problemas de riesgos en ciberseguridad.

En definitiva, estamos en una zona en permanente evolución, que nos trae la cara y la cruz de toda innovación. Ciber-riesgos  y eficiencia por la hiperconectividad de las organizaciones.