Esperanza Pinar es Ingeniera de telecomunicaciones y una de las profesionales más destacadas de las Instituciones de Control Externo, que comienzan a incluir en sus informes el análisis de la ciberseguridad de las Administraciones Públicas (AAPP) como un relevante elemento del buen gobierno.
La Sindicatura de Cuentas de la Comunidad Valenciana cuenta como soporte de estos trabajos con la UASI (Unidad de auditoría de sistemas de información) creada en 2008 como respuesta a la preocupación sobre el efecto que el uso de la tecnología por los entes públicos a los que fiscalizan y sus riesgos de auditoría.
Durante el seminario organizado el 8 de julio por la Fundación General de la Universidad de Salamanca pudimos escuchar a Esperanza, que comenzó glosando el minguimapa, esa diapositiva habitual de Antonio Minguilllón, que relaciona el uso de las tecnologías emergentes (IoT, IA, cloud, etc) con los riesgos al adaptar los procedimientos y métodos a un entorno de administración electrónica avanzada. En el caso de la gestión universitaria, esa dependencia digital es total. Aquí su presentación:
Deducimos que la reciente evolución de la UASI valenciana les ha llevado a proponer sus propios informes y a aumentar su protagonismo. Algo habitual en estas instituciones, como recordaba en esa misma sala Carlos Cubillo, secretario general del Tribunal de Cuentas de España.
Esperanza repasó también algunos ciberincidentes universitarios (aquí el último) o en el plano nacional e internacional. La panorama general no es para tirar cohetes. El propio Tribunal de Cuentas Europeo concluyó (epígrafe 95 y siguientes del infome 5/2022) que las instituciones, órganos y organismos de la UE:
“no ha alcanzado un nivel de preparación a la altura de las amenazas. Nuestro trabajo demuestra que tienen distintos niveles de madurez en ciberseguridad y, dado que suelen estar interconectadas entre sí y con organizaciones públicas y privadas en los Estados miembros, las deficiencias de ciberseguridad de una pueden exponer a otras a ciberamenazas”.
Directiva NIC 2.0
El Estado español deberá desarrollar antes de octubre de 2024 la Directiva NIS2 sobre ciberseguridad que fija obligaciones inexcusables para todos los miembros de la Unión Europea, y en particular para las AAPP, que son calificadas de sujetos esenciales que deben adoptar concretas y rigurosas medidas de ciberseguridad. Como recordó el magistrado José Ramón Chaves en la conferencia inaugural, una exigencia cuyo incumplimiento: “puede traer serias responsabilidades patrimoniales, disciplinarias y penales”. Un territorio aun inexplorado que en el futuro será objeto de análisis por los administrativistas (sobre el impacto de la directiva ya nos lo alertó Moisés Barrio Andrés, en este fenomenal artículo titulado «La ciberseguridad en el Derecho digital europeo: novedades de la Directiva NIS2»).
La directiva incluye en su artículo 21.2 una serie de medidas para la gestión de riesgos que incluyen técnicas, operativas y de organización, oportunamente comentadas durante el seminario por el representante del INCIBE, Juan Delfín Peláez Álvarez.
El citado artículo 21.2 contiene un listado mínimo de medidas para gestionar los riesgos de seguridad de los sistemas y redes de información y el entorno físico de dichos sistemas, que han de utilizar las entidades esenciales e importantes en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios o en servicios de terceros que dependan de ellos. Juan Delfín presentaba una diapositiva son las medidas indicadas como mínimas en el citado artículo:
Volviendo a la exposición de Esperanza, encontramos en su contenido los elementos de la gobernanza de ciberseguridad, destacando la obligación de constituir un comité de seguridad de la información con un funcionamiento efectivo.
Las entidades deben asignar roles y responsabilidades en materia de seguridad de la información.
La gobernanza se articula a través de un CS-TIC, que se constituye como un órgano colegiado que debe tener un funcionamiento regular y efectivo. Debe ser operativo, no es una mera formalidad, abarcando y afectando a toda la organización. Recalcó que “No es un comité técnico”. Debe mandar. También impulsar las Auditorías de seguridad que son OBLIGATORIAS.
También repasó los distintos responsables unipersonales, como antes había hecho Javier Candau (CCN-CNI) habitualmente coexistiendo con el vicerrectorado responsable de la transformación digital. Con todo ello, se busca establecer una cultura en materia de ciberseguridad que afecte a todos los niveles de la organización. Dicha iniciativa debe ser impulsada por la dirección en forma de planes estratégicos que definan objetivos y medidas concretas, además de incluir planes periódicos de formación y concienciación de los trabajadores.
La entidad debe disponer de los recursos materiales y humanos adecuados para atender a las necesidades identificadas e implementar las medidas de seguridad necesarias.
Gracias por comentar con el fin de mejorar