ANIMSA

LUIS TARRAFETA, Responsable de Sistemas Informáticos del Ayuntamiento de Pamplona.

Acabas de cumplir un año como responsable de Sistemas Informáticos del Ayuntamiento de Pamplona  ¿Cuáles son las principales funciones de este puesto y, especialmente,  cómo es la coordinación con ANIMSA, como el departamento informático de las Entidades Locales asociadas?, ¿podríamos decir que el Ayuntamiento de Pamplona puede ser un ejemplo para que muchos de los proyectos y servicios que realiza se trasladen luego al resto de Entidades Locales de Navarra?

Según lo descrito en el Decreto de Organización Municipal, mis labores tendrían que ver, principalmente con articular las relaciones del Ayuntamiento con ANIMSA y el desarrollo de la estrategia SmartCity. Dicho así, puede resultar engañosamente simple. Ambas líneas tienen varios niveles de complejidad e implicaciones con las necesidades de las áreas. La tecnología, como en cualquier gran organización, permea toda la actividad. A eso habría que añadir que formo parte del Comité Delegado de Protección de Datos de carácter personal, en el que estoy muy bien acompañado, pero que requiere un esfuerzo adicional.

La relación con ANIMSA es excelente, sin duda. El conocimiento acumulado que tienen sus profesionales sobre tecnología, legislación y el propio Ayuntamiento es determinante. Pero no es menos importante que nos hace formar parte de un entorno mucho más amplio –el del resto de las EELL asociadas- y que nos beneficia a todos. Por supuesto, los recursos y las necesidades que tiene Pamplona, nos empujan a asumir la iniciativa con frecuencia. Pero hay que entender que, desde dentro, lo vemos más como un acompañamiento. ANIMSA nos hace ir de la mano con el resto de la comunidad. Lo cual no solo es bueno por motivos técnicos o de recursos, sino que también tiene un componente de responsabilidad. Puede sonar a lugar común, pero hacemos muy nuestro el proverbio de que “solo se va más rápido, pero acompañado se llega más lejos”.

Si la seguridad de la información es importante en cualquier ámbito, en las Administraciones  Públicas más. Son varias las normativas que hacen referencia a ella. ¿Cómo se conjuga el RGPD,  el Esquema Nacional de Seguridad, la Ley de transparencia y las siamesas ( Ley 39/2015 y 40/2015)?

La seguridad de la información hace tiempo que se ha convertido en una necesidad. Si, como sociedad, abrazamos con tanto entusiasmo estas tecnologías era porque tenían valores innegables. Y ese valor hay que intentar preservarlo frente a cualquier tipo de amenaza: interna o externa, malintencionada o involuntaria, lógica o física… Después de muchos años, parece que los Estados se han dado cuenta de la verdadera dimensión del problema, de la dependencia que tenemos unos de otros y del riesgo que corremos. ¿Y qué va a hacer el legislador cuando se encuentra algo así? Pues legislar.

Un aspecto importante del RGPD es que exige, de manera implícita, la aplicación de un Sistema de Gestión de Seguridad de la Información (SGSI). Es decir, una normativa de calidad, tal y como se entiende la calidad en el mundo industrial. Y aquí hemos tenido la suerte –o el mérito- de que para cuando nos ha llegado el reglamento hacía años que estaba publicado el Esquema Nacional de Seguridad, que no deja de ser un SGSI con envoltorio de ley. El mensaje que nos lanzan desde la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y todas las autoridades competentes es que las AA.PP. debemos apoyarnos en el ENS para cumplir con “la nueva LOPD” (LOPDP/GDD). Las leyes 39 y 40 no están enfocadas propiamente a la seguridad, pero sí que deben de ser coherentes con la LOPDP/GDD y el ENS, porque no se puede hacer una Administración Electrónica sin las garantías que te dan esos marcos.

Este año está siendo, especialmente, el año del Esquema Nacional de Seguridad en las Entidades Locales. ¿Realmente sabemos hasta qué punto es importante implantar el ENS?, ¿son conscientes las EE.LL.  de los “peligros que hay ahí fuera”?

Claro. Es consecuencia directa del impulso que ha supuesto el RGPD. Pero es importante entender que “implantar” el ENS no es un proyecto. No son una serie de acciones con un principio y un final. Se trata de llevar a cabo un plan de calidad, un sistema de mejora continua, en el que permanentemente se tiene que conocer el estado de situación, definir acciones, medir sus resultados y aprender de ello. Esta forma de funcionar, que se lleva a cabo en algunas industrias desde hace muchas décadas, puede suponer un cambio de enfoque muy desafiante para la forma de funcionar de muchos Gobiernos Locales.

Podríamos entenderlo como que somos seres vivos en un “ecosistema social” en el que el uso de la información es determinante. Existe una competencia por los recursos, un entorno exigente, en el que tenemos que saber movernos con eficacia y agilidad y frente a unos agentes maliciosos que nos pueden complicar mucho la vida. Eso, como en la naturaleza, exige una adaptación constante, una evolución permanente.

¿Son las EELL conscientes de ello? Como en todo, hay grados de madurez. Normalmente, el que ha visto las orejas al lobo está mucho más concienciado; pero mi sensación es que el riesgo, a menudo, se subestima. En cualquier caso, con el tiempo, todos seremos conscientes. Porque los lobos están ya aquí.

¿Cómo podemos conseguir que el ENS no se viva como una carga de trabajo adicional o una normativa más a cumplir, sino que como una herramienta que, adecuándose a las características de cada organismo, nos ayuda?

Puede no ser inmediato, pero una vez se hace el esfuerzo de entender lo que es un SGSI las ventajas se hacen evidentes. El hecho de tener un marco estructurado, un lenguaje y una manera de visualizar y definir las acciones, se convierte en una ayuda decisiva para la toma de decisiones. Se reduce la incertidumbre, se aprende a actuar de manera más meditada y menos impulsiva, para ir cubriendo las diferentes necesidades con un orden y un criterio. Ningún sistema es perfecto, desde luego, pero si partimos de esa premisa y nos ayuda a cuestionarnos de manera constante cómo podemos mejorar, daremos más pasos en la dirección adecuada y descubriremos antes los que nos alejan de nuestros objetivos.

 Hace solo unos días cayeron los servicios WhatsApp,  Instagram y Facebook, si no se puede evitar que  estas grandes Empresas, tengas “agujeros de seguridad” y caídas en sus servicios, ¿Qué podemos hacer entidades mucho más pequeñas en este mundo global?, ¿hasta qué punto es beneficioso contar con una empresa como ANIMSA, en la que compartimos conocimiento, proyectos y servicios, para afrontar los retos que los sistemas informáticos nos plantean?

Claro. Y es que cada organización tiene unas necesidades y unos riesgos que son proporcionales a la importancia de su actividad y de la información que use. A mayor valor de tu negocio digital, mayor será el esfuerzo a realizar para dar el servicio con garantías y, por cierto, más atractivo serás también para los atacantes.

Por otro lado, es cierto, tampoco tiene sentido un candado que vale más que la bicicleta. Hay que entender que el ladrón es oportunista y que, si la dejas apoyada contra la pared, se la acabarán llevando. Hoy por hoy quedan demasiadas bicis sin candar. Y el nivel de sofisticación de las mafias, en ocasiones, puede ser de ciencia ficción. La situación está tan descompensada que, en este momento, nuestra primera estrategia pasa, en primera instancia, por no ser los más descuidados. Salvo en el caso de ataques muy dirigidos y específicos, nos puede bastar con que “los malos” tengan que esforzarse un poco. Eso les puede hacer desistir, porque saben que otros objetivos más fáciles caerán.

ANIMSA en ese sentido puede aportar muchísimo a las EE.LL., proporcionando un sustrato común, una cooperación efectiva, un conocimiento acumulado y muchas de las ventajas de las grandes organizaciones aplicadas a otras de tamaño mucho más diverso. Personalmente, no me cabe duda que hay importantísimas ventajas para la EE.LL. asociadas frente al “hacer la guerra por su cuenta” o colaborar con proveedores menos sensibles a sus necesidades específicas.