ANIMSA

Ana Burgui Aldunate, Directora de Infraestructuras de ANIMSA

1.Ataques como el de los últimos días al SEPE han hecho saltar las alarmas en muchas entidades y preguntarse si realmente estamos protegidos. ¿En qué medida los problemas de ciberseguridad son una preocupación clave para las Entidades Locales?

Algunos ataques cibernéticos han acaparado nuestra atención apareciendo en noticias de los medios de comunicación de mayor difusión y audiencia: televisión, prensa y redes sociales. De esta manera somos alertados de los peligros existentes en la Red, y las reacciones y los sentimientos frente estas circunstancias son de lo más variopintas. Mientras que el personal concienciado comprueba si está protegido de amenazas similares y procura prevenir, existe todavía mucho personal que piensa que la seguridad es responsabilidad de otros o que se tienen contratadas empresas que se encargan de ese cometido. Otra pregunta habitual que debemos hacernos es si podemos tener los servidores parados, y cuánto tiempo.

Cuando hablamos de seguridad de la información o ciberseguridad nos referimos a la protección de la infraestructura de red tanto a nivel corporativo como a nivel de usuario particular. Todos y todas debemos aportar nuestro granito de arena para lograr una seguridad integral.

2. ¿Son conscientes las personas que trabajan en los Ayuntamientos de la necesidad de la ciberseguridad?

La importancia que se le da a la seguridad informática en las empresas (tanto en entorno público como privado) todavía es insuficiente.

Quienes manejamos a diario información crítica entre plataformas conectadas a Internet, en ocasiones puede que no nos hayamos parado a pensar qué es un ataque informático o directamente en qué consiste la ciberseguridad. Lo mejor para protegerse de las amenazas que nos acechan es la formación de los usuarios, por tratarse de la primera (y en ocasiones la única) barrera de defensa. Cuando hablamos de seguridad, el eslabón más débil siempre son las personas.

3. ¿Conocen las Entidades Locales sus obligaciones legales con respecto a la información que manejan?

La ciberseguridad puede considerarse un bien jurídico constitucionalmente protegido, digno de la más intensa protección por parte de los poderes públicos, acostumbrados a trabajar con terminología legal. Para todos aquellos interesados en esta materia, decir que el Esquema Nacional de Seguridad fue establecido por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero, que fue modificado por el Real Decreto 951/2015, de 23 de octubre, para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

Normativas relacionadas son la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, cuyo artículo 156 recoge el Esquema Nacional de Seguridad. Existe además una Estrategia de Ciberseguridad Nacional que, alineada con la Estrategia de Seguridad Nacional, busca preservar el ciberespacio.

4. ¿Están suficientemente preparadas las Entidades Locales para responder a los ciberataques?

No por tener mejores o más cantidad de herramientas de seguridad estaremos más protegidos. La efectividad radica en tener un personal técnico especializado que se encargue de configurar, mantener, monitorizar y analizar las alertas o posibles ataques de intrusión que puedan afectar a la red privada.

Hoy en día el principal vector de ataque es el correo electrónico. Importantísimo tener nuestros servidores lo más actualizados y protegidos posible, disponer de barreras contra el correo no deseado y no solicitado, antimalware (protección de virus y spyware) que dificulte la entrada de sorpresas desagradables. A veces es inevitable hacer frente a engaños que llegan enmascarados en forma de correos, por ejemplo, y podemos ser víctimas de un ataque. El personal técnico de seguridad juega un papel esencial: contar con la formación y las herramientas necesarias para la gestión en caso de un incidente. Así que, en caso de duda, siempre recomendamos contactar con el personal de ANIMSA.

5. ¿Son conocedoras las Entidades Locales de que los ciberataques no son el único riesgo de seguridad y que los problemas de seguridad informática no siempre vienen del exterior?

Los ataques internos constituyen una mayor preocupación por doble motivo: existe un abuso de confianza y son una amenaza constante, ya que no se sabe con certeza cuándo sucederán.

La diferencia entre un hacker y un empleado de la empresa es que el primero no tiene contraseñas, accesos, ni conocimiento de ningún tipo acerca de la red a la que va a acceder. Así, alguien inconscientemente puede atacar las infraestructuras de la empresa donde trabaja utilizando sus credenciales y ejecutando determinados protocolos dañinos. Y esto también se aplica a funcionarios que trabajen en la Administración Pública desleales, descontentos, imprudentes o simplemente inexpertos.

6. ¿Son conscientes las Entidades locales de que todos los días reciben ciberataques?

Cada día surgen nuevos tipos de intentos de estafa con el objetivo de sustraer datos e información sensible: intentos a los que los ciudadanos estamos expuestos a través del uso cotidiano y profesional de la combinación de términos “Internet” y “dispositivos electrónicos”.

Además de ANIMSA, existen organismos que se encargan de velar por nuestra ciberseguridad y están ahí para ayudarnos en caso de necesidad. Merecen mención especial el Instituto Nacional de Ciberseguridad (INCIBE), la Oficina de Seguridad del Internauta (OSI), el Centro Criptológico Nacional (CCN) o la Federación Española de Municipios y Provincias (FEMP). Es bastante habitual que estas instituciones avisen a su entorno de las brechas de seguridad y vulnerabilidades más extendidas. Estas comunicaciones nos ayudan a estar informados y a que tomemos conciencia de los eventos más recientes.

7. ¿Cómo y qué puede aportar ANIMSA a las Entidades Locales en esta materia?

ANIMSA está muy concienciada con la seguridad informática, hasta el punto de constituir una de las prioridades que queremos extender a las Entidades Locales de la comunidad foral. Estamos certificados en Esquema Nacional de Seguridad desde el año 2019, por lo que contamos con el conocimiento y experiencia en esta materia. En la actualidad estamos dando forma a un nuevo servicio llamado Oficina de Ciberseguridad que contiene un marco de gobernanza o estructura organizativa donde se englobarán el plan director de seguridad, los procesos, los participantes y todas las acciones relacionadas con esta materia. Esta iniciativa está respaldada y tutelada por el Centro Criptológico Nacional, con quien venimos colaborando desde hace aproximadamente un año.

El objetivo actualmente es generar un marco organizativo de seguridad que pueda ser utilizado en Entidades de características similares, implantando las medidas de seguridad exigidas en el Esquema Nacional de Seguridad en los sistemas de información que dan soporte a la prestación de servicios de Sede Electrónica en una muestra representativa de al menos siete Ayuntamientos navarros.

En marzo hemos presentado el proyecto a una veintena de Entidades a partir de las cuales quedará constituido el grupo piloto e iremos materializando este servicio específico de ciberseguridad a partir de mediados de abril.

8. ¿Cuáles serán las principales funciones de la oficina de ciberseguridad?
La Oficina de Ciberseguridad tiene como misión la gestión operativa, para lo cual tiene principalmente dos objetivos: el asesoramiento y formación del personal municipal en seguridad de la información y la implantación, monitorización, vigilancia, detección y respuesta de todas las actividades que se realicen en materia de seguridad, incluido el establecimiento de las instrucciones técnicas tal y como recoge el Esquema Nacional de Seguridad.

El servicio lleva implícito atender las dimensiones de la seguridad (confidencialidad, disponibilidad, integridad, trazabilidad y autenticidad) sin olvidarnos de la privacidad y las obligaciones que trae consigo el Reglamento General de Protección de Datos.

Con un mundo cada vez más conectado, desde ANIMSA queremos acompañar a las Entidades Locales navarras en su transformación digital colaborando en la protección de sus datos e infraestructuras. La ciberseguridad es un reto para todos y todas.

9. ¿Podemos prescindir hoy en día de la ciberseguridad?

Somos totalmente dependientes del acceso diario a Internet: nos despertamos y desayunamos con Alexa, consultamos en el móvil el tiempo que va a hacer cada día antes de vestirnos para salir a la calle, leemos la prensa digital, orientamos nuestros pasos con un navegador, fichamos nuestra entrada en la oficina, utilizamos el ordenador personal como principal herramienta de trabajo: no nos puede faltar el correo electrónico, accedemos a bases de datos corporativas y aplicaciones de Gestión Municipal, elaboramos y consultamos documentación que almacenamos en repositorios de red propios o ajenos, privados o públicos, nos reunimos con compañeros, clientes y proveedores mediante aplicaciones de videollamada, nos mensajeamos con colegas, familiares y amigos mediante aplicaciones móviles, vemos nuestras series y películas favoritas en plataformas de televisión de pago… incluso a algunos les quedan ganas para retransmitir su vida, hazañas y vivencias a través de redes sociales.

Está claro que Internet es un elemento muy importante de nuestra rutina diaria, y aunque no estamos a salvo de los ataques cibernéticos podemos prevenirlos, minimizar sus consecuencias y hacerles frente común.

10. ¿Ha cambiado algo nuestro punto de vista de la ciberseguridad el último año? ¿Qué hemos aprendido?

Está claro que hemos sido testigos de una transformación digital acelerada. Antes la ciberseguridad consistía en securizar el perímetro de las redes instalando cortafuegos. Ahora debemos proteger a las personas que trabajan desde en sus casas. Los ciberataques actuales van dirigidos al usuario o al equipo en particular.

Para ANIMSA ha supuesto todo un reto, porque hemos puesto a teletrabajar a nuestros usuarios en un tiempo record y hemos implantado y cambiado servicios dirigidos a la ciudadanía en general.

Las estadísticas confirman que desde el confinamiento se ha apreciado un considerable aumento de los ataques informáticos. Se trata, sin duda, de una temática muy actual y desde ANIMSA estamos trabajando para extender la cultura de la ciberseguridad entre la población.