Seguridad jurídica y seguridad informática: dos caras de la misma moneda

Es un buen momento para recordar esta cuestión a la vista de la reciente aprobación de dos normas importantes, como son:

Por otra parte, se han publicado esta misma mañana las “Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional“:

“La concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación (TIC)”. Así comienza el Informe de Buenas Prácticas BP-01. Principios y recomendaciones básicas en ciberseguridad, elaborado por el CCN-CERT, del Centro Criptológico Nacional.

¿Cómo afecta todo ello a nuestro proyecto de implantación de los procedimientos y la administración electrónica? Bien, podemos distinguir tres niveles (todos ellos con el mismo grado de importancia): reglamentos de adaptación, documentos técnicos de interoperabilidad y  protocolos de seguridad de los sistemas. En realidad los tres niveles formarían conjuntamente una especie de bloque normativo sobre seguridad en el proceso, jurídica e informática, pues estas dos no son sino las dos caras de una misma moneda.

A) Ordenanzas locales. Especial referencia a Ordenanza o Reglamento de Administración Electrónica.

Es el peldaño inferior a la legislación básica del Estado (y en su caso de la que dicten las CCAA), y se debe desarrollar en el ejercicio de las potestades de auto organización y reglamentaria que ostentan las diferentes Entidades Públicas (si bien pensamos especialmente en los Ayuntamientos).

El impacto de las nuevas leyes de procedimiento, transparencia, contratación pública y régimen jurídico en la administración, en especial la primera, obliga a adaptar a las mismas las normas locales preexistentes en las que se regulan los diferentes procedimientos: Reglamento Orgánico Municipal, Ordenanzas Fiscales, Bases para la selección, Bases de subvenciones, Bases de Ejecución del Presupuesto, Pliegos de cláusulas administrativas, etc. De todo este entramado destacamos dos Reglamentos: el Orgánico (que podría regular cuestiones como la celebración de las sesiones de los órganos colegiados por medios electrónicos), y el propio Reglamento del procedimiento electrónico. En todo caso esta adaptación de normas se acomodará, en cuanto a su tramitación, a lo dispuesto en la Ley de procedimiento en relación al ejercicio de la potestad normativa, principios y trámites, sin perjuicio de las especialidades procedimentales recogidas en la legislación sobre régimen local o sectorial, que en todo caso se aplicarán en primer lugar.

En relación a la Ordenanza o Reglamento de Administración Electrónica, o simplemente Reglamento de Procedimiento, aconsejamos utilizar el modelo adaptado a las nuevas leyes que pone a disposición de los Ayuntamientos la FEMP. Se sugiere la adaptación de este texto modelo a las características, circunstancias y medios de cada Ayuntamiento.

La normativa propia de cada Ayuntamiento, en su caso desarrollada por los documentos y normas técnicas referidos en el punto siguiente, procurará:

  • Determinar las condiciones e instrumentos de creación de sedes electrónicas, garantizando la identificación del órgano titular y los medios disponibles para la formulación de sugerencias y quejas
  • Determinar supuestos de utilización de los sistemas de firma de sello o código seguro de verificación
  • Determinar los sistemas de firma electrónica que puede utilizar su personal
  • Determinar las condiciones y garantías para el intercambio de información de forma segura
  • Cumplir Esquema Nacional de Interoperabilidad (ENI) y Esquema Nacional de Seguridad (ENS)
  • Cumplir todo el marco legal sobre administración electrónica y seguridad (véase el Anexo I a la presente entrada).

B) Documentos políticas de gestión electrónica y Normas Técnicas de Interoperabilidad.

De acuerdo con la normativa sobre régimen local, corresponde al Pleno la aprobación de la los Reglamentos y Ordenanzas previstos en el punto anterior, así como sus modificaciones, y así como de todos los instrumentos normativos y de planificación estratégica en materia de administración electrónica, incluido el Plan de Adecuación al ENS.

ens

Pero en aras del principio de eficiencia, correspondería al Alcalde/Presidente el resto de competencias en materia de administración electrónica. De forma concreta, entendemos que le corresponde a la Alcaldía la aprobación de los documentos derivados del Real Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad, y del Real Decreto 4/2010, por el que se regula el Esquema Nacional de Interoperabilidad, equivalentes a las Normas Técnicas de Interoperabilidad (NTI) de la Administración General del Estado, y en particular los siguientes:

En todo caso los documentos anteriores podrán reproducir, y preferiblemente adaptar, lo previsto en las Normas Técnicas de Interoperabilidad del Estado, las cuales se facilitan junto con sus guías de aplicación y otros documentos de apoyo (fuente: https://administracionelectronica.gob.es):

C) Seguridad de los sistemas.

Como estamos viendo, la seguridad jurídica y la informática se encuentran íntimamente relacionadas; y de forma obligatoria, cada Ayuntamiento debe adoptar las medidas oportunas para su adecuación a las normas del ENS, del ENI, del Reglamento Europeo de Protección de Datos, y sobre la Ciberseguridad. Dichas medidas deben no obstante coordinarse en un contexto superior.

El Centro Criptológico Nacional (CCN) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo. Las Herramientas de Ciberseguridad del Centro Criptológico Nacional, las cuales están a disposición de los Ayuntamientos, son las siguientes:

  • CARMEN (Herramienta de Detección de APTs).
  • CCNDroid (Herramientas de Seguridad para Android)
  • CLARA (Auditoría de Cumplimiento ENS/STIC en Sistemas Windows)
  • INES (Informe de Estado de Seguridad en el ENS)
  • LUCIA (Sistemas de Gestión Federada de Tickets)
  • PILAR (Análisis y Gestión de Riesgos)
  • REYES (Intercambio de Información de Ciberamenazas)

Todo ello dentro de la Estrategia de Ciberseguridad Nacional, que se completa con las citadas Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional.

Por su parte, el CCN-CERT, del Centro Criptológico Nacional (ir directamente a la fuente), ha desarrollado diez informes de buenas prácticas (BP), que se encuentran disponibles en la parte pública de su portal web. Los informes de buenas prácticas que el CCN-CERT elabora de manera periódica están destinados a un público general, y tienen el objetivo de concienciar y orientar a los usuarios sobre el uso seguro de las tecnologías de la información y la comunicación.Los documentos disponibles abordan algunos de los aspectos más importantes en el marco de la ciberseguridad:

En cuanto a las Instrucciones Técnicas de Seguridad del Estado, se observarán las siguientes:

Como ampliación, nos remitimos al material ya publicado en el presente blog respecto de las acciones para el cumplimiento de los Esquemas Nacionales de Seguridad e Interoperabilidad.

© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal.

Anexo I. Marco legal. Normativa española e internacional de referencia (fuente CCN-CERT):

Anexo II. Servicios CCN-CERT:

Un comentario en “Seguridad jurídica y seguridad informática: dos caras de la misma moneda

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s