Una vez estudiado el Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad, podemos afirmar que, de alguna manera, el ENS sube de categoría, vista su importancia frente a los ya numerosos casos de ataques y ciberataques a los sistemas de las AAPP. Tal y como establece la fuente del Ministerio, «El presente proyecto es una de las medidas contenidas en el Acuerdo de Consejo de Ministros sobre actuaciones urgentes en materia de ciberseguridad, de 25 de mayo de 2021. El PRD por el que se regula el Esquema Nacional de Seguridad, pretende actualizar el vigente RD 3/2010, de 8 de enero, para adaptarlo a la nueva realidad y al incremento de las ciberamenzas tanto cuantitativa como cualitativamente. El objetivo de esta reforma es garantizar una mejor respuesta ante los ciberataques, así como mejorar la protección en el tratamiento de datos por el Sector Público y aquellas entidades del Sector Privado que colaboren con aquél, estableciendo unos principios básicos y unos requisitos mínimos de seguridad y medidas de protección que deberán llevarse a cabo». Entendemos perfectamente la alerta, porque en efecto, los hackers –más precisamente los crackers– son capaces de la más tremenda destrucción: acceso a información de carácter médico, a nuestras tarjetas de crédito, ataques a los sistemas informáticos de empresas (SegurCaixa Adeslas), Administraciones (ayuntamientos de Carcaixent y Cheste), y por supuesto equipos particulares… Estos accesos son ilegales y, en muchos casos, delictivos (estafas, amenazas, difusión, revelación o cesión ilegal de datos…).
Cuando hablamos de protección es curioso comprobar como casi siempre el debate se centra en la protección de datos. Por supuesto, no vamos a negar la enorme importancia del Reglamento general de protección de datos (RGPD), Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que a la postre trajo precisamente la modificación de la Ley Orgánica de Protección de Datos (hoy también «de garantía de los derechos digitales»). Sin embargo, aunque se habla mucho de protección de datos de carácter personal, pero no son los únicos datos a proteger. En efecto, mucho menos conocido es el Reglamento de libre circulación de datos no personales.
Lo cierto es que disponemos de muchos datos (big data), y muchos de ellos encierran una enorme información. Deberíamos empezar a introducirnos en la cultura de los datos mixtos, que son aquellos datos complejos o grupos de datos formados por datos personales y datos no personales. Esto es fácil de entender con el típico ejemplo de la denegación del acceso a documentos extensos (en lenguaje administrativo, «de muchas páginas»), simplemente porque en la página 57 de 140 consta un dato de carácter personal. Esta denegación es ridícula, porque dicho dato, así como cualesquiera otros protegibles, se puede disociar, pero nos sirve para demostrar que en la vida real los distintos tipos de datos conviven entremezclados, y por tanto también se entremezclan los distintos niveles de protección. Disociación, seudonimización, anonimización, son tareas o herramientas que deberíamos empezar a aplicar (de forma preferiblemente automatizada).
A partir de ahí, en una cultura del open data los datos públicos se ofrecen públicamente, pero los que precisan algún tipo de protección deben protegerse de la mejor manera posible, de manera que no se vean comprometidos. Tenemos entre manos una modificación normativa importante en matera de administración electrónica (el ENS es uno de sus pilares), pero puede ser insuficiente si no se acompaña de la debida sensibilización. Después de todo, si todos cumpliéramos el ENS actual, muchos de estos ciberataques no se habría producido o bien habrían causado un daño mucho menor. Dicho todo lo anterior, la seguridad total no existe. Esto también debemos asumirlo.
Por lo demás, como indicamos en nuestro artículo “Ciberataques a los Ayuntamientos: una amenaza muy real“, publicado en el Diario Levante EMV, el 18 de octubre de 2020, siendo realistas, ninguna organización puede garantizar al 100% que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, si bien el ayuntamiento de Alzira ha implementado, desde hace tiempo, las medidas de seguridad relacionadas el Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Se trata de medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. Entre estos controles, podemos destacar los siguientes (los cuales hacemos públicos para ilustrar a las organizaciones que desean mejorar en seguridad):
- Medidas de carácter preventivo:
- Se realiza periódicamente un análisis de riesgos, identificando los activos críticos del sistema, las relaciones existentes entre los mismos, valorando en términos de seguridad su criticidad y analizando los posibles eventos de seguridad a los que se encuentran sometidos tanto en probabilidad como en impacto, proponiendo para los riesgos resultantes proyectos que ayudan a ser cada día menos tolerantes al riesgo.
- Se proporciona al usuario una configuración “segura por defecto”, de manera que se protege la actividad del usuario, salvo que éste conscientemente se exponga al riesgo.
- Se dispone de un cortafuegos que separa la red interna de la exterior, de manera que sólo se deja transitar los flujos previamente autorizados.
- Se han segregado las redes, acotando el acceso a la información, y por lo tanto, la propagación de incidentes de seguridad, limitándose al segmento afectado.
- Trabajando con personas, un hecho fundamental y en lo que ha insistido el ayuntamiento es en la formación y concienciación del personal, informándoles de las incidencias más habituales, virus actuales y sobre todo, abriendo un canal de comunicación de incidencias de seguridad para que puedan escalar rápidamente cualquier sospecha de incidencia.
- Medidas reactivas:
- Se dispone de herramientas que protegen los servicios web más expuestos (correo electrónico, servicios, aplicaciones web y ataques de denegación de servicio), los cuales disponen de alertas que permiten tomar decisiones tempranas.
- Se dispone de herramientas que protegen al ayuntamiento frente a virus, gusanos, troyanos, programas espías (spyware), y en general, contra cualquier malware.
- Medidas de recuperación:
- Se realizan copias de seguridad que garantizan la continuidad de las operaciones en caso de pérdida de los sistemas habituales de trabajo.
- Se ha realizado un análisis de impacto y consecuentemente planes de continuidad, de manera que se establecen una serie de acciones a realizar en el caso de interrupción de los servicios prestados con los medios habituales.
Todo ello dentro de la Estrategia de Ciberseguridad Nacional, que se completa con las Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional, y sometido además a un proceso de mejora continua de seguridad, de manera que el proceso integral de la seguridad es actualizado y mejorado de forma continua.
Y aún así, queridos lectores, no estamos completamente a salvo. Eso sí, es nuestra obligación, como responsables de los datos de nuestros ciudadanos y, en general, de información especialmente sensible, ponérselo difícil a los crackers.
© TODOS LOS DERECHOS RESERVADOS. NOSOLOAYTOS. WEB OFICIAL DE VÍCTOR ALMONACID LAMELAS 2021. AVISO LEGAL.
Nosoloaytos 
Reblogueó esto en IUSLEXBLOG. .