Fi de la pròrroga de la nova ciberseguretat en l’administració pública

La implantació per llei de l’Esquema Nacional de Seguretat (ENS) obliga a adaptar-se a tots els organismes públics, inclosos els ajuntaments petits

Jordi Ferrando i Jordi Vidal, d’Infordisa, ofereixen assessorament legal i tècnic en el procés d’adaptació a l’ENS. FOTO: XAVI JURIO.
Esteve Giralt / Valls

Qualsevol ciutadà té dret, per llei (11/2007), a accedir electrònicament a les administracions públiques per fer els seus tràmits i gestions. Dit d'una altra manera, tots els ciutadans tenen dret a fer els tràmits de forma remota des de casa seva amb l'ordinador o el mòbil. Un dret, una millora per la societat, que suposa nous reptes en matèria de seguretat i noves vulnerabilitats.

Una altra modificació legal introduïda pel Govern espanyol a través d'un Reial Decret (2/2010) obliga totes les administracions públiques, inclosos els ajuntaments o els consells comarcals, més petits o més grans, a adaptar-se a un nou marc normatiu, sota l'anomenat Esquema Nacional de Seguretat (ENS), impulsat pel Ministeri de l'Interior. Un nou model en el control de la ciberseguretat de les gestions electròniques fetes a qualsevol ens públic.

Tot i que ja ha passat una dècada des de l'aprovació del Reial Decret de l'ENS, diversos endarreriments i dues pròrrogues han endarrerit la obligatorietat de les administracions de complir amb els nous requisits en seguretat informàtica en la gestió de la informació. Només les grans administracions, amb molts més recursos, han fet els deures fins ara. El marge, però, s'ha acabat per tothom i els ens públics, també els mitjans i petits, ja no poden endarrerir més la seva implantació. Una situació comparable amb la gestió de la nova llei de protecció de dades, sota legislació europea, que es va anar demorant fins que tothom es va haver de posar les piles de cop i volta.

El que pot veure's com un problema, especialment pels ajuntaments amb menys recursos, és una gran oportunitat per empreses expertes en ciberseguretat que s'han preparat per acompanyar les administracions públiques en tot aquest procés de canvi. És el cas d'Infordisa, consultoria informàtica de Valls (Alt Camp), que s'ha posicionat al mercat per planificar i implantar l'ENS a les administracions públiques i les empreses informàtiques que vulguin treballar amb les organitzacions públiques. Un producte en creixement, des de fa anys en evolució, que ara comença a estar en ebullició pel final dels temps extres de pròrroga.

Consultores com la vallenca Infordisa es postulen per acompanyar les administracions en la implantació del nou paradigma

El primer pas per acabar complint els requisits de l'ENS i aconseguir la certificació, obligatòria per llei, és elaborar un Pla d'adequació, que pot durar entre un i sis mesos. Un cop superada aquesta primera fase, s'han d'implementar les mesures de protecció/controls, que pot durar entre un i dos anys. Cal implantar fins a setanta-cinc mesures de ciberseguretat per millorar el control i la seguretat de les gestions electròniques que ofereix qualsevol administració pública. "Normalment ajuntaments petits, consells comarcals i administracions petites han d'aplicar vora cinquanta mesures de seguretat", destaca Jordi Vidal, consultor de ciberseguretat a Infordisa.

És un procés complex perquè l'administració ha d'acabar implantant un Sistema de Gestió de Seguretat de la Informació (SGSI) a l'organització. Els nous requisits legals impliquen un model de millora continua de la seguretat per un accés més segur i una millor gestió de la informació en els ens públics. Finalment, superades totes les fases prèvies, arriba la fase final de certificació. La nova forma de gestionar la seguretat de la informació suposa definir nous rols dins de l'administració.

"Podem acompanyar les administracions durant tot el procés fins arribar a la certificació, disposem d'un equip molt especialitzat en els SGSI", destaca Vidal. L'empresa vallenca acumula més de trenta anys d'experiència donant un suport informàtic global a administracions públiques i empreses. Infordisa ofereix a més a més un valor afegit gràcies a l'aliança amb Segurdades, companyia també implantada a Valls. "Aportem les dues cares de l'ENS, la part legal i la part tècnica", destaca Jordi Ferrando Lavila, CEO d'Infordisa. Experiència i coneixement intens del sector per lluitar per posicionar-se en un mercat que ara bull.

Posicionar-se en un mercat gegantí

Quan l'Estat va donar la darrera pròrroga per complir l'ENS, fa cinc anys, es va estimar que hi havia més de 80.000 administracions públiques que encara no estaven adaptades a l'Esquema Nacional de Seguretat. Fa només tres anys, només mig centenar d'administracions públiques havien implantat l'ENS. La norma obliga per llei a les diputacions, els ajuntaments, sigui quina sigui la seva mida, hospitals o consells comarcals. També han de complir-ho les empreses municipals, els hospitals, universitats i empreses privades que donin serveis relacionats amb la tramitació electrònica a administracions públiques. A banda, és clar, dels grans ens autonòmics i estatals. El paper de les consultories informàtiques serà clau per la implantació, especialment a petita i mitja escala.

Cal implantar l'ENS tot i tenir externalitzada la gestió informàtica

El Ministeri d'Interior és qui ha impulsat l'Esquema Nacional de Seguretat (ENS) amb l'objectiu d'establir una nova política de seguretat en la utilització de mitjans electrònics i un nou marc amb uns requisits de mínims que permetin la protecció adequada de la informació. La darrera pròrroga, la segona, va acabar a finals de 2017. Dos anys després, Interior ja no donarà més temps extra. En cas que una administració pública, sigui un Ajuntament o un Consell Comarcal, tingui externalitzades les seus electròniques (a la Diputació, l'Administració Oberta de Catalunya o empreses privades), això no l'allibera de complir l'ENS. "El responsable de la informació i serveis es la pròpia entitat local, i ella ha de vetllar per la seguretat de la informació, com gestionar els permisos interns d'accés o quina informació es publica. El fet de tenir externalitzada la seu electrònica a la AOC (per exemple), simplificarà bastant el procés d'adequació a l'ENS, però no l'eximeix de complir-la", explica Jordi Vidal, consultor de ciberseguretat a Infordisa. "Dit d'un altre manera, per a que la teva l'entitat local pugui estar adequada a l'ENS, t'has d'assegurar que el teu proveïdor de serveis de la seu electrònica (o altres serveis relacionats) també estigui adequat a l'ENS", afegeix Vidal.