Las ciberamenazas no son algo que se centra en el sector privado, sino que las Administraciones públicas también están sujetas a estos riesgos.
A modo de ejemplo, el Equipo de Respuesta de Ciberincidentes del Centro Criptológico Nacional (CCN-CERT) gestionó en el año 2016 un total de 20.940 ciberincidentes, detectados principalmente en el sector público y en empresas consideradas de interés estratégico para España, lo que supone un 14,5% más que en 2015. De ellos, el 3,6% fueron considerados por el equipo de expertos del CERT Gubernamental Nacional como muy altos o críticos, en función del grado de peligrosidad determinado por el tipo de amenaza, origen del atacante, perfil del atacado, número o tipología de los sistemas afectados, impacto…
La Administración pública, debido a sus competencias, es gestora de un gran volumen de datos, en muchos casos críticos, y con afectación a toda la ciudadanía dentro de sus competencias. Esa realidad la convierte en el blanco perfecto para ciberdelincuentes organizados, siendo la elaboración y desarrollo de políticas de seguridad bien dimensionadas el escudo ideal para evitar estas amenazas. Para crear una política de seguridad adecuada, es fundamental conocer cuáles son los principales riesgos a los que están sujetas las AAPP. Veamos algunos de ellos:
-
PUESTO DE TRABAJO. Las principales fugas de seguridad se podrían evitar si el puesto de trabajo del funcionario, o personal laboral colaborador, estuviera bloqueado al abandonar temporalmente el puesto, estuviese fuera del acceso de terceros sin autorización o si no tuviera a disposición de otros documentos con información sensible como correos, contraseñas, etc.
-
DISPOSITIVOS. El departamento de IT de las AAPP tiene que determinar cuáles son los requerimientos en materia de dispositivos móviles que requieren los usuarios y establecer normativa, configuraciones, modelos y bloqueos adecuados. No se debe permitir a los usuarios que puedan instalar aplicaciones que no tengan el visto bueno de los responsables de seguridad.
-
USO DE EQUIPOS NO CORPORATIVOS. Cualquier uso y acceso a la información ha de realizarse siempre desde dispositivos controlados y nunca desde equipos públicos o particulares del empleado público. En caso de acceder a correo o información corporativa desde un equipo particular, nunca hay que descargar información.
-
FUGAS DE INFORMACIÓN. La información más débil es la que se encuentra en soporte papel. No es conveniente desechar documentación en los contenedores de la vía pública, por lo que lo ideal sería destruirla con algún medio mecánico o suscribir un acuerdo con una organización certificada para la destrucción confidencial de documentos. Hay que confirmar siempre si el receptor de la información que vamos a enviar o trasladar, es el propietario o interesado para la misma. Nunca hay que facilitar información si no podemos confirmar quién la va a recibir. Esto es aplicable a información digital o en papel.
-
GESTIÓN DE CREDENCIALES. Las políticas de acceso a la información siempre tienen que venir acompañadas de la validación de las credenciales como usuario y su contraseña. Para determinados sistemas será necesario un doble factor de autenticación basado, por ejemplo, en algo que se sabe (una contraseña) y algo que se tiene (un SMS, un token, un certificado digital, etc.). Las contraseñas deberán actualizarse de forma periódica y nunca estar en lugares visibles donde un tercero no interesado, puede tener acceso, según procedimientos y normativa interna claros, por escrito y dados a conocer.
-
PROTECCIÓN DEL PERÍMETRO. El acceso a los servicios vía web, debería limitarse a aquellos que son necesarios para el puesto de trabajo y la labor del empleado público. Firewalls, servidores proxy, filtros de contenido y dispositivos IPS/IDS ayudarán técnicamente a proteger la red interna
-
CORREO ELECTRÓNICO. Cualquier correo que se reciba sin que se pueda certificar el origen o a su emisor, debe ser eliminado. Por tanto, cualquier correo sospechoso tiene que ser eliminado para evitar el acceso de virus y otro malware. Se ha de evitar participar en cadenas de correos que puedan tener como fin, recopilar datos de otros usuarios. Antes de enviar información adjunta por correo electrónico fuera del perímetro, se deben eliminar los metadatos que no sean necesarios y cifrarla si corresponde a su clasificación.
-
CONTINUIDAD DE LA INFORMACIÓN. Elaborar y seguir una política de backups es fundamental para la seguridad de las AAPP. El departamento de IT debe establecer políticas de salvaguarda de la información que garanticen que toda la información se copie y pueda ser recuperada en un plazo de tiempo suficiente según se ha estudiado previamente en un BIA o análisis de impacto para los diferentes servicios públicos prestados a la ciudadanía. Si la implementación práctica será mediante replicación a una ubicación remota en tiempo real o mediante un backup en cintas diario, es consecuencia del referido BIA aprobado por los responsables de los servicios y la información que estos tratan.
-
COMUNICACIONES SEGURAS. Cuando sea necesario enviar información fuera del centro de trabajo, este traslado tendrá que realizarse de forma segura, cifrando la información si viaja en dispositivos extraíbles o asegurando el canal, mediante VPN o https, si lo hace a través de internet.
- SEGURIDAD PERSONAL. La principal garantía para la seguridad de una organización, son sus usuarios. Por tanto, estos tendrán que estar formados y concienciados de modo que estén preparados para detectar cualquier evento que crean que pueda poner en riesgo la seguridad de la información de su departamento o de la AAPP, notificando inmediatamente la incidencia a través de los canales y protocolos establecidos.
A este decálogo podríamos añadir muchas más medidas de protección hasta alcanzar las 75 que determina el Esquema Nacional de Seguridad (ENS), siendo éste un marco normativo obligatorio que persigue asegurar los servicios prestados por las Administraciones públicas y los datos que trata. Para mayor garantía de los ciudadanos, se requiere una certificación acreditada que, una vez obtenida se mostrará en la página Web del organismo que la ha obtenido en forma de sello que enlaza con el certificado acreditativo correspondiente.
Para terminar, únicamente poner de manifiesto que gran parte de los riesgos a los que está sometida una AAPP, se pueden evitar con el conocimiento básico de seguridad alcanzado por los usuarios, y sus buenas prácticas a la hora de llevar a cabo su trabajo diario, apoyados por los mecanismos de seguridad y monitorización de TI. Tan importante es la tecnología de seguridad como el factor humano. En consecuencia, podemos concluir que la seguridad es cosa de todos y, en el caso de la Administración pública, para todos.