La tecnología avanza y, con ella, surgen e incluso se incrementan los incidentes de seguridad que atacan las administraciones públicas. Es imprescindible garantizar la seguridad en el uso y actividad diaria de la actuación administrativa evitando cualquier interrupción de los servicios públicos a los ciudadanos o cualquier incidente de seguridad que ponga en riesgo los sistemas de información de los que las entidades locales son responsables del tratamiento. No obstante, debemos ser conscientes de que no existe la seguridad total o el riesgo cero ante este tipo de incidentes de seguridad.
¿Cuáles son las consecuencias que provocan los incidentes de seguridad en la entidad?
Los incidentes de seguridad afectan a los sistemas de información de la entidad local y, en cualquier momento y, de manera inesperada nuestra entidad puede sufrirlos. La entidad debe estar preparada para gestionar dichos incidentes de seguridad y, para ello, es fundamental tener claros los daños que esto puede generar, tanto en la propia organización a través de daños en su seguridad como otro tipo de consecuencias que pueden darse en mayor o menor medida como:
- Daño reputacional, debido a que, cualquier incidente de seguridad en la actualidad supone la generación de diferentes noticias e informaciones de las que se hacen eco los medios de comunicación y que implican, consecuentemente, un daño en la reputación de la entidad.
- Daño económico puesto que, la mayoría de las ocasiones en las que ocurre un ciberincidente de seguridad va seguido de una extorsión a la entidad en cuestión solicitando rescates económicos a cambio de la información secuestrada. No se trata únicamente de la extorsión por la paralización de los servicios públicos durante un periodo de tiempo, sino que lo habitual suele ser la solicitud de transferencias económicas a cambio de devolver a la normalidad la actividad diaria de la administración.
- Trastorno a la ciudadanía puesto que los servicios públicos ofrecidos quedan detenidos y sus datos, es decir, todos los sistemas de información de la entidad local se encuentran comprometidos.
Siendo conscientes de la situación a la que nos enfrentamos, es importante implementar todas aquellas medidas tanto técnicas como organizativas para tratar de evitar o minimizar en la medida de lo posible los daños causados por este tipo de incidentes.
¿Cómo afrontar un incidente de seguridad?
Las entidades locales, como el resto de las administraciones van a sufrir muy probablemente un incidente en su seguridad por lo que, es imprescindible centrarse en saber cómo afrontarlo, y saber cómo vamos a actuar cuando ocurra garantizando así la continuidad de los servicios y la vuelta a la actividad diaria lo antes posible y con el menor daño a los sistemas de información.
No se trata de saber si mi ayuntamiento va a sufrir un incidente de seguridad sino estar preparado para cuando ocurra
Se deberá determinar perfectamente qué hacer antes, durante y después del ataque:
- Antes de que ocurra el incidente de seguridad, es importante implementar las medidas de seguridad necesarias para garantizar nuestros sistemas de información.
La mayoría de los incidentes de seguridad que afectan a las entidades locales podrían evitarse o cuanto menos minimizar sus consecuencias. Para ello, debe llevarse a cabo en la entidad un análisis de riesgos con el objetivo de determinar cuáles son los riesgos existentes y aplicar, de esta manera, aquellas medidas de prevención necesarias para garantizar la seguridad tanto de los sistemas de información como de los servicios prestados.
A modo de ejemplo, como medida preventiva se puede establecer la realización de copias de seguridad. Esta medida es preventiva y a la vez, en caso de acabar sufriendo un ataque, se trata de una medida reactiva puesto que, favorece la resiliencia de la organización ante un ataque disponiendo así de copias de seguridad para restaurar los servicios públicos.
- Durante el incidente de seguridad, es imprescindible estar preparados para responder adecuadamente.
La entidad local deberá gestionar todos aquellos incidentes de seguridad que se produzcan en sus sistemas de información, es decir, de los que sean responsables. Esta gestión consta de varias fases según establece la normativa de aplicación:
- Detección
- Clasificación
- Procedimientos de análisis y resolución del incidente
- Comunicación
- Registro de las actuaciones
Si bien es cierto que este procedimiento de gestión de incidentes de seguridad es de aplicación una vez se haya producido dicho incidente, obviamente, es importante que se prepare con anterioridad.
Otra cuestión relevante en este proceso es la comunicación o notificación de incidentes. Es obligatoria la notificación al Centro Criptológico Nacional (CCN) de los incidentes de impacto significativo (niveles Alto, Muy Alto y Crítico). En caso de que se trate de un incidente que afecte a datos personales la notificación a la autoridad de control competente se realizará con independencia del nivel de impacto del incidente.
- Finalmente, tras el incidente, la continuidad de la actividad.
Una vez se ha producido el incidente en la seguridad de nuestra organización, debemos responder y actuar con resiliencia, garantizando la continuidad del servicio.
Las administraciones públicas deben garantizar que, en situación de contingencia, los servicios se siguen prestando bajo unas condiciones predefinidas que minimicen la posible pérdida de información y el tiempo de falta de servicio. En estas situaciones será necesario responder con la suficiente capacidad como para levantar de nuevo el sistema y continuar con la actividad diaria de manera habitual o «normal».
La capacidad de continuidad en la actividad garantiza la continuidad de los servicios.
Esta actuación deberá realizarse lo antes posible por lo que la entidad deberá tener preparado previamente un plan de actuación que incluye un equipo de respuesta a incidentes que gestione cualquier incidencia de seguridad que pueda darse en la entidad. Este órgano es el encargado de prevenir, gestionar y responder eficazmente a los incidentes de seguridad de las tecnologías de información y realizar las acciones orientadas a la contención, erradicación y recuperación de redes, equipos y/o sistemas vulnerados.
Puede ampliar la información sobre este tema, accediendo a la Sección de Administración Electrónica de la Plataforma Corporativa de esPublico: un espacio de contenido especializado dedicado a facilitar la adaptación de las entidades locales a su actuación por medios electrónicos, así como a apoyar el proceso de transformación digital.
La Sección ofrece numerosos recursos explicativos, entre otros, guías didácticas, infografías interactivas, videotutoriales, diccionario de terminología digital, etc.
Puede acceder a la Sección de Administración Electrónica de esPublico, pulsando aquí.