El director general de Telecomunicaciones y Nuevas Tecnologías, Alipio García, ha mantenido una reunión con la Viceconsejería de Administración Local y Coordinación Administrativa, a través de su Servicio de Seguridad y Protección de Datos, con el fin de potenciar acciones contra las amenazas de ciberataques en las Administraciones públicas con servicios tecnológicamente avanzados.
Tras el creciente impulso tecnológico realizado por la Junta de Comunidades de Castilla-La Mancha en estos últimos años, se hace muy importante incrementar las medidas de seguridad informática que eviten los ataques de la ciberdelincuencia organizada.
El cibercrimen y las ciberamenazas son consideradas como una de las mayores preocupaciones de los ciudadanos en las sociedades más avanzadas y todas las organizaciones, tanto públicas como privadas, dedican grandes esfuerzos en su contención y aseguramiento. Las Administraciones públicas disponen de información relevante y deben evitar este tipo de delitos interponiendo barreras tecnológicas que minimicen el riesgo de sustracción o pérdida de información.
En la reunión multidisciplinar de coordinación administrativa mantenida en el ámbito de la seguridad tecnológica, el director general ha supervisado el estado de los proyectos de seguridad TIC. En el último año se han superado satisfactoriamente dos auditorías donde se ha puesto en valor la madurez de organización en cuanto a seguridad, el cierre de todos los incidentes y las mejoras continuas que se realizan en el procedimiento de gestión de incidentes.
En el informe anual, se ha dado cuenta del cumplimiento del plan de tratamiento de riesgos y de los objetivos de calidad y seguridad del curso 2016/2017. En dicho informe, se aprecia además una reducción sustancial del número de incidentes desde los últimos cambios en seguridad realizados, a principios de año, por el servicio de comunicaciones de la Consejería de Fomento, siguiendo la planificación y, meses antes, de los ciberataques de ‘ransomware’ donde la consejera de Fomento, Agustina García Élez, confirmó que el ataque informático malicioso que se produjo a nivel mundial no había tenido ninguna consecuencia para la Junta de Comunidades de Castilla-La Mancha. No obstante, y como acciones de contingencia, se decidió incrementar las medidas de seguridad TIC en diferentes ámbitos.
El primer conjunto de medidas, tuvo como objetivo la concienciación del personal de la Administración regional. En un segundo bloque de proyectos, se realizó un análisis sobre los procedimientos administrativos con reingeniería de procesos validando así los diferentes niveles de seguridad y redefiniendo aquellos para minimizar sus vulnerabilidades. Ya en el ámbito de las redes de comunicaciones y seguridad perimetral se han desarrollado proyectos encaminados a la segmentación de redes y control de accesos. Y, por último, se han reforzado los sistemas de ‘back up’ y las políticas de copias de seguridad, dotando de una mayor protección de los datos de los ciudadanos y asegurando así la disponibilidad de los servicios ante cualquier tipo de contingencia.
También en esta reunión de seguimiento de los procesos y controles de seguridad del Sistema de Gestión Unificado de los sistemas de información de la Junta, se ha aprobado el Plan de Tratamiento de Riesgos y los objetivos de calidad y seguridad para el nuevo periodo 2017-2018.
Estos dos conjuntos de proyectos suponen además una mejora en el cumplimiento del Real Decreto 3/2010 del Esquema Nacional de Seguridad encargado de proporcionar los principios básicos y requisitos mínimos que deben cumplir los sistemas de información en el ámbito de las administraciones públicas. El objetivo es salvaguardar los datos de los ciudadanos y protegerlos ante tratamientos y accesos indebidos. Este aspecto resulta de vital importancia en estos momentos donde las organizaciones sufren amenazas a nivel mundial.
Pioneros en la gestión de la Seguridad de la Información de sus sistemas informáticos
La Junta de Comunidades de Castilla-La Mancha lleva una larga andadura en cuanto a certificaciones de seguridad de los sistemas informáticos, constituyéndose en una de las entidades públicas con mayor preocupación en la protección y defensa de este derecho de los ciudadanos. Desde hace más de diez años que se obtuvo la primera certificación en la norma ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información, otros muchos organizadores han seguido su ejemplo.
A su vez, y junto al anterior cumplimiento normativo, se unió la certificación en calidad UNE-EN ISO 9001 obteniendo de esta manera una visión complementaria en cuanto a seguridad y calidad se refiere. Ya, por último, y en este mismo año, se ha obtenido una nueva certificación de conformidad con el Esquema Nacional de Seguridad.
La obtención de estos certificados acreditados por AENOR supone un complejo entramado tecnológico de actuaciones coordinadas en los diferentes ámbitos (dirección, gestión y técnico), llegando a movilizar a más de 50 empleados públicos para obtener estas acreditaciones ISO/(IEC 27001 Sistema de Gestión de Seguridad de la Información, UNE-EN-ISO 9001 Sistema de Gestión de Calidad y conformidad con el Esquema Nacional de Seguridad.
La obtención de estas certificaciones supone además de un gran esfuerzo administrativo y un ejemplo de coordinación entre diferentes Consejerías en el ámbito de la Administración regional. Por un lado, y dentro de la Consejería de Fomento, la Dirección General de Telecomunicaciones y Nuevas Tecnologías se configura como el soporte de la infraestructura tecnológica (comunicaciones, servidores y seguridad perimetral) de los Sistemas de Información de la Junta de Comunidades de Castilla-La Mancha.
Y, por otro lado, y para asegurar el cumplimiento normativo, la Consejería de Hacienda y Administraciones Públicas, a través de la Viceconsejería de Administración Local y Coordinación Administrativa, verifica el cumplimiento de todos los requerimientos conforme a la legalidad vigente.
