Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 31

Más recientemente, el 6 de julio de 2016 se aprobó
la Directiva 2016/1148 del Parlamento Europeo y del
Consejo relativa a las medidas destinadas a garantizar
un elevado nivel común de seguridad de las redes y
sistemas de información en la Unión, también conocida
como Directiva de Ciberseguridad o Directiva NIS.
El presidente de la Comisión Europea J.C. Juncker
señaló, el 13 de septiembre de 2017, en su discurso del
Estado de la Unión que la cuarta prioridad de la Comi-
sión para el próximo año es “proteger mejor a los euro-
peos en la era digital”. Continuaba señalando que “los
ciberataques pueden ser más peligrosos para la estabili-
dad de las democracias y las economías que las armas y
los tanques. … Los ciberataques no conocen fronteras y
nadie es inmune a ellos.”
Las ciberamenazas también han forzado a los gobier-
nos nacionales a diseñar estrategias frente a ellas, como
la elaborada en 2013 por el Gobierno de España y reco-
gida en la “Estrategia de Ciberseguridad Nacional”.
En noviembre de 2016 entraron en vigor en nuestro
país las leyes 39/2015, del Procedimiento Administrativo
Común de las Administraciones Públicas y la 40/2015,
de Régimen Jurídico del Sector Público, ambas de 1 de
octubre de 2015. Estas leyes constituyen el eje vertebra-
dor de las relaciones de los ciudadanos y sus Adminis-
traciones Públicas y de estas entre sí, consagrándose el
uso de las herramientas electrónicas basadas en sistemas
de información interconectados, como el medio habitual
para encauzar tales relaciones y el principio de “digital
por defecto” en el funcionamiento de la administración.
También suponen el impulso definitivo para la transfor-
mación digital del sector público, transformación para la
que los OCEX deben prepararse sin demora.
Según la Ley 40/2015, el Esquema Nacional de Se-
guridad (ENS) tiene por objeto establecer la política de
seguridad en la utilización de medios electrónicos en el
ámbito de dicha Ley, y está constituido por los princi-
pios básicos y requisitos mínimos que garanticen ade-
cuadamente la seguridad de la información tratada.
En España el Centro Criptológico Nacional (CCN)
es la entidad que tiene encomendada las funciones rela-
tivas a la seguridad de las tecnologías de la información
y de protección de la información clasificada. También
elabora y difunde normas, instrucciones, guías y reco-
mendaciones para garantizar la seguridad de los siste-
mas TIC de las administraciones públicas.
El Instituto Nacional de Ciberseguridad (INCIBE) es la
entidad de referencia para el desarrollo de la ciberseguri-
dad e impulsar el uso seguro del ciberespacio en España.
En resumen, la importancia máxima de la cibersegu-
ridad en los actuales entornos de administración elec-
trónica está en estos momentos fuera de toda discusión.
El crecimiento y extensión de los ciberataques padeci-
dos en los últimos tiempos ha fortalecido la conciencia-
ción de los gestores públicos para implantar controles
robustos que hagan frente a las ciberamenazas y miti-
guen su impacto en las administraciones públicas.
1. QUÉ ES LA CIBERSEGURIDAD
Aunque el término “ciberseguridad” sea posiblemen-
te uno de los más utilizados en los últimos años, tanto
en ámbitos profesionales como generales, no existe una
definición o significado preciso de general aceptación.
Para abordar esta cuestión ENISA publicó en 2015 un
estudio titulado “
Definition of Cybersecurity
” que anali-
zaba las distintas acepciones del término.
ISACA, una organización de referencia en materia de
auditoría de sistemas de información considera (ISACA,
2013) que el término “ciber” en el contexto de la seguri-
dad de la información es utilizado a menudo en un senti-
do demasiado amplio y ciñen el término ciberseguridad
a todo lo que protege a entidades públicas, privadas e
individuos de ataques intencionados e incidentes graves
y de sus consecuencias. Según ISACA la ciberseguridad
hace frente principalmente a los ataques e incidentes que
están focalizados, son sofisticados, difíciles de detectar
y controlar, hace frente básicamente a las denominadas
amenazas avanzadas persistentes (APT en inglés).
En mi opinión, esta visión de la ciberseguridad es im-
portante puesto que se centra en amenazas provenientes
de estados, de grupos terroristas o de mafias internacio-
nales, pero desde el punto de vista del auditor externo
es excesivamente restringida
5
y debe abarcar un ámbito
más amplio.
Basta echar un vistazo a la amplitud de las amenazas
de ciberseguridad publicada por ENISA que se muestra
en la figura 1 (ENISA, 2016), para llegar a la conclusión
de que la ciberseguridad no solo se refiere a las APT,
sino que es una cuestión mucho más común que debe
ser abordada por todas las entidades públicas de forma
integrada en sus políticas de seguridad de la informa-
ción.
La ciberseguridad, el auditor externo y los OCEX
29
Auditoría Pública nº 70
(2017), pp. 27 - 38
5
Matthew Loeb, CEO de ISACA no solo compartía este mismo punto de vista el 22 de agosto de 2017 en csoonline.com, también defendía que la ciberseguridad
debe ser una materia escolar:
For nations and governments, cyber security must be a prime concern across the breadth of government at all levels and in all functions of government…
For individuals, the journey towards a cyberculture should begin as early as possible. We need to make cyber security and good ‘online hygiene’ part of core curricula at the
pre-university level, to imbed the concept of security online at the earliest possible levels and ensure that tomorrow’s digital (and eventually cognitive) natives don’t make
cyber security an afterthought. Much like many universities already include humanities or similar courses as graduation requirements, we need to give similar importance
to cyber security courses at the university level
.”
1...,21,22,23,24,25,26,27,28,29,30 32,33,34,35,36,37,38,39,40,41,...170
Powered by FlippingBook