TRIBUNA LIBRE / OPINIÓN

El reto de la ciberseguridad en las administraciones locales

25/07/2022 - 

Ante los múltiples casos de incidentes de seguridad que se vienen conociendo en los últimos tiempos, casi todos relacionados con ataques de ransomware a diferentes administraciones y organismos públicos, quiero dejar constancia de mi gran preocupación y la de mis colegas de profesión, por las cuestiones de ciberseguridad.

Sólo hay dos tipos de entidades: las que han sufrido un ciberataque, y las que lo van a sufrir.

Las Administraciones Públicas, en general, se encuentran sumidas en una multitud de cambios legislativos, organizativos, procedimentales y técnicos, en relación con sus ámbitos competenciales, entre los que destacan los procesos de modernización, adaptación legislativa, transformación digital y una constante apertura de servicios en entornos abiertos con disponibilidad 24x7.

En las Administraciones Locales, lamentablemente y pese a los 11 años ya de vigencia del Esquema Nacional de Seguridad (ENS), lo que ha primado es la puesta en funcionamiento de servicios de administración electrónica, sin prestar la suficiente atención a la seguridad de la información. En buena parte, por esa escasez de recursos dedicados, sobre todo, de personal TIC (Tecnologías de la Información y la Comunicaciones) formado y experimentado en esas cuestiones.

Todos los procesos que se han vivido en los últimos años, en los que se ha pretendido pasar de una administración casi decimonónica ‘formato papel’ a una ‘administración electrónica y moderna’, ha supuesto un enorme reto y esfuerzo para el personal TIC. Estas iniciativas siempre han sido adicionales a la carga de trabajo base que los departamentos TIC de las AA.LL. veníamos soportando.

Sobre esta cuestión, quiero dejar constancia que las plantillas de personal TIC de las AA.LL. están infravaloradas e infradotadas.

Si lo que se pretende es una transformación digital de los servicios públicos y de ponerse a la altura de la sociedad actual y de lo que la ciudadanía viene reclamando desde hace tiempo, igual que interactúa con sus otras entidades privadas, como por ejemplo su banco, su supermercado o su servicio de comida a domicilio, las plantillas de los TIC de servicios públicos deben dimensionarse acorde a este nuevo paradigma.

Esta situación, en periodo de pandemia, se ha manifestado aún más crítica, ya que la pandemia generada por el virus SARS-Cov-2 obligó a que, en muchos casos, de forma improvisada y muy acelerada, las AA.LL. tuviesen que establecer una prestación del servicio de su personal en un entorno de teletrabajo, para el que muchas de ellas no estaban realmente preparadas. Esta situación no se ha dado solamente en la administración española, sino que ha sido una coyuntura global, afectando a las organizaciones públicas y privadas de todo el mundo.

Aprovechando la situación generada por la pandemia y por las necesidades de las organizaciones de mantener a sus empleados teletrabajando, los grupos de ciberdelincuentes de toda índole han iniciado múltiples campañas de delitos informáticos en diversos formatos, pasando de afectar a particulares y pequeñas empresas a afectar a grandes corporaciones y organismos públicos, desde hospitales a ministerios, pasando por ayuntamientos de todos los tamaños.

En estas situaciones, cuando una de estas amenazas se ha materializado ya, todos las miradas se tornan hacia el personal TIC de la organización atacada, cuando es casi seguro que el origen del incidente estará más bien lejos del departamento TIC.

Además, los profesionales TIC no son los responsables de la ciberseguridad. Tal vez esta afirmación sea controvertida, pero no es mía. El pasado año, el Centro Criptológico Nacional y la Federación Española de Municipios y Provincias publicaron un documento, denominado “Prontuario de ciberseguridad para entidades locales”, en el que se detalla quiénes son los responsables de la ciberseguridad en los ayuntamientos, diputaciones, consells insulares y cabildos. Y no puede sorprender que esos responsables sean los mismos que lo son del resto de actividades de la entidad local, como indica la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, al declarar que “el Gobierno y la administración municipal corresponde al Ayuntamiento, integrado por el alcalde y los concejales”.


Por tanto, la responsabilidad sobre la ciberseguridad, impuesta a las AA.PP. en el Esquema Nacional de Seguridad, tanto la normativa publicada en 2010 como la actual de 2022, corresponde a la persona que ostenta la máxima autoridad en la entidad local, esto es la Alcaldía en el caso de los ayuntamientos o la Presidencia en los casos de entidades locales supramunicipales, y también de los concejales o miembros de la junta de gobierno. El mencionado documento del CCN y la FEMP incluye un Anexo con una tabla de las responsabilidades a asumir por estas figuras en relación con el ENS.

También los Funcionarios con Habilitación Nacional tienen determinadas responsabilidades en materia de ciberseguridad, ya que por Ley “tienen atribuida la dirección de los servicios encargados de su realización, sin perjuicio de las atribuciones de los órganos de gobierno de la Corporación Local en materia de organización de los servicios administrativos”. Y también estas responsabilidades están perfectamente definidas en el ya citado Anexo del prontuario de CCN y la FEMP.

Recordemos que las responsabilidades no pueden delegarse, aunque sí se pueden delegar las tareas que dichas responsabilidades pueden llevar aparejadas. Por tanto, siempre asumiendo esas responsabilidades, las figuras anteriormente citadas, involucradas en las tareas de Gobierno y Gestión de la Entidad Local, han de velar por que todo el personal de la misma se implique en mantener la ciberseguridad, igual que se involucran en el buen funcionamiento de todos los servicios que se prestan a la sociedad. A este respecto, cabe recordar que el ENS plantea la creación de un órgano asesor de los responsables, denominado Comité de Seguridad, en el que se pueden delegar ciertas actividades, pero que no podrá asumir responsabilidad alguna.

Obviamente, los conocimientos, la experiencia y el buen hacer del personal TIC de la AA.LL. serán herramientas para ayudar a ésta a mantener un adecuado nivel de cumplimiento de la seguridad de la información, tanto desde un punto de vista normativo (ENS, LOPD, RGPD) como técnico.

Sin embargo, sé que el personal TIC de las AA.LL. se siente desamparado, abandonado, ignorado o, peor aún, desacreditado en su organización, donde no se capta la importancia estratégica de las tecnologías de la información y las comunicaciones y no se respeta su trabajo. Las TIC aceleran o frenan, pero no son neutras, y las personas que integran estos departamentos TIC sienten que la actitud hacia ellos/as y su repercusión en su organización, no es la adecuada.


Cualquier ejército se prepara para la guerra en tiempos de paz, y la guerra contra el cibercrimen está ya en marcha hace tiempo. No es momento de pensar qué hacer justo después de haber sufrido un ataque, sino que esa posibilidad ha de haber sido contemplada con antelación, evaluados los riesgos y preparadas las contramedidas para evitar, contener y remediar un ataque a la entidad.

De ahí la importancia de que los cargos electos y los funcionarios directivos asuman de forma clara sus responsabilidades al respecto de la ciberseguridad, y comiencen a dotar urgentemente a sus equipos TIC de los recursos apropiados, de forma sostenida, y como parte de las necesidades que la Entidad Local ha de satisfacer con carácter previo a la prestación de servicios al municipio, provincia, o isla. La planificación, el establecimiento de medidas de protección, el cumplimiento normativo, y el entrenamiento y concienciación son las únicas armas frente a esta amenaza contra la sociedad digitalizada.

Quiero destacar en este punto la conveniencia, o más bien la necesidad imperativa, de la colaboración entre AA.PP. y con entidades del sector privado, en la lucha contra el cibercrimen, en todos los ámbitos y facetas posibles: con centros de seguridad compartidos, con sistemas de alerta temprana, con la puesta en común de experiencias en la prevención, contención y remediación de ciberataques, con la concienciación del personal de las AA.PP., con la formación y especialización del personal TIC, y con la lucha policial y judicial contra esta auténtica plaga.

Y si, tras hacer todas las cosas razonablemente bien, por parte de todos los implicados en la ciberseguridad de la entidad, ésta es impactada por un ataque, de nuevo será responsabilidad de todos averiguar qué falló, o qué no se había tenido en cuenta, y cómo actuar para contener el incidente, reparar el daño causado, y evitar que se pueda repetir. No será un buen momento para iniciar una especie de caza de brujas o de cruzada a la búsqueda de culpables, porque éstos ya se conocen y están claramente identificados en el prontuario del CCN y la FEMP. La seguridad no es un proyecto, sino un proceso, y como tal, está sometido a la mejora continua.

Desde mi cargo como presidente de La asociación de técnicos informáticos de la administración local (ATIAL) quiero poner en valor el trabajo que ha desempeñado, en general, el personal TIC de las Entidades Locales, y del resto de AA.PP., tantas veces denostado e ignorado, y animar a todos los responsables políticos y altos funcionarios de las mismas a formar parte activa de una actividad, la ciberseguridad, que claramente comienza en la capa de gobierno de la entidad.

Noticias relacionadas