La Oficina Virtual Tributaria de la Diputación de Segovia se ha convertido en la primera en Castilla y León que recibe la certificación en el Esquema Nacional de Seguridad, lo que supone un importante respaldo al trabajo que se viene realizando dentro de la institución provincial en materia de ciberseguridad en los últimos años. Así lo ha explicado esta mañana el diputado de Recursos Humanos, Gobierno Interior y Administración General, Jaime Pérez en una rueda de prensa en la que ha estado acompañado por el jefe de Servicio de Informática y TIC, José Sanz y el jefe de la Unidad de Telecomunicaciones y Seguridad, Daniel García; en la que ha incidido en que "la ciberseguridad lleva años siendo una prioridad para la Diputación pero se aceleró el proceso de implantación a raíz del incidente sucedido en el año 2021, como parte de sus procesos de transformación digital, dotándose tanto de recursos internos como de apoyo externo".
Estas iniciativas de seguridad requieren del establecimiento de un marco de gobernanza, en el que se designen a los cargos y unidades responsables de dicha gestión y se definan claramente sus competencias en este ámbito. Para ello, a través del Comité de Seguridad se puso en marcha una oficina de ciberseguridad orientada a mejorar la ciberseguridad y el grado cumplimiento normativo. Desde esta oficina se impulsan diferentes iniciativas que permiten mejorar las capacidades de prevención, detección, protección y respuesta, "entre las que destaca la puesta en marcha de un Centro de Operaciones de Seguridad, que permite monitorizar en formato 24x7 los principales activos de la Diputación", ha destacado Pérez.
El Esquema Nacional de Seguridad, de aplicación a todo el Sector Público, así como a los proveedores que trabajan para la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad orientadas en conseguir una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestiona la Diputación en el ejercicio de sus competencias.
Y como la seguridad es un proceso de mejora continua, desde la Diputación de Segovia "hemos trabajado intensamente en la gestión de riesgos, con especial atención en el riesgo humano, donde hemos desplegado diferentes iniciativas para incrementar el grado de conocimiento y sensibilización con el personal, y conseguir así esta importante certificación". Por eso, "seguimos considerando fundamental potenciar nuestra inversión en ciberseguridad, pues es la palanca de la transformación digital, a pesar de que nunca podremos garantizar la absoluta seguridad, ya que, aunque obtener la certificación de seguridad no te vuelve infranqueable, ayuda a minimizar su probabilidad o su impacto". En años sucesivos, desde la Diputación, por tanto, se continuará potenciando la inversión en ciberseguridad, y se buscará la forma de mejorar las capacidades de protección de la información y los sistemas. Tal y como ha añadido Pérez, "nuestro compromiso es real, ya que hemos multiplicado por quince la inversión en ciberseguridad en los últimos cinco años, pasando del 5% al 28%".
Actuaciones en materia de ciberseguridad
La Oficina de ciberseguridad se puso en marcha en 2023, y 2024 dará continuidad a su actividad de coordinación de todas las iniciativas de seguridad y cumplimiento normativo, donde se prevén algunas acciones como los Servicios integrales de monitorización (SOC) desde los que se continúa con el análisis permanente de la actividad en la infraestructura tecnológica de Diputación, y contando, además con un Equipo de Respuesta a Incidentes de Seguridad (CSIRT).
Por otro lado, se continua con las auditorías internas de seguridad tanto de los servicios publicados en internet como de la configuración segura de los activos críticos de la organización. Además, como es obvio, se procederá a la actualización continua de la política de seguridad, así como de normas y procedimientos relacionados, derivados de su consolidación y puesta en marcha, que culminará con la aprobación de una nueva Norma de Uso de Medios Informáticos.
Por último, se seguirá incidiendo en el Plan de concienciación y formación de usuarios en materia de protección de datos y ciberseguridad, con diferentes acciones en materia de formación o envío de píldoras periódicas de seguridad, entre otras actuaciones.