Economía

El Tribunal de Cuentas denuncia fallos de ciberseguridad en la Agencia de Protección de Datos

Detectan carencias en la implantación del Esquema Nacional de Seguridad (ENS), sistema encargado de proteger la información del ciudadano en las Administraciones Públicas

Guía de compra de los mejores ordenadores portátiles HP
Guía de compra de los mejores ordenadores portátiles HP

Un informe del Tribunal de Cuentas correspondiente a los ejercicios de 2016 y 2017 refleja carencias en la adopción del Esquema Nacional de Seguridad (ENS) por parte de la Agencia Española de Protección de Datos (AEPD), organismo responsable de hacer cumplir la Ley Orgánica de Protección de Datos (LOPD).

El Esquema Nacional de Seguridad estipula las directrices que deben asumir las Administraciones Públicas para proteger la información del ciudadano frente a riesgos como el que suponen los ciberataques. La AEPD no está cumpliendo con los requisitos.

"Se han detectado carencias en la implantación técnica del Esquema Nacional de Seguridad (ENS) que se manifiestan en los siguientes aspectos: no se monitoriza proactivamente el tráfico de red y los servidores para detectar comportamientos anómalos, ni se ha instalado un sistema de gestión de información y eventos de seguridad (SIEM) que permita analizar y correlacionar los eventos de seguridad para alertar de comportamientos peligrosos", explica el documento público firmado por el Tribunal de Cuentas.

La Agencia Española de Protección de Datos ha tenido en los ejercicios a los que se refiere el informe (2016 y 2017) los presupuestos congelados, con un crédito para la gestión de 14,1 millones de euros

La falta de personal especializado es una parte del problema para la Agencia Española de Protección de datos, tanto en el caso de la gestión de las incidencias relacionadas con la vulneración de la ley de datos como de una correcta gestión de la ciberseguridad. Aunque es algo que no es aireado públicamente desde el organismo, sus cargos directivos sí muestran su descontento en petit comité. Demandan más recursos y profesionales para cumplir con su cometido, algo que depende de los Presupuestos Generales del Estado (PGE).

Móviles desprotegidos

El tratamiento de información sensible, como es el caso de expedientes sancionadores, es también otro de los fallos de seguridad detectados por el Tribunal de Cuentas. "Debido al impacto que tiene en la actividad de la agencia el sistema SIGRID, que contiene información interna de procedimientos administrativos sancionadores, se considera necesario catalogar el sistema como nivel medio en el ENS y, por tanto, realizar auditorías externas de seguridad sobre el mismo. El tráfico interno de las aplicaciones SIGRID y Alfresco (Gestor documental) -son sobre las que corren los expedientes sancionadores- no están cifradas", explica el Tribunal de Cuentas.

Además, los teléfonos móviles utilizados por los profesionales de la AEPD no cuentan con una seguridad acorde con la importancia de la naturaleza del organismo. Desde el Tribunal de Cuentas explican que no existen controles que aseguren el cumplimiento de las políticas de seguridad exigidos para este tipo de dispositivos.

La batería de críticas en torno a la ciberseguridad de la AEPD no concluye aquí. "El personal TIC de la Agencia no ha recibido formación específica y transversal suficiente sobre seguridad informática que aumente su especialización; y la entidad no cuenta con un funcionario especializado en la implantación técnica de la seguridad informática que coordine y apoye todas las acciones técnicas trasversales en todos los sistemas de información", explica el informe.

También se denuncian fallos en el control de los documentos físicos lanzados por los empleados a las impresoras de las oficinas de la AEPD. Se requiere un sistema, por la confidencialidad de gran parte de la documentación tratada, que requiera de la persona física que ordena la impresión para poder recoger la misma. Un sistema que no existe.

Presupuestos congelados

La Agencia Española de Protección de Datos ha tenido el presupuesto congelado en los ejercicios a los que se refiere el informe (2016 y 2017), con un crédito de 14,1 millones de euros. Sin embargo, en 2018 la aportación se incrementó en casi 300.000 euros, hasta alcanzar cerca de 14,3 millones de euros.

La AEPD publicó tras el informe del Tribunal de Cuentas una serie de alegaciones. El organismo explica que al ser un informe de los ejercicios de 2016 y 2017 varias de las irregularidades reflejadas -y que van más allá de la ciberseguridad- ya han sido solventadas, o están en camino de solventarse. En el caso concreto de la información que nos ocupa se alega lo siguiente (textual):

  • Durante el proceso de fiscalización, la AEPD informa de que se encuentra ya en proceso de revisión de la categorización de los sistemas en esta misma línea, (como así se identifica en el informe de auditoría interna de seguridad de 2018), así como la consiguiente revisión de los controles derivados de dicha categorización, entre otros, la realización de una auditoría externa formal y la certificación de conformidad correspondiente. Por otro lado, adelantándose al proceso formal de revisión y sin perjuicio de otras medidas adicionales, la Agencia ha trasladado ya a sus proveedores de sistemas de la información, la exigencia de las medidas de seguridad correspondientes al nivel medio del ENS para el sistema SIGRID, en el momento de renovación de los contratos que dan soporte a la prestación de estos servicios (77/2018 y 90/2018).
  • En la Agencia no existen sistemas que requieran aplicar medidas de nivel alto según el ENS, por lo que el cifrado en tránsito de la información no es obligatorio.
  • Durante el proceso de auditoría ya se indicó que la Agencia estaba en proceso de integración en el sistema de monitorización del Centro Criptológico Nacional (CCN), así como en la ejecución de un proyecto de instalación de una sonda propia mediante un servicio externalizado recientemente adjudicado a un proveedor de seguridad. En este momento, ya se encuentran operativos ambos sistemas que monitorizan tanto tráfico de red como los servidores.
  • Sobre el sistema MDM, hay que decir que es un servicio centralizado por la Administración General del Estado (AGE) y que se ofrece a partir de la integración en la red de comunicaciones de la AGE, momento planificado por la propia AGE para marzo de 2020. La implantación de un servicio propio de MDM por la Agencia fue recientemente evaluado y pospuesto al momento de integración en el servicio de la AGE por motivos de oportunidad y eficiencia de costes.

Recibe cada mañana nuestra selección informativa

Acepto la política de privacidad


Comentar | Comentarios 0

Tienes que estar registrado para poder escribir comentarios.

Puedes registrarte gratis aquí.

  • Comentarios…

Más comentarios

  • Mejores comentarios…
Volver arriba