EL MARCO LEGAL Decía Ortega que al complicarse los problemas se van perfeccionando también los medios para resolverlos. En el caso de la seguridad en los entornos tecnológicos de las administraciones públicas, tengo mis dudas sobre si más allá de perfeccionar los medios corremos el riesgo de complicarlos más aún que los problemas que tratamos de resolver, muchos de los cuales parecen escapar hacia el infinito. Y digo esto después de leer las noticias de espionaje de la NSA estadounidense y de la GCHQ británica según las cuales a finales del pasado año estaban registrando más de 600 millones de comunicaciones diarias tras pinchar más de 200 cables internacionales de fibra óptica, llegando incluso a manipular, para su beneficio, una norma ISO relacionada con encriptación. Estas noticias deprimen al administrador de seguridad más aplicado. Para poder correr esta carrera de la seguridad, parecida a las de galgos tras la liebre mecánica a la que nunca darán alcance, hemos tenido que ir adaptando los perfiles de los responsables de los Servicios de Informática desde los estrictamente tecnológicos (al estilo de la serie “Los Informáticos”) en los que éramos reactivos y teníamos control sobre las cosas, hasta los actuales, donde se entrecruzan facetas de comunicadores, estrategas, formadores, visionarios, gerentes y… juristas. Hemos abandonado nuestros respectivos sótanos en nuestras organizaciones para irnos a primera línea de fuego. En relación a este último “perfil jurídico”, un cúmulo de disposiciones legales nos ha ido definiendo las fronteras que teníamos que defender y en las que teníamos que movernos. Entre ellas destacan la LOPD y posterior Reglamento de Desarrollo, con sus correspondientes inscripciones de ficheros y redacción del Documento de Seguridad, La Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad. A todo esto se añaden las políticas de calidad con sus ISOs correspondientes, ITIL, gestión de externalizaciones, renovación tecnológica, gobierno TI, la implantación de los e-registros, e-documentos, e-facturas y todos los e-posibles y, por último, la duda casi existencial sobre la nube público/privada. Por cierto, se me olvidaba: La irrupción de la crisis en pleno proceso de implantación del ENS son el aderezo imprescindible para darle a todo lo anterior un toque de suspense propio de las mejores películas de cine negro. EL ENTORNO UNIVERSITARIO Una vez adoptado el nuevo rol, nos pusimos manos a la obra sumergiéndonos en la lectura de BOEs y de un afortunado conjunto de Guías que debía iluminarnos hacia nuestro ansiado destino. Y es en este camino, cuando a mi entender, se ha puesto de manifiesto algunas especificidades del entorno universitario en relación a otras Administraciones Públicas que condicionan, y mucho, el sentido de las medidas que se deben ir adoptando. A saber: En otras administraciones el colectivo de usuarios es, en principio, toda la ciudadanía. Eso ha provocado problemas en cuanto a accesibilidad y usabilidad ya que hay que adaptarse a la realidad tecnológica de los ciudadanos a los que se presta el servicio. En este sentido, el uso del dni electrónico está aún lejos de cumplir su objetivo, de manera que se recurre a sistemas de autenticación paralelos basados en códigos, campos de ciertos documentos en papel, u otros similares para la realización de determinados trámites. Pero la universidades tienen bien definidos sus colectivos objetivo: alumnos y proveedores fundamentalmente. Los servicios electrónicos a PDI y PAS son una extensión razonable pero “voluntaria” de la Administración Electrónica, de manera que no se ven afectados inicialmente por el ENS. Sus “usuarios” están por tanto bien identificados, su información se encuentra almacenada en directorios centralizados, disponen de claves de acceso y se tiene suficiente información sobre los mismos para atender las peticiones que se realizan. Esta situación otorga una enorme ventaja. Pero, por otra parte, el colectivo de profesores universitarios utiliza para su trabajo una diversidad de dispositivos (móviles, tabletas, portátiles, con todos los sistemas operativos y todos los tipos de navegadores imaginables e inimaginables), muchas veces de su propiedad, desde los que accede generalmente a información académica de sus alumnos en un entorno BYOD que es anterior a la puesta de moda del propio término. Este entorno ha obligado a desplazar el centro de gravedad de la seguridad desde la sencillez de un PC de sobremesa con una IP fija en una mesa de despacho cerrado con llave hacia otra centrada en las personas que gestionan la información desde cualquier dispositivo, en cualquier lugar y a cualquier hora. Por ejemplo, un profesor puede acceder a sus actas desde su dispositivo móvil desde cualquier lugar del planeta. Esta situación es un verdadero reto para los Responsables de Seguridad que frecuentemente intervienen en la solución de problemas de intrusión, hasta el momento con un elevado nivel de éxito pero, a raíz de la publicación del ENS, también con preocupación por las posibles derivaciones legales. ¿Podrán ser demandados en caso de un agujero de seguridad que permita una modificación ilegítima de las calificaciones de un acta? ¿Y si se ha perdido información acerca de la realización de determinadas actividades académicas que impiden expedir un título? Todo esto hace que el control de este entorno tan heterogéneo sea especialmente complejo en las universidades de forma que los problemas de seguridad conforman también un ecosistema que necesita de un tratamiento específico no exento de dificultades. YES, WE CAN En definitiva, aun considerando el actual marco normativo en relación con la seguridad informática como imprescindible, es innegable la preocupación en los Servicios de Informática universitarios por la responsabilidad que comporta en todos los niveles, incluidos analistas o los propios programadores que ven cómo sus líneas de código afectan a la seguridad de los sistemas, establecen la calidad del servicio público, e incluso pueden delimitar derechos de los usuarios determinando si un formato es o no aceptable, una condición debe o no cumplirse y un acceso debe o no ser permitido. Se plantea así una difícil ecuación según la cual, el incremento de obligaciones que recae sobre los Servicios Informáticos, ya bastante saturados y sin opción de crecimiento, acompañado de una disminución drástica de recursos, debe ser compatible con la implantación tanto del ENS como del ENI, haciendo todas las cosas que debemos hacer, y haciéndolas bien. La búsqueda precipitada de soluciones a este rompecabezas nos puede conducir a una situación final no deseada, por lo que debemos aferrarnos al concepto de mejora continua que se establece en el propio Esquema para planificar la secuencia e intensidad de nuestros esfuerzos. Mientras tanto, vamos supliendo este “gap” entre recursos y necesidad de cumplimiento normativo con una disposición y capacidad de trabajo encomiables por parte de todo el personal de Informática. La pregunta es ¿será esto suficiente?