descárgate el documento al completo en pdf

Anuncio
EL MARCO LEGAL
Decía Ortega que al complicarse los problemas se van perfeccionando también los medios para
resolverlos. En el caso de la seguridad en los entornos tecnológicos de las administraciones
públicas, tengo mis dudas sobre si más allá de perfeccionar los medios corremos el riesgo de
complicarlos más aún que los problemas que tratamos de resolver, muchos de los cuales
parecen escapar hacia el infinito. Y digo esto después de leer las noticias de espionaje de la
NSA estadounidense y de la GCHQ británica según las cuales a finales del pasado año estaban
registrando más de 600 millones de comunicaciones diarias tras pinchar más de 200 cables
internacionales de fibra óptica, llegando incluso a manipular, para su beneficio, una norma ISO
relacionada con encriptación. Estas noticias deprimen al administrador de seguridad más
aplicado.
Para poder correr esta carrera de la seguridad, parecida a las de galgos tras la liebre mecánica
a la que nunca darán alcance, hemos tenido que ir adaptando los perfiles de los responsables
de los Servicios de Informática desde los estrictamente tecnológicos (al estilo de la serie “Los
Informáticos”) en los que éramos reactivos y teníamos control sobre las cosas, hasta los
actuales, donde se entrecruzan facetas de comunicadores, estrategas, formadores, visionarios,
gerentes y… juristas. Hemos abandonado nuestros respectivos sótanos en nuestras
organizaciones para irnos a primera línea de fuego.
En relación a este último “perfil jurídico”, un cúmulo de disposiciones legales nos ha ido
definiendo las fronteras que teníamos que defender y en las que teníamos que movernos.
Entre ellas destacan la LOPD y posterior Reglamento de Desarrollo, con sus correspondientes
inscripciones de ficheros y redacción del Documento de Seguridad, La Ley de Acceso
Electrónico de los Ciudadanos a los Servicios Públicos, Esquema Nacional de Interoperabilidad
y Esquema Nacional de Seguridad. A todo esto se añaden las políticas de calidad con sus ISOs
correspondientes, ITIL, gestión de externalizaciones, renovación tecnológica, gobierno TI, la
implantación de los e-registros, e-documentos, e-facturas y todos los e-posibles y, por último,
la duda casi existencial sobre la nube público/privada.
Por cierto, se me olvidaba: La irrupción de la crisis en pleno proceso de implantación del ENS
son el aderezo imprescindible para darle a todo lo anterior un toque de suspense propio de las
mejores películas de cine negro.
EL ENTORNO UNIVERSITARIO
Una vez adoptado el nuevo rol, nos pusimos manos a la obra sumergiéndonos en la lectura de
BOEs y de un afortunado conjunto de Guías que debía iluminarnos hacia nuestro ansiado
destino. Y es en este camino, cuando a mi entender, se ha puesto de manifiesto algunas
especificidades del entorno universitario en relación a otras Administraciones Públicas que
condicionan, y mucho, el sentido de las medidas que se deben ir adoptando. A saber:
En otras administraciones el colectivo de usuarios es, en principio, toda la ciudadanía. Eso ha
provocado problemas en cuanto a accesibilidad y usabilidad ya que hay que adaptarse a la
realidad tecnológica de los ciudadanos a los que se presta el servicio. En este sentido, el uso
del dni electrónico está aún lejos de cumplir su objetivo, de manera que se recurre a sistemas
de autenticación paralelos basados en códigos, campos de ciertos documentos en papel, u
otros similares para la realización de determinados trámites. Pero la universidades tienen bien
definidos sus colectivos objetivo: alumnos y proveedores fundamentalmente. Los servicios
electrónicos a PDI y PAS son una extensión razonable pero “voluntaria” de la Administración
Electrónica, de manera que no se ven afectados inicialmente por el ENS. Sus “usuarios” están
por tanto bien identificados, su información se encuentra almacenada en directorios
centralizados, disponen de claves de acceso y se tiene suficiente información sobre los mismos
para atender las peticiones que se realizan. Esta situación otorga una enorme ventaja.
Pero, por otra parte, el colectivo de profesores universitarios utiliza para su trabajo una
diversidad de dispositivos (móviles, tabletas, portátiles, con todos los sistemas operativos y
todos los tipos de navegadores imaginables e inimaginables), muchas veces de su propiedad,
desde los que accede generalmente a información académica de sus alumnos en un entorno
BYOD que es anterior a la puesta de moda del propio término. Este entorno ha obligado a
desplazar el centro de gravedad de la seguridad desde la sencillez de un PC de sobremesa con
una IP fija en una mesa de despacho cerrado con llave hacia otra centrada en las personas que
gestionan la información desde cualquier dispositivo, en cualquier lugar y a cualquier hora. Por
ejemplo, un profesor puede acceder a sus actas desde su dispositivo móvil desde cualquier
lugar del planeta. Esta situación es un verdadero reto para los Responsables de Seguridad que
frecuentemente intervienen en la solución de problemas de intrusión, hasta el momento con
un elevado nivel de éxito pero, a raíz de la publicación del ENS, también con preocupación por
las posibles derivaciones legales. ¿Podrán ser demandados en caso de un agujero de seguridad
que permita una modificación ilegítima de las calificaciones de un acta? ¿Y si se ha perdido
información acerca de la realización de determinadas actividades académicas que impiden
expedir un título?
Todo esto hace que el control de este entorno tan heterogéneo sea especialmente complejo
en las universidades de forma que los problemas de seguridad conforman también un
ecosistema que necesita de un tratamiento específico no exento de dificultades.
YES, WE CAN
En definitiva, aun considerando el actual marco normativo en relación con la seguridad
informática como imprescindible, es innegable la preocupación en los Servicios de Informática
universitarios por la responsabilidad que comporta en todos los niveles, incluidos analistas o
los propios programadores que ven cómo sus líneas de código afectan a la seguridad de los
sistemas, establecen la calidad del servicio público, e incluso pueden delimitar derechos de los
usuarios determinando si un formato es o no aceptable, una condición debe o no cumplirse y
un acceso debe o no ser permitido.
Se plantea así una difícil ecuación según la cual, el incremento de obligaciones que recae sobre
los Servicios Informáticos, ya bastante saturados y sin opción de crecimiento, acompañado de
una disminución drástica de recursos, debe ser compatible con la implantación tanto del ENS
como del ENI, haciendo todas las cosas que debemos hacer, y haciéndolas bien. La búsqueda
precipitada de soluciones a este rompecabezas nos puede conducir a una situación final no
deseada, por lo que debemos aferrarnos al concepto de mejora continua que se establece en
el propio Esquema para planificar la secuencia e intensidad de nuestros esfuerzos. Mientras
tanto, vamos supliendo este “gap” entre recursos y necesidad de cumplimiento normativo con
una disposición y capacidad de trabajo encomiables por parte de todo el personal de
Informática. La pregunta es ¿será esto suficiente?
Descargar