(Desarrollo que integra los temas 26, 28, 66 y 29 del programa)
La incorporación de las tecnologías de la información a la gestión pública ha situado a las Administraciones Locales ante un doble reto: por un lado, organizar la prestación de servicios tecnológicos conforme a modelos de gobierno que garanticen calidad, eficiencia y mejora continua; por otro, proteger la información y los sistemas que sustentan esa prestación frente a un entorno de amenazas cada vez más sofisticado. Ambas dimensiones, lejos de ser independientes, conforman un ciclo único de gestión: el gobierno de las tecnologías de la información define cómo se organizan y se prestan los servicios, entre los que se encuentra la propia gestión de la seguridad; la seguridad lógica y la seguridad en las comunicaciones materializan esa protección a nivel de sistemas y de red; y la auditoría informática cierra el ciclo, verificando que lo planificado se cumple efectivamente y retroalimentando todo el proceso. El Ayuntamiento de Madrid, como el resto de Administraciones Públicas, debe además enmarcar esta actuación en un cuerpo normativo específico, entre el que destacan la Ley 39/2015 y la Ley 40/2015, el Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022, de 3 de mayo, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. A lo largo de esta exposición se abordará, en primer lugar, la organización del Centro de Sistemas de Información y los principales modelos de gobierno de las TIC; en segundo lugar, la seguridad lógica de los sistemas de información, con sus riesgos, amenazas y medidas de protección; en tercer lugar, la seguridad en las redes de comunicaciones, centrada en el control de accesos, la criptografía y la seguridad perimetral; y, finalmente, la auditoría informática como instrumento de verificación que cierra el ciclo de gestión de la seguridad.
El Centro de Sistemas de Información constituye la unidad organizativa encargada de planificar, desarrollar, explotar y mantener los sistemas de información de la organización, así como de prestar soporte a los usuarios y de garantizar la seguridad de la información que se gestiona. Sus funciones abarcan, por tanto, desde la definición de la estrategia tecnológica y la gestión de proyectos de desarrollo, hasta la administración de la infraestructura, la explotación diaria de los sistemas en producción, la atención a incidencias y la salvaguarda de los activos de información. Para que esta diversidad de funciones se desarrolle de forma ordenada y homogénea, resulta imprescindible apoyarse en modelos de gobierno reconocidos internacionalmente, que aportan un marco de procesos, buenas prácticas y métricas de calidad.
El referente más extendido en este ámbito es ITIL, acrónimo de Information Technology Infrastructure Library, que en su versión 3 organiza la gestión de los servicios de TI en torno a un ciclo de vida del servicio integrado por cinco fases. La Estrategia del Servicio define qué servicios se van a prestar y con qué objetivo, atendiendo a la gestión de la cartera de servicios y a la gestión financiera. El Diseño del Servicio traduce esa estrategia en especificaciones concretas, e incluye procesos tan relevantes como la gestión de la disponibilidad, la gestión de la capacidad, la gestión de la continuidad del servicio de TI y, de forma muy señalada para el tema que nos ocupa, la gestión de la seguridad de la información, que se encarga de alinear la seguridad de los sistemas con las necesidades del negocio. La Transición del Servicio se ocupa de que los nuevos servicios o sus cambios se incorporen a producción de manera controlada, mediante procesos como la gestión del cambio, la gestión de la configuración y de activos del servicio, y la gestión de versiones y despliegues. La Operación del Servicio garantiza el funcionamiento del día a día a través de la gestión de incidencias, la gestión de problemas, la gestión de eventos y la gestión de peticiones. Por último, la Mejora Continua del Servicio establece mecanismos de medición y de revisión periódica que permiten perfeccionar de manera constante tanto los servicios como los propios procesos de gestión.
Junto a ITIL, que constituye un compendio de buenas prácticas no certificable por sí mismo, la norma ISO/IEC 20000 ofrece un sistema de gestión de servicios de TI que sí es susceptible de certificación, y que se encuentra plenamente alineado con los procesos descritos por ITIL. Esta norma exige a la organización implantar un auténtico sistema de gestión, con políticas, objetivos, planificación, asignación de recursos y revisión periódica por la dirección, de modo que la prestación de servicios de TI quede sometida a un ciclo de mejora continua equivalente al de otros sistemas de gestión normalizados, como los de calidad o medioambiente. Complementariamente, la norma ISO/IEC 19770-1 se centra en la gestión de activos de software, estableciendo los procesos necesarios para mantener un inventario fiable de las licencias y aplicaciones utilizadas por la organización, lo que resulta esencial tanto para el cumplimiento legal en materia de propiedad intelectual como para la optimización del gasto tecnológico.
Estos tres marcos de referencia tienen una consecuencia directa sobre la seguridad: al estructurar la gestión de los servicios de TI mediante procesos formales, sitúan la gestión de la seguridad de la información como una función más, integrada y planificada, y no como una actuación aislada o reactiva. Es precisamente esta planificación la que da paso al desarrollo práctico de las medidas de seguridad lógica que se exponen a continuación.
Mientras que la seguridad física se ocupa de proteger las instalaciones, los equipos y los soportes frente a daños, accesos no autorizados o desastres naturales, la seguridad lógica se centra en la protección de la información y de los sistemas mediante mecanismos software y procedimientos de gestión, con independencia del soporte físico que los contenga. Para abordar esta protección de forma sistemática conviene partir de algunos conceptos básicos, comúnmente empleados en metodologías de análisis de riesgos como MAGERIT: el activo es todo elemento de valor para la organización, ya sea información, software, hardware o personal; la amenaza es todo evento que puede causar un perjuicio sobre un activo; la vulnerabilidad es la debilidad que permite que una amenaza llegue a materializarse; y el riesgo es la combinación de la probabilidad de que una amenaza explote una vulnerabilidad y del impacto que ello produciría sobre la organización.
Entre las amenazas más habituales que afectan a los sistemas de información cabe citar el software malicioso o malware, en sus distintas variantes de virus, troyanos o programas de secuestro de información conocidos como ransomware; los ataques de ingeniería social, entre los que destaca el phishing, dirigido a engañar al usuario para obtener credenciales o información sensible; los ataques de denegación de servicio, orientados a impedir el funcionamiento normal de un sistema o servicio; la fuga o pérdida de información, ya sea por causas técnicas o por negligencia o malicia de los propios usuarios; y, en general, las amenazas de origen interno, que con frecuencia resultan tan relevantes como las externas.
Frente a estos riesgos, la organización debe desplegar un conjunto de medidas de protección lógica de carácter preventivo, detectivo y correctivo. En el plano preventivo resulta fundamental una adecuada gestión de identidades y control de accesos, de modo que cada usuario disponga únicamente de los permisos estrictamente necesarios para el desempeño de sus funciones, conforme al principio de mínimo privilegio; el establecimiento de políticas robustas de contraseñas, reforzadas siempre que sea posible mediante autenticación de doble factor; el cifrado de la información tanto en reposo como en tránsito; y el mantenimiento actualizado de los sistemas mediante una gestión continua de parches y vulnerabilidades. En el plano detectivo cobran protagonismo los sistemas antimalware y los mecanismos de monitorización y registro de la actividad de los sistemas. Y en el plano correctivo y de recuperación resultan imprescindibles las copias de seguridad periódicas y los planes de continuidad que permitan restablecer la operatividad de los servicios ante un incidente grave. A todas estas medidas técnicas debe añadirse, necesariamente, una labor continuada de concienciación y formación de los empleados públicos, dado que el factor humano constituye con frecuencia el eslabón más débil de la cadena de seguridad.
Este conjunto de exigencias se encuentra hoy formalizado, para todas las Administraciones Públicas españolas, en el Esquema Nacional de Seguridad, aprobado por el Real Decreto 311/2022. El ENS se asienta sobre una serie de principios básicos, entre los que destacan la seguridad como un proceso integral, la gestión de riesgos como elemento central de la toma de decisiones, la previsión de líneas de defensa que combinen medidas de naturaleza organizativa, física, lógica y de personal, y la reevaluación periódica de las medidas adoptadas. A partir de la categorización de cada sistema de información en básica, media o alta, en función de la dimensión de seguridad afectada y de las consecuencias de un eventual incidente, el ENS determina el conjunto de medidas de seguridad exigibles, lo que permite a cada organismo dimensionar su esfuerzo de protección de manera proporcionada y homogénea con el resto del sector público.
Si la seguridad lógica protege la información dentro de los propios sistemas, la seguridad en las redes se ocupa de proteger esa información mientras circula entre sistemas, así como de controlar quién puede acceder a la red corporativa y desde dónde. El control de accesos en red se articula tradicionalmente en torno al modelo conocido como AAA, que comprende la autenticación, dirigida a verificar la identidad del usuario o del dispositivo que solicita acceso; la autorización, que determina qué recursos puede utilizar una vez autenticado, conforme a perfiles o roles previamente definidos; y la auditabilidad o registro, que permite dejar constancia de la actividad realizada para su posterior revisión. La fortaleza de la autenticación se incrementa de forma notable mediante el uso de mecanismos de doble o múltiple factor, que combinan algo que el usuario conoce, como una contraseña, con algo que posee, como un dispositivo o un certificado, o con un rasgo propio de naturaleza biométrica.
La protección de la información en tránsito se apoya en las técnicas criptográficas. La criptografía simétrica utiliza una misma clave para cifrar y descifrar la información, resultando especialmente eficiente en términos de rendimiento, mientras que la criptografía asimétrica emplea un par de claves, una pública y otra privada, de manera que lo cifrado con una de ellas únicamente puede descifrarse con la otra. Sobre este segundo principio se construye la infraestructura de clave pública o PKI, que mediante la emisión de certificados digitales por parte de autoridades de certificación permite garantizar de forma fiable la identidad de las partes que intervienen en una comunicación electrónica; en el ámbito de la Administración española, esta infraestructura se materializa en instrumentos como el DNI electrónico o el sistema Cl@ve. Sobre estas mismas bases criptográficas se sustenta la firma electrónica, que proporciona garantías de integridad, de autenticidad del firmante y de no repudio del documento firmado, encontrando su marco normativo de referencia en el Reglamento europeo eIDAS y en la Ley 6/2020, de 11 de noviembre.
Frente a las intrusiones, entendidas como todo intento de acceso no autorizado a un sistema o a una red, se despliegan sistemas de detección de intrusiones, conocidos como IDS, que analizan el tráfico o la actividad del sistema para identificar patrones sospechosos, y sistemas de prevención de intrusiones, conocidos como IPS, que añaden a esa capacidad de detección la posibilidad de bloquear automáticamente el tráfico malicioso. Junto a ellos, el cortafuegos o firewall constituye el elemento básico de control del tráfico que circula entre redes de distinto nivel de confianza, pudiendo basar su funcionamiento en el filtrado de paquetes según direcciones y puertos, en la inspección con estado de las conexiones, en el análisis a nivel de aplicación propio de los cortafuegos de tipo proxy, o en las capacidades avanzadas de los denominados cortafuegos de nueva generación. Una práctica habitual consiste en organizar la arquitectura de red mediante una zona desmilitarizada o DMZ, en la que se ubican los servicios que deben ser accesibles desde el exterior, manteniéndolos así separados de la red interna y reduciendo la superficie de exposición de esta última.
Especial relevancia adquieren, en el contexto actual de generalización del teletrabajo, las redes privadas virtuales o VPN, que permiten establecer un canal de comunicación cifrado entre un punto remoto y la red corporativa a través de una red pública como Internet, de modo que la información transmitida queda protegida frente a la interceptación. Estas redes pueden configurarse como conexiones de acceso remoto, destinadas a que un usuario individual se conecte de forma segura a la red de la organización, o como conexiones de sede a sede, que enlazan de manera permanente dos redes corporativas distantes. Entre los protocolos más utilizados para su implementación destacan IPSec, que opera a nivel de red, y los protocolos basados en SSL/TLS, que operan a nivel de transporte o aplicación. Gracias a estas tecnologías, el empleado público puede desarrollar su actividad en régimen de teletrabajo con las mismas garantías de confidencialidad e integridad que si operase desde las dependencias municipales.
Por último, la seguridad no puede limitarse al perímetro de la red, sino que debe alcanzar igualmente al puesto de trabajo del usuario, mediante la instalación de soluciones antivirus y de detección y respuesta en el puesto, el cifrado de los discos de los equipos, la gestión centralizada de dispositivos móviles, la restricción del uso de dispositivos extraíbles y el establecimiento de políticas de uso aceptable de los medios tecnológicos, completadas siempre con la necesaria concienciación de los empleados.
De poco serviría planificar un adecuado gobierno de las TIC e implantar un completo catálogo de medidas de seguridad lógica y de red si no existiera un mecanismo independiente que permitiera verificar, de manera periódica y objetiva, que tales medidas se encuentran realmente implantadas y que resultan efectivas. Esta función la desempeña la auditoría informática, entendida como el proceso de revisión y evaluación de los sistemas de información, de sus controles y de sus procedimientos, con el fin de determinar su adecuación a los objetivos de la organización y a la normativa aplicable.
Los objetivos de la auditoría informática consisten, fundamentalmente, en verificar el cumplimiento de las políticas, normas y procedimientos internos, así como de la normativa externa aplicable, entre la que se encuentran el propio Esquema Nacional de Seguridad y la normativa de protección de datos personales; evaluar la eficacia real de los controles de seguridad implantados, más allá de su mera existencia formal; identificar vulnerabilidades, deficiencias o riesgos no convenientemente tratados; y proponer recomendaciones de mejora que permitan corregir las debilidades detectadas. El alcance de la auditoría puede ser muy variado, pudiendo centrarse en la seguridad de la información en su conjunto, en el desarrollo y la explotación de aplicaciones concretas, en las infraestructuras y comunicaciones, o en el cumplimiento de obligaciones legales específicas, como las derivadas de la normativa de protección de datos.
En cuanto a su metodología, la auditoría informática se desarrolla habitualmente en varias fases sucesivas. En una primera fase de planificación se definen los objetivos, el alcance y los criterios o marcos de referencia frente a los que se va a evaluar el sistema, entre los que pueden emplearse marcos como COBIT, la norma ISO/IEC 27001 o el propio Esquema Nacional de Seguridad. A continuación, en la fase de ejecución, se procede a la recopilación de evidencias mediante entrevistas con el personal responsable, la revisión de la documentación existente y la realización de pruebas técnicas, entre las que pueden encontrarse análisis de vulnerabilidades o pruebas de penetración controladas. Una vez recabada esta información, se procede a su evaluación y análisis, contrastando la situación real con los requisitos exigibles, lo que permite elaborar un informe de auditoría en el que se recogen los hallazgos detectados y las recomendaciones correspondientes. Finalmente, resulta imprescindible una fase de seguimiento, en la que se verifica la efectiva implantación de las medidas correctoras acordadas en un plan de acción.
No resulta casual que el propio Esquema Nacional de Seguridad exija la realización de auditorías de seguridad con carácter periódico, al menos cada dos años, para los sistemas de categoría media y alta, precisamente porque la auditoría constituye el mecanismo de retroalimentación que permite cerrar el ciclo de gestión de la seguridad. Puede afirmarse, en este sentido, que el gobierno de las TIC, a través de modelos como ITIL o ISO 20000, cumple la función de planificar qué servicios se prestan y cómo se gestiona la seguridad dentro de ellos; las medidas de seguridad lógica y de red, materializadas en controles de acceso, cifrado, cortafuegos y redes privadas virtuales, cumplen la función de ejecutar esa planificación; y la auditoría informática cumple la función de verificar lo ejecutado, generando recomendaciones que se incorporan de nuevo al proceso de mejora continua del servicio. Se reproduce así, en el ámbito específico de la seguridad de la información, el ciclo clásico de planificar, hacer, verificar y actuar que subyace a cualquier sistema de gestión moderno.
El análisis conjunto del gobierno de las tecnologías de la información, de la seguridad lógica de los sistemas y de la seguridad en las redes de comunicaciones, culminado por la función de la auditoría informática, pone de manifiesto que la seguridad de la información en una organización como el Ayuntamiento de Madrid no puede entenderse como una suma de medidas técnicas aisladas, sino como un proceso de gestión integral y continuo. La adopción de modelos de gobierno reconocidos como ITIL, ISO 20000 o ISO 19770-1 proporciona el marco organizativo necesario para que la gestión de la seguridad se planifique de forma coherente con el resto de servicios tecnológicos; el despliegue de medidas de seguridad lógica y de protección de las redes, desde el control de accesos hasta las redes privadas virtuales que sustentan el teletrabajo seguro, materializa esa planificación en la práctica diaria; y la auditoría informática, exigida además con carácter periódico por el Esquema Nacional de Seguridad, garantiza que todo el sistema se revisa, se corrige y se mejora de manera constante. Solo mediante esta integración de gobierno, seguridad y control es posible que la Administración municipal preste servicios digitales eficientes, fiables y respetuosos con los derechos de la ciudadanía, en consonancia con las exigencias derivadas de la Ley 39/2015, de la Ley 40/2015, de la Ley Orgánica 3/2018 y de la Ley 19/2013, de transparencia, acceso a la información pública y buen gobierno.