- Administració oberta
Miquel Estapé, nou director de l’AOC
La ciberseguretat protegeix la privacitat i la seguretat de les dades davant d’amenaces cibernètiques i és fonamental per garantir la confiança de la ciutadania en l’Administració Digital. Des de l’any 2021, l’Índex de Maduresa Digital (IMD) inclou la ciberseguretat en l’avaluació del nivell de transformació digital de les administracions locals, gràcies a la col·laboració de l’Agència Catalana de Cibersegurertat.
La ciberseguretat té com objectiu protegir els sistemes informàtics, les xarxes i les dades contra amenaces cibernètiques, com ara els virus, el malware o els atacs de denegació de servei. A mesura que els ajuntaments avancen en el seu procés de digitalització, augmenta també la seva exposició davant aquestes amenaces. Segons l’Agència Catalana de Cibersegurertat (ACC), els ciberatacs publicats que han afectat el sector públic català es van incrementar més d’un 60% entre 2020 i 2021.
Un ciberatacac pot tenir conseqüències greus, tant pel propi ajuntament com pels ciutadans, com ara el robatori i publicació de dades sensibles, la paralització dels serveis municipals i l’activitat normal de l’ajuntament o patir importants pèrdues econòmiques. A més a més, si la ciutadania percep que les seves dades no estan protegides, pot perdre la confiança en la institució.
D’altra banda, moltes de les dades que gestiona un ajuntament són dades personals dels ciutadans i estan sotmeses a la normativa de protecció de dades. La ciberseguretat és pot considerar una mesura preventiva per evitar la pèrdua, alteració o divulgació de les dades personals
Així doncs, la maduresa digital d’un ajuntament no depèn només de la seva capacitat per oferir serveis digitals, sinó també de la seva capacitat per garantir la seguretat i la privacitat de les dades davant d’atacs maliciosos.
L’IMD avalua la vulnerabilitat davant d’atacs cibernètics mitjançant l’indicador vulnerabilitat de ciberseguretat, que s’obté a partir del nivell d’exposició a vulnerabilitats calculat per l’Agència de Ciberseguretat de Catalunya dins del model de ciberseguretat que ha desplegat per als ajuntaments i ens locals.
El nivell d’exposició a vulnerabilitats s’obté escanejant de forma periòdica els serveis accessibles a Internet de les entitats locals. L’anàlisi compren una sèrie de proves automatitzades de detecció de vulnerabilitats a partir de versions o proves actives (no intrusions, comprovacions) sobre tots els serveis. En funció de les vulnerabilitats detectades, el valor del nivell d’exposició varia entre 0 punts, quan la severitat és nul·la, i 10 punts, quan la severitat és crítica.
L’indicador vulnerabilitat de ciberseguretat de l’IMD s’obté normalitzant el valor del nivell d’exposició a vulnerabilitats i atorgant més punts quan menor és el grau de severitat detectat. L’any 2022 el 74% de les entitats locals tenien una vulnerabilitat de ciberseguretat baixa o mitjà.
L’Esquema Nacional de Seguretat (ENS) és un conjunt de mesures i procediments que han d’adoptar les administracions públiques per garantir la seguretat dels serveis electrònics i de la informació que gestionen. Un dels objectius de la última revisió, publicada el 22 de maig de 2022, és precisament actualitzar els principis bàsics, requeriments mínims i mesures de seguretat de l’ENS per enfortir la ciberseguretat del sector públic.
Per aquest motiu, l’IMD inclou el compliment de l’ENS com un dels indicadors en l’àmbit de la ciberseguretat. L’indicador avalua si el proveïdor del sistema d’administració electrònica que utilitza l’ajuntament apareix en la llista d’entitats certificades del Centre Criptològic Nacional.
L’any 2022 el 79% de les entitats locals utilitzen plataformes d’administració electrònica que disposen de certificat de conformitat de ENS.
El Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica de Protecció de Dades Personals (LOPDGDD),estableixen les obligacions legals que han de complir les organitzacions per protegir les dades de caràcter personal. En el context actual, la ciberseguretat esdevé una part fonamental de la gestió de la protecció de dades personals i, per tant, del compliment de la normativa de protecció de dades personals.
l Delegat de Protecció de Dades (DPD) és el garant del compliment de la normativa de protecció de dades en una organització. Tots els ens locals estan obligats a nomenar un DPD i comunicar la seva designació a l’APDCAT, segons estableixen el RGPD i LOPDGDD.
L’IMD avalua si les entitats locals han nomenat un DPD consultant el Delegats de Protecció de Dades comunicats a l’APDCAT. L’any 2022, el 72% d’entitats locals havien comunicat el deu DPD a l’Autoritat Catalana de Protecció de Dades.
Podeu consultar tots els indicadors de maduresa digital en l’informe Visió detallada de l’ens de l’Índex de Maduresa Digital 2022.