La ciberseguridad protege la privacidad y la seguridad de los datos frente a amenazas cibernéticas y es fundamental para garantizar la confianza de la ciudadanía en la Administración Digital. Desde 2021, el Índice de Madurez Digital (IMD) incluye la ciberseguridad en la evaluación del nivel de transformación digital de las administraciones locales, gracias a la colaboración de la Agencia Catalana de Ciberseguridad.
¿Por qué evaluamos la ciberseguridad?
La ciberseguridad tiene como objetivo proteger los sistemas informáticos, redes y datos contra amenazas cibernéticas, como los virus, el malware o los ataques de denegación de servicio. A medida que los ayuntamientos avanzan en su proceso de digitalización, aumenta también su exposición frente a estas amenazas. Según la Agencia Catalana de Ciberseguridad (ACC), los ciberataques publicados que han afectado al sector público catalán se incrementaron más de un 60% entre 2020 y 2021.
Un ciberataque puede tener consecuencias graves, tanto por el propio ayuntamiento como por los ciudadanos, como el robo y publicación de datos sensibles, la paralización de los servicios municipales y la actividad normal del ayuntamiento o sufrir importantes pérdidas económicas. Además, si la ciudadanía percibe que sus datos no están protegidos, puede perder su confianza en la institución.
Por otra parte, muchos de los datos que gestiona un ayuntamiento son datos personales de los ciudadanos y están sometidos a la normativa de protección de datos. La ciberseguridad se puede considerar una medida preventiva para evitar la pérdida, alteración o divulgación de los datos personales
Así pues,a madurez digital de un ayuntamiento no depende sólo de su capacidad para ofrecer servicios digitales, sino también de su capacidad para garantizar la seguridad y la privacidad de los datos frente a ataques maliciosos.
Vulnerabilidad de ciberseguridad de los entes locales
El IMD evalúa la vulnerabilidad ante ataques cibernéticos mediante el indicador vulnerabilidad de ciberseguridad, que se obtiene a partir del nivel de exposición a vulnerabilidades calculado por la Agencia de Ciberseguridad de Catalunya dentro del modelo de ciberseguridad que ha desplegado para los ayuntamientos y entes locales.
El nivel de exposición a vulnerabilidades se obtiene escaneando de forma periódica los servicios accesibles en Internet de las entidades locales. El análisis comprende una serie de pruebas automatizadas de detección de vulnerabilidades a partir de versiones o pruebas activas (no intrusiones, comprobaciones) sobre todos los servicios. En función de las vulnerabilidades detectadas, el valor del nivel de exposición varía entre 0 puntos cuando la severidad es nula y 10 puntos cuando la severidad es crítica.
El indicador vulnerabilidad de ciberseguridad del IMD se obtiene normalizando el valor del nivel de exposición a vulnerabilidades y otorgando más puntos cuando menor es el grado de severidad detectado. En 2022 el 74% de las entidades locales tenían una vulnerabilidad de ciberseguridad baja o medio.
Cumplimiento del Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS) es un conjunto de medidas y procedimientos que deben adoptar las administraciones públicas para garantizar la seguridad de los servicios electrónicos y de la información que gestionan. Uno de los objetivos de la última revisión, publicada el 22 de mayo de 2022, es precisamente actualizar los principios básicos, requerimientos mínimos y medidas de seguridad del ENS para fortalecer la ciberseguridad del sector público.
Por este motivo, el IMD incluye el cumplimiento del ENS como uno de los indicadores en el ámbito de la ciberseguridad. El indicador evalúa si el ayuntamiento ha publicado un certificado de conformidad del ENS en su página web o si el proveedor del sistema de administración electrónica que utiliza el ayuntamiento aparece en lista de entidades certificadas del Centro Criptológico Nacional.
En 2022 el 79% de las entidades locales utilizan plataformas de administración electrónica que disponen de certificado de conformidad de ENS.
Nombramiento de delegado de protección de datos
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales (LOPDGDD), establecen las obligaciones legales que deben cumplir las organizaciones para proteger los datos de carácter personal. En el contexto actual, la ciberseguridad se convierte en una parte fundamental de la gestión de la protección de datos personales y, por tanto, del cumplimiento de la normativa de protección de datos personales.
l Delegado de Protección de Datos (DPD) es el garante del cumplimiento de la normativa de protección de datos en una organización. Todos los entes locales están obligados a nombrar un DPD y comunicar su designación a la APDCAT, según establecen el RGPD y LOPDGDD.
El IMD evalúa si las entidades locales han nombrado un DPD consultando a los Delegados de Protección de Datos comunicados a la APDCAT. En 2022, el 72% de entidades locales habían comunicado el diez DPD a la Autoridad Catalana de Protección de Datos.
Puede consultar todos los indicadores de madurez digital en el informe Visión detallada del ente delÍndice de Madurez Digital 2022.
