Que los Ayuntamientos son carne de cañón para los ciberdelincuentes es una realidad. Basta revisar el listado de ciberataques que dejo enlazado aquí para dar cuenta de ello.
El Centro Nacional de Inteligencia (CNI), consciente del problema, ha elaborado una Guía que se titula «Gestión de crisis para ciberincidentes en entidades locales» que dejo enlazada aquí.
Dicha Guía va dirigida, especialmente, a los cargos y órganos directivos de las entidades locales, ya sean cargos electos o de función pública (Alcalde, Presidente de Diputación, Teniente de Alcalde, Junta de Gobierno Local, Concejales, Responsable de comunicación, Secretarios, Interventores y Tesoreros). Con este documento se espera contribuir a mejorar las capacidades de las entidades locales para responder ante un incidente de ciberseguridad relevante y de alto impacto, para gestionar una cibercrisis y volver a la normalidad con las menores consecuencias para las propias entidades, los ciudadanía y otros grupos de interés.
Amenazas reales
La Guía empieza afirmando que «las entidades locales son susceptibles de sufrir un ciberataque, no es cuestión de preguntarse si ocurrirá, sino de cuándo y de si, para entonces, estaremos suficientemente preparados para responder adecuada y organizadamente. No podemos confiarnos: los atacantes seguirán intentando romper las barreras de seguridad para sustraer datos, dañar los sistemas y/o bloquear la gestión administrativa y la prestación de los servicios a la ciudadanía».
Una entidad local resiliente debe asumir e implantar el siguiente ciclo: prevención, preparación, detección, respuesta, recuperación y aprendizaje. La Guía que nos ocupa muestra un método para la gestión de las crisis cuando éstas ocurren, es decir, se centra en la respuesta.
La Guía se divide en dos partes: la primera, en la que se propone un modelo básico de organización para gestionar un ciberincidente y la segunda que propone un modelo de protocolo de actuación.
Modelo básico de organización. El Comité de Crisis
La Guía propone que las acciones organizativas, estratégicas y de comunicación sean asumidas por la Junta de Gobierno, la cual pasa a constituir el núcleo principal del Comité de Crisis (CdC), constituido específicamente para cada crisis, si bien estará acompañada de dos equipos técnicos y especializados, que contarán con la ayuda del Centro Criptológico Nacional (CCN-CERT) cuando los incidentes de seguridad sean considerados de nivel alto, muy alto o crítico:
- El equipo de respuesta al ciberincidente, que liderará y tomará la iniciativa de las acciones.
- El equipo de comunicación que, conociendo el alcance de la situación y las acciones tomadas, desarrollará su actividad comunicacional.
Este modelo se adaptará a las circunstancias propias de cada entidad como tamaño, capacidades y recursos. En Ayuntamientos pequeños las funciones se ejercerán, directamente, por el Alcalde/sa con la asistencia de los equipos técnicos y el CCN-CERT.
Para constituir un Comité de Crisis no hay que esperar a tener que enfrentarse a un ciberataque, más bien al contrario, es necesario que se establezca un protocolo de respuesta a incidentes o de gestión de crisis general o específico de ciberincidentes y se asignen los roles correspondientes. Algunos roles es preferible que sean permanentes, como la presidencia del Comité, la coordinación del Comité y los responsables a nivel operativo, de comunicación y jurídico.
La Guía recomienda crear una tabla con la correspondencia entre los roles dentro del Comité de Crisis y los cargos que asumirán ese rol en caso de convocarse el Comité. En la tabla deberán figurar los datos de contacto de las personas que ocupan esa posición, tanto titulares como suplentes, estará permanentemente actualizada y será pública.
La Guía especifica las funciones del Comité de Crisis y otros órganos de la Corporación como el Teniente de Alcalde, Concejales, Secretaría, Intervención, Responsable de Informática y TIC, Responsable de Comunicación y Responsable de Protección de Datos (DPD) en los apartados 3 y 4.
Modelo básico de gestión de incidentes
La Guía dedica el apartado 5 y siguientes a desarrollar el modelo básico de gestión de incidentes, que de básico tiene poco. El esquema propuesto por el CNI es el siguiente:
Conclusión
La propuesta del CNI es acertada desde un punto de vista teórico, pero la realidad nos muestra que en la Administración las cosas se suelen resolver de forma atropellada y, más o menos, improvisada, como ejemplo, sirva cómo resolvió el Ministerio de Trabajo y Economía Social el ciberataque de junio de 2021 a los servicios de Inspección de Trabajo y Seguridad Social, que les resumo en el artículo que dejo enlazado aquí.