La Administración local es un objetivo cada vez más atractivo para los ciberdelincuentes. Los ataques a entidades locales han aumentado en los últimos años, poniendo en riesgo la seguridad, la privacidad y la confianza de los ciudadanos.

En los últimos años, la Administración local ha sido víctima de varios ataques cibernéticos, como el ransomware que afectó al  Ayuntamiento de Jerez de la Frontera en 2019, el ataque DDoS que colapsó las webs de varios ayuntamientos de Barcelona en 2020 o el phishing que comprometió las cuentas de correo del Ayuntamiento de Madrid en 2021.

EL MARCO NORMATIVO DE LA CIBERSEGURIDAD EN LA ADMINISTRACIÓN LOCAL

Para hacer frente a este desafío, la Administración local debe cumplir con el marco normativo vigente y adoptar medidas técnicas y organizativas adecuadas.

El Esquema Nacional de Seguridad (ENS) es el marco normativo principal para la ciberseguridad en la Administración local española. Sin embargo, se complementa con otras normas legales que también inciden en esta materia.

Estas normas son:

• La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Esta ley establece el derecho y la obligación de relacionarse electrónicamente con las administraciones públicas. Esto implica que las entidades locales deben garantizar la seguridad de los sistemas y servicios que utilizan para relacionarse con los ciudadanos.
• La Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público. Esta ley establece los principios generales del funcionamiento electrónico del sector público. Estos principios incluyen la seguridad y la confidencialidad de la información.
• El Reglamento General de Protección de Datos (RGPD). Este reglamento regula el tratamiento y la protección de datos personales por parte de las entidades públicas y privadas. Las entidades locales deben cumplir con el RGPD para proteger los datos personales de los ciudadanos.
• La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Esta ley adapta el RGPD al ordenamiento jurídico español y reconoce nuevos derechos digitales a los ciudadanos.

En cuanto a las medidas técnicas y organizativas, las entidades locales deben:

1. Utilizar sistemas operativos
2. Aplicaciones y dispositivos actualizados
3. Instalar soluciones de seguridad
4. Configurar los sistemas y redes con criterios de seguridad
5. Proteger las comunicaciones electrónicas y realizar pruebas de seguridad periódicas
6. Segmentar las redes
7. Definir una estrategia y una política de ciberseguridad
8. Crear un comité o equipo de ciberseguridad
9. Establecer alianzas y colaboraciones con otras entidades
10. Sensibilizar y formar al personal y a los usuarios.

Si está preocupado por la seguridad de su empresa o organización, contacta con el equipo de ITGlobal para obtener más información sobre cómo proteger su infraestructura IoT.  Nuestros expertos en ciberseguridad y ética pueden ayudarte a desarrollar un plan de adopción seguro y responsable.