Entrevista a Eusebio Moya (1/2)

(Continuando con la serie de entrevistas que comenzamos con Dña. Lourdes Herrero, hoy presentamos la primera parte de la entrevista a D. Eusebio Moya, Jefe de la Unidad de Protección de Datos en la Diputación de Valencia, el cual se ha ofrecido a darnos su propia perspectiva de la seguridad de la información en el ámbito de sus competencias enfocadas al novedoso Esquema Nacional de Seguridad)

Eusebio Moya es Licenciado en Derecho por la Universidad de Valencia, habiendo cursado Master en Nuevas Tecnologías de Gestión en la AAPP, contando en su haber con diversas certificaciones en materia de seguridad como CISA y ACP. El grueso de su actividad se ha desarrollado en la Diputación de Valencia, donde ha desarrollado su carrera desde 1987, inicialmente como Técnico en informática, posteriormente como Responsable de Seguridad de Sistemas de Información y actualmente como Jefe de la Unidad de Protección de Datos.

Entre sus muchas funciones la Diputación de Valencia ofrece servicios a los ayuntamientos situados en su ámbito de actuación.

1. Eusebio, a modo de introducción ¿Cuál es la función que desempeña la Unidad de Protección de Datos en la Diputación de Valencia?

La Unidad Técnica de protección de datos nació con la vocación de capitalizar el impulso, dirección y supervisión del conjunto de obligaciones que para la organización suponía el cumplimiento de la normativa sobre protección de datos. De hecho, este modelo centralizador y especialista en la materia fue pionero en el ámbito de la Administración Local o, tal vez, en el conjunto de las AAPP.

Actualmente, y a consecuencia de la normativa sobre administración electrónica, hemos ido incorporando nuevas funciones, como las derivadas del Esquema Nacional de Seguridad, al considerar que las mismas tienen muchos puntos de comunicación con la protección de datos personales y, sobre todo, por aprovechar las ventajas que nos proporciona un modelo organizativo basado en la centralización y especialización citadas, que nos permite conciliar y aunar las diferentes normativas, los procedimientos y los recursos internos.

2. ¿Qué clase de soporte ha prestado hasta ahora la Diputación en cuanto a Seguridad de la Información a otras AAPP como pueden ser ayuntamientos?

Voy a responder con sinceridad. Para la dirección del Servicio de Informática de la última década la seguridad de la información no ocupaba un lugar destacado —digámoslo así y acorde con la importancia estratégica que a este aspecto debe otorgársele. Y ello considerando que la infraestructura y los servicios TIC de un buen número de ayuntamientos están soportados por la Diputación.

Afortunadamente la nueva dirección tiene una visión muy diferente y la seguridad de los sistemas de información es en estos momentos una de las prioridades del Servicio de Informática. Se está haciendo un gran esfuerzo en ese sentido, pues todo hubiese resultado menos gravoso si durante todo este tiempo se hubiera ido avanzando paulatinamente.

No obstante, soy optimista, y puedo transmitir un mensaje de tranquilidad para todos los ayuntamientos en el sentido de que no solo estará garantizada la seguridad de los equipos e instalaciones de la Diputación que albergan o dan cobertura a servicios TIC municipales, sino que estamos diseñando proyectos técnicos específicos de seguridad de sistemas de información para ofrecerlos a los ayuntamientos.

3. En lo referente a la LAECSP, ¿dispone la Diputación de una sede electrónica?, en tal caso ¿que ha supuesto para la Diputación la implantación de la misma?

La Diputación estableció como sede electrónica la de su portal corporativo (dival.es) y aprobó su regulación mediante el reglamento de desarrollo de la administración electrónica en la Diputación de Valencia, que entró en vigor en octubre de 2010.

Su implantación no ha supuesto para la Diputación nada resaltable con respecto a la mayoría de administraciones públicas. Se han tenido que realizar determinadas adaptaciones técnicas, establecer los servicios y procedimientos que de entrada estarían bajo sede y aprobar la normativa y procedimientos adecuados. Sin duda ha jugado a nuestro favor el hecho de que muchos de los servicios y utilidades incorporados a la sede venían siendo prestados de forma electrónica con anterioridad. Ahora, todos esos servicios cuentan además con las garantías y facilidades que la LAECSP les otorga, lo que sin duda supone un avance en positivo para la administración y para los usuarios de los servicios públicos.

4. ¿Ofrece la diputación alguna plataforma para la implantación de la LAECSP en ayuntamientos?

En julio de 2008 se suscribió el Convenio marco de colaboración entre la Generalitat, las diputaciones provinciales y la Federacion Valenciana de Municipios y Provincias, en materia de administración electrónica en el ámbito de la Comunitat Valenciana.

Fruto de este Convenio marco fue el proyecto ALSOA, una plataforma tecnológica impulsada por la Diputación para la prestación de servicios y trámites electrónicos por los ayuntamientos de la provincia, que está en funcionamiento desde el año 2009.

5. Hablemos del ENS. ¿Cómo afronta la diputación la implantación del Esquema Nacional de Seguridad?

La Diputación considera al ENS no solo como una norma que debe cumplir sino también como una oportunidad de cambio y de hacer las cosas mejor. Con esa perspectiva, estamos convencidos de que todos los recursos y esfuerzos que dediquemos van a merecer la pena.

Bajando al terreno de lo práctico, evidentemente lo primero que hemos hecho es una valoración de las acciones que dicha implantación requiere. Se necesita del concurso de recursos humanos, económicos y tecnológicos que no siempre están disponibles, sobre todo en estos tiempos donde existen importantes recortes y se debe priorizar mucho más los mermados recursos. Sin embargo, como he comentado antes, todo lo relacionado con la seguridad de la información hemos conseguido situarlo en lugares preferentes.

Tras la valoración y la determinación de los recursos con que contamos, lo siguiente ha sido planificar dichas acciones en el tiempo. Empezaremos con la implementación del Plan de Adecuación, para pasar luego a la aprobación de la Política de Seguridad y al desarrollo de la misma a través de la correspondiente normativa interna de seguridad, procedimientos de seguridad, etc. Por supuesto con la definición e implantación efectiva de roles y, en definitiva, de la estructura organizativa interna que ha de servir de apoyo. Esperamos, si no hay contratiempos importantes, tener los objetivos anteriores cumplidos antes de finalizar el 2011. Las medidas técnicas, sobre todo las de protección, que debamos adoptar o mejorar quedarán establecidas entre 2012 y 2014.

Por supuesto, vamos a ser muy prácticos y realistas. Estamos donde estamos y el calendario es el que es. No por ello vamos a actuar de forma atropellada. Preferimos dejar un suelo firme antes de dar el siguiente paso. Queremos construir algo útil y perdurable, no solo cubrir un expediente.

6. En líneas generales ¿Cuál es su opinión con respecto al estado de implantación del ENS en las AAPP?

No manejo datos estadísticos. El grado de implantación del ENS es tan diverso como diversas son las circunstancias que inciden en dicha implantación. En primer lugar, vamos a partir de la base de que la obligatoriedad de su cumplimiento varía según el nivel territorial de la administración. La AGE (Administración General del Estado) debería estar cumpliendo en su totalidad el ENS desde enero de 2011, mientras que las administraciones autonómicas y locales disponen hasta enero de 2014.

Luego están otros condicionantes, como el adecuado conocimiento de la norma y de las obligaciones que implica, la mentalización de cada organización al respecto, la disponibilidad presupuestaria y de recursos humanos y técnicos e, incluso, la prioridad que cada organización concreta pueda darle frente a otros proyectos u obligaciones a acometer.

Pues bien, ni en la AGE está implantado mayoritariamente el ENS —existen diferencias incluso entre ministerios— ni mucho menos en el resto de AAPP territoriales. Existen AAPP que lo tienen más avanzado, sobre todo aquéllas que habían iniciado proyectos de sistemas de gestión de la seguridad de la información —bajo modelos ISO 27000 ó similares— o tenían asumida una cultura de seguridad; pero, por la experiencia que tengo, no puede decirse que actualmente el grado de implantación del ENS sea notable. Lo que si es perceptible, en general, es una serie de acciones tendentes a la adecuación, sobre todo en los primeros estadios, como es la elaboración de planes de adecuación o implementación de políticas de seguridad.

Si quisiera resaltar en este sentido que las EELL (Entidades Locales) son, del conjunto de AAPP, las que más difícil lo tienen. No tienen acceso a una información adecuada de la norma y de lo que implica. Además, incluso teniéndolo, la mayoría de los ayuntamientos son de tamaño medio y pequeño, lo que supone que tienen una serie de deficiencias estructurales —disposición de recursos técnicos, humanos y económicos necesarios— que les impiden per se afrontar proyectos de este tipo.

(Continuará…)

Otras entrevistas:

  • Entrevista a Lourdes Herrero (parte I, parte II), Directora del Centro de Seguridad TIC de la Comunitat Valenciana, CSIRT-cv.

Comments

  1. Eusebio Moya says

    Desearía hacer una matización con respecto a los plazos para la adecuación al ENS, a los que hago referencia en mi entrevista, y en aclaración a algunas dudas que se me han planteado. Me refiero concretamente a mi manifestación sobre que dichos plazos de adecuación son diferentes según se trate de la Administración General del Estado (AGE) o de la Administración Autonómica y Local.

    El ENS no distingue en este aspecto entre el nivel territorial de la Administración. Cuando habla de la adecuación de sistemas (Disposición Transitoria) establece que “Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007”; para más adelante añadir “Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera
    circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor”. En mi opinión, debería realizarse una interpretación conjunta del ENS y la Ley 11/2007 para establecer el alcance adecuado de la citada Disposición Transitoria.

    La Disposición Final Tercera de la Ley 11/2007 se refiere a los plazos de adecuación de las AAPP para el ejercicio de los derechos reconocidos en el artículo 6 de dicha Ley, determinando que podrán ser ejercidos en relación con la totalidad de los procedimientos y actuaciones de la competencia de cada AAPP a partir del 31 de diciembre de 2009. Pero, a la vez, establece un supuesto que podría justificar el no cumplimiento de lo anterior, que es la carencia de disponibilidad presupuestaria. Ahora bien, dicho supuesto únicamente lo contempla en relación con las AAPP autonómicas y locales, y no para la AGE. Y no podría ser de otro modo, puesto que la propia Ley 11/2007, en su Disposición Adicional Tercera, prevé que “En el plazo de seis meses a partir de la publicación de esta Ley, el Ministerio de Administraciones Públicas, en colaboración con los Ministerios de Economía y Hacienda y de Industria, Turismo y Comercio, elevará al Consejo de Ministros un Plan de implantación de los medios necesarios para el ámbito de la Administración General del Estado. Dicho Plan incorporará las estimaciones de los recursos económicos, técnicos y humanos que se consideren precisos para la adecuada aplicación de lo dispuesto en la presente Ley en los tiempos establecidos en el calendario al que se refiere el apartado 2 de la disposición final tercera, así como los mecanismos de evaluación y control de su aplicación.”

    Por tanto, en mi opinión, cuando el ENS se refiere a “circunstancias que impidan la plena aplicación de lo exigido en el mismo” debería interpretarse en el contexto de la Ley 11/2007 anteriormente citado, y únicamente contemplar la falta de disponibilidad presupuestaria de las AAPP autonómicas y locales como justificación para ampliar los plazos de adecuación en 48 meses.

    Un saludo.