La Sindicatura de Comptes de la Comunitat Valenciana ha recibido hoy la certificación de nivel Medio del Esquema Nacional de Seguridad (ENS) para todos sus sistemas de la información. La entrega de esta acreditación de manos del director de certificación de la región Este, Juan García Serrano, ha tenido lugar en el despacho del síndic major, Vicent Cucarella, que ha estado acompañado de los principales artífices del proyecto: el síndic de comptes Antonio Mira-Perceval; el secretario general, Lorenzo Pérez; el jefe del Servicio de sistemas y tecnologías de la información, Manuel D. Serrat; el auditor director del Gabinete técnico, Antonio Minguillón y el auditor y Delegado de Protección de Datos, Alejandro Salom.
La Sindicatura de Comptes se convierte así en la primera institución de control externo (ICEX) del Estado en conseguir la acreditación formal de haber implementado las medidas de seguridad adecuadas para proteger todos sus sistemas de información y los datos que en ella se manejan, de acuerdo con la normativa que le es exigible. Un nuevo hito de una institución pionera en el ámbito de seguridad de los sistemas y tecnologías de la información, que se ha conseguido gracias al impulso del Consell de la Sindicatura, una buena planificación, la aplicación de buenas prácticas y un personal cualificado y motivado. Un esfuerzo conjunto que ha permitido a la Sindicatura alcanzar el objetivo necesario de lograr el desempeño de la función pública auditora con las garantías acordes a la cantidad e importancia de los datos con los que se trabaja en la elaboración de los informes de fiscalización de la actividad del Sector Público Valenciano.
La institución cumple así con la obligación legal para las Administraciones Públicas −y para quienes les presten servicios en determinados ámbitos− de cumplir con el ENS y demostrarlo en base a los niveles de Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad que se requieren para el tratamiento de la información en su seno y que pueden determinar que un sistema se encuadre en los niveles Básico, Medio o Alto. El encuadramiento de la Sindicatura en el nivel Medio lleva aparejados una serie de controles y medidas de seguridad que fundamentalmente se llevan a cabo para mitigar los riesgos identificados para su sistema de información.
Una buena planificación para un camino difícil iniciado en 2019
Llegar a alcanzar este cumplimiento no es fácil, como lo demuestra el bajo número de Administraciones Públicas españolas certificadas, y menos si se trata de una certificación integral, es decir, de todos los sistemas de información de la organización a la vez, como ha sido el caso de la Sindicatura de Comptes de la Comunitat Valenciana.
Una andadura que se inició en 2019 cuando, con el foco puesto en la privacidad y la protección de datos, la Sindicatura aprobó su Plan Estratégico, en el que se planteaba como objetivo llegar a ser una organización orientada por los datos (data-driven). Esto requería que la información que la institución recibe del sector público valenciano fuese tratada de forma segura y normalizada, mediante procesos de gobierno y gestión de datos en base a estándares y buenas prácticas. Por ello, en 2020 se lanzó una iniciativa, con soporte externo, para comenzar el camino de adaptación al ENS. Posteriormente, en 2021, el Consell de la Sindicatura aprobó un Plan Director de Sistemas de Información con el objetivo, entre otros, de preparar los sistemas de la institución para alcanzar las metas explicitadas en el Plan Estratégico. Y como lograr la certificación del ENS requería de una planificación específica, la Comisión de Informática y Gestión de la Seguridad de la Sindicatura (CIGSI), de la que forman parte los artífices del proyecto, aprobó en el primer trimestre de 2022 un Plan de Adecuación al ENS con un marco temporal de dos años para su consecución, que se ha ido adecuando a las normativas estatales y europeas publicadas desde ese momento.
Buenas prácticas y personal cualificado
Otro de los pilares para la consecución de este logro ha sido el hecho de conocer y usar los estándares, los marcos de referencia y las buenas prácticas existentes en diferentes ámbitos. Y, en este sentido, la formación es clave para que el mayor número de personas de la organización conozcan estos elementos y sepan aplicarlos en su actividad. En el caso de la Sindicatura, se partía de una base de personal conocedor de estos marcos de referencia y estándares, un requisito que la Sindicatura considera necesario y que es parte del valor que aporta una institución que está continuamente formando a su personal.
Y este punto desemboca en la tercera clave para lograr esta certificación, que no es otra que las personas. Empezando por los miembros del Consell de la Sindicatura, máximo órgano de dirección de la institución, que apoyó decididamente la apuesta por la seguridad de la información y por la obtención de la certificación del ENS; y continuando por la Comisión de Informática y Gestión de la Seguridad de la Información (CIGSI), que actuó como órgano de gobernanza de todo el programa; el secretario general, que asumió el rol de Responsable de seguridad del ENS, así como el Delegado de Protección de Datos, la Jefatura de la Unidad de Auditoría de Sistemas de Información y el responsable de Sistemas. Sin olvidar a todo el personal del Servicio de sistemas y tecnologías de la información y de otros departamentos directamente implicados en ajustar el funcionamiento de la organización a los requisitos necesarios.
