Normativas adicionales que impactan e impactarán en los criterios y requisitos de seguridad sobre los sistemas de información y comunicaciones de la Administración de la Junta de Andalucía

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece los requerimientos en materia de seguridad de los sistemas de información y de los datos que manejen las Administraciones Públicas. Estos requerimientos quedaron articulados en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (modificado el 23 de octubre por Real Decreto 951/2015).

La Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía también establece que los sistemas de información que permiten la relación con la ciudadanía deben estar dotados de las oportunas medidas de seguridad contra interceptaciones, alteraciones y accesos no autorizados.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), añade requerimientos en materia de seguridad de la información.

Normativas adicionales que impactan e impactarán en los criterios y requisitos de seguridad sobre los sistemas de información y comunicaciones de la Administración de la Junta de Andalucía son la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y la próxima transposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva NIS).

Naturalmente, la Junta de Andalucía viene desde hace años organizando en este sentido su labor de prevención y reacción ante los incidentes que puedan poner en cuestión la seguridad de las comunicaciones, de los sistemas de información y sus soportes, de las aplicaciones y de los datos.

Así, el Decreto 1/2011, de 11 de enero (modificado por Decreto 70/2017, de 6 de junio) vino tanto a consolidar una Política de Seguridad TIC como a diseñar la organización funcional necesaria para su actividad eficaz.

En el desarrollo normativo de la Política de Seguridad TIC, una próxima Resolución de la Dirección General de Telecomunicaciones y Sociedad de la Información sobre gestión de incidentes de seguridad en los sistemas de información de la Junta de Andalucía dejará establecidos los procedimientos, roles y canales de notificación interna y externa que procedan a este respecto, incluyendo los que permitan cumplir con lo previsto en los artículos 36 y 37 del Real Decreto 3/2010 y en otras normas que requieren comunicación a organismos de control.

Todo lo anterior deja, sin embargo, sin resolver las dudas o problemas a los que se vienen enfrentando los organismos cuando se encuentran con la necesidad de interponer denuncia policial tras haber sido víctimas de incidentes -que puedan revestir carácter de delito- sobre sus sistemas, soportes, aplicaciones o datos.

En efecto, el tiempo y la evolución tecnológica han permitido la aparición de riesgos y amenazas cada vez más sofisticadas y numerosas, dando lugar a un ciberespacio cada día más hostil. Adecuándose a esta realidad social, el ordenamiento jurídico ha venido incorporando nuevos tipos penales y/o subtipos de figuras previamente existentes.

Tras reformas parciales impulsadas en 2005 por la Decisión Marco 2005/222 del Consejo, de 24 de febrero, relativa a ataques contra los sistemas de información y la Directiva 2013/40UE del Parlamento Europeo de 12 de Agosto de 2013, se produce la reforma del Código Penal operada por la Ley Orgánica 1/2015 de 30 de Marzo de la que resulta la actual configuración de delitos como: la intrusión informática y la interceptación de transmisiones de datos informáticos (Artículos 197 y 198) y los relacionados con la propiedad intelectual e industrial (Artículo 270 y ss). Además de los de fraude informático (Artículo 248) y sabotaje informático (Artículo 264).

Se ha tenido ocasión de constatar que los organismos se han enfrentado ya a la situación de tener que formular denuncia policial por ataques contra los activos de su titularidad, solicitando de estos Centros Directivos orientación y ayuda para ello.

Por todo lo anterior y al objeto de unificar y simplificar este proceso cuando resulte necesario se ha optado, por iniciativa conjunta de las Direcciones Generales de Interior, Emergencias y Protección Civil y de Telecomunicaciones y Sociedad de Información, por facilitar el presente protocolo de actuación.

1.- Cuando se detecten agresiones, ataques, interceptación o intrusiones, accesos y/o utilización fraudulenta contra/de activos intangibles tales como sistemas de comunicaciones o de información, aplicaciones, datos, o los elementos de soporte de cualesquiera de ellos, así como contra los servicios que a su través se prestan, procederá la correspondiente denuncia policial.

2.- La denuncia será interpuesta ante la Unidad de la Policía Nacional Adscrita a la Junta de Andalucía por la persona titular del centro directivo o equivalente responsable de los activos implicados.

3.- La denuncia se dirigirá por escrito a la Sección de Protección y Seguridad o (salvo Sevilla) a la Jefatura de la Unidad de Policía Adscrita correspondiente a la provincia en la que el centro directivo o equivalente esté ubicado. Con carácter previo, se tomará contacto en los teléfonos abajo indicados para obtener la dirección electrónica a la que dirigir la denuncia o eventualmente concertar una cita.

4.- La denuncia adoptará la forma de un escrito de remisión firmado (preferentemente de forma digital) por el titular del centro directivo o equivalente, al que acompañará informe completo de la persona Responsable de Seguridad TIC del activo, dando cuenta de los hechos detectados y eventualmente de los daños recibidos, así como de cualquier otra información que pueda contribuir al esclarecimiento del caso. Se incluirá en todo caso un teléfono de contacto para que el grupo policial que finalmente lleve la investigación, pueda obtener aclaraciones o informes suplementarios.

5.- La interposición de esta denuncia es independiente de las eventuales comunicaciones o notificaciones a organismos de control a las que se esté obligado en virtud del Real Decreto 3/2010, de 8 de enero, del Reglamento (UE) 2016/679, de la Ley 8/2011, de 28 de abril o de otra normativa que requiera estas notificaciones.

6.- La Sección de Protección y Seguridad de la Unidad de Policía Adscrita coordinará el seguimiento de las denuncias que se presenten y la Dirección General de Interior, Emergencias y Protección Civil informará periódicamente de su evolución en el seno de las reuniones del Comité de Seguridad TIC de la Junta de Andalucía.