Compuesta por un grupo de personas expertas en cumplimiento y desarrollo normativo y auditorías de seguridad, la OASTIC ha gestionado casos correspondientes a más de 70 organismos de la Junta de Andalucía durante el año 2021

El contexto. Estructura organizativa de la Seguridad TIC en la Junta de Andalucía

La Administración de la Junta de Andalucía se compone de algo menos de 100 organismos y entidades, todos ellos interconectados mediante la Red Corporativa Red Corporativa de la Junta de Andalucía (RCJA). Cuenta con una estructura organizativa que se encarga de la coordinación y ejecución de medidas de ciberseguridad y de promover que estas se apliquen de la manera más homogénea posible.

Esta coordinación se establece en el Decreto 70/2017, de 6 de junio, por el que se modifica el Decreto 1/2011, de 11 de enero, y por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.

En dicho Decreto se establece:

• El Comité de Seguridad TIC de la Junta de Andalucía como el máximo órgano de coordinación en materia de ciberseguridad, teniendo representación en él todas las Consejerías de la Junta de Andalucía
• El Grupo de Respuesta a Incidentes para las situaciones de especial criticidad. Formado por aquellos centros directivos que poseen determinadas competencias transversales a toda la Administración de la Junta de Andalucía
• Los Comités de Seguridad TIC que deben tener todos los organismos y entidades y, a nivel operativo, los correspondientes responsables de seguridad.
• La Unidad de Seguridad TIC Corporativa a nivel operativo y de manera transversal a toda la Junta de Andalucía, prestando soporte a toda la estructura anterior. Ésta es, además, responsable de la dirección de los proyectos y servicios corporativos de seguridad TIC, entre los que destacan:
• La  Oficina de Apoyo a la Seguridad TIC, que hoy nos ocupa.
• La Oficina de  Formación y Concienciación  
• AndalucíaCERT, el centro especializado y orientado a la prevención, detección y respuesta a incidentes y amenazas de seguridad de la Junta de Andalucía.
• Actuaciones en materia de Comunicación.

La Oficina de Apoyo a la Seguridad TIC

La OASTIC es la Oficina de Apoyo a la Seguridad TIC de la Junta de Andalucía y está formada por un grupo de personas expertas en cumplimiento y desarrollo normativo y auditorías de seguridad.

Entre sus principales líneas de trabajo están: el soporte técnico a la Unidad de Seguridad TIC Corporativa, el asesoramiento en materia de seguridad TIC, los procesos de seguimiento de adecuación normativa de los organismos de la Junta de Andalucía o la organización de determinadas auditorías técnicas de  seguridad.

“La OASTIC presta un completo asesoramiento a Consejerías y Organismos de la Junta de Andalucía en materia de cumplimiento de la normativa de seguridad y normativa de uso de las TIC”, explica Rafael García Ropero, adjunto al jefe del servicio de informática de la Consejería de Fomento, Infraestructuras y Ordenación del Territorio. “Muestra de ello es el aumento de consultas que reciben y atienden, año tras año, entre las cuales se incluyen algunas realizadas por nuestra consejería”.

Líneas de trabajo de la OASTIC:

• Soporte técnico a la Unidad de Seguridad TIC Corporativa: análisis de documentación, elaboración de informes y estudios y soporte para el desarrollo normativo y el asesoramiento general sobre cuestiones relacionadas con la seguridad digital.
• Asesoramiento en seguridad TIC: respuesta a consultas o dudas planteadas por las unidades de seguridad TIC de los organismos de la Junta de Andalucía en materia de seguridad TIC. Asimismo, la OASTIC plantea sugerencias y/o recomendaciones de oficio a organismos y otros agentes.
• Informes y estudios de seguridad TIC: trabajos relacionados con los procesos de seguimiento de adecuación normativa de los organismos de la Junta de Andalucía, destacando el Estudio sobre el Estado de la Seguridad de la Junta de Andalucía (EESJA), el soporte para el informe INES,  el, hasta hace poco, Seguimiento del Plan de Acción para la Adecuación al ENS de los organismos de la Junta de Andalucía (PAAENS), y la implantación y mantenimiento del nuevo Panel Informativo de la situación en Ciberseguridad, próximamente en sustitución del PAAENS.

“La OASTIC juega un papel relevante en el Estudio anual sobre el Estado de la Seguridad TIC en la Junta de Andalucía, elaborando los cuestionarios sobre el Estado de la Seguridad (EESJA) y sobre el Inventario de Sistemas de la Junta de Andalucía, así como su aportación en el tratamiento posterior de dicha información” asegura Rafael García Ropero.

• Auditorías técnicas de seguridad: identificación de sistemas candidatos para auditorías técnicas y elevación de propuestas a la Unidad de Seguridad TIC Corporativa (USTICC), y la posterior gestión de la contratación y seguimiento.
• Prototipos y modelos de documentos: elaboración de modelos de documentos exigidos por la normativa vigente para facilitar la labor de los organismos con menos recursos, estableciendo una estructura base para que éstos puedan adaptarlos a su escenario específico.
• Guías de seguridad TIC: elaboración de guías para concienciar y ofrecer pautas de actuación en materia de seguridad digital.
• Talleres técnicos y jornadas de seguridad TIC: desarrollo de jornadas y talleres sobre cumplimiento normativo y actualidad legal para trasladar directrices corporativas sobre determinadas cuestiones, dirigidos a responsables de seguridad y personal TIC de los organismos de la Junta de Andalucía.

“Desde mi punto de vista quizás el mayor valor que aporta la OASTIC a la Junta de Andalucía sea que difunden las buenas prácticas en materia de seguridad TIC, homogeneizando la forma de actuar en todas las Consejerías y Organismos de la Junta”, concluye Rafael.

La OASTIC en datos

Durante el año 2021 el trabajo realizado por la OASTIC se repartió aproximadamente de la siguiente forma: un 45% estuvo relacionado con la campaña INES/EESJA,  un 15% con el cumplimiento del Plan de Acción para la Adecuación al Esquema Nacional de Seguridad (PAAENS), aprobado por el Comité de Seguridad TIC de la Junta de Andalucía, y el resto, en torno a un 40%,  se repartió entre consultas sobre recomendaciones a seguir respecto a configuraciones de seguridad, distribución de roles y responsabilidades organizativas, revisión de políticas de seguridad TIC, solicitud de modelos y prototipos de documentos, así como otras cuestiones diversas (pliegos y contratación, formación y concienciación de seguridad, revisión de documentación varia, etc.).

El índice de satisfacción para este periodo se situó en torno al 4,6 en una escala de 1 a 5.

En cuanto a los datos de evolución de la participación en las campañas anuales INES/EESJA por parte de los organismos de la Junta de Andalucía, así como a los casos gestionados por la OASTIC tanto de manera proactiva como reactiva, el aumento ha sido muy significativo en los últimos ejercicios. Así, mientras en 2015 únicamente 14 organismos de la Junta de Andalucía participaron en la campaña anual INES/EESJA, en los últimos 3 años la media se ha situado en torno a los 83 organismos.  Por su parte, en cuanto a la atención de casos en los diferentes organismos por parte de la OASTIC, los números aumentan de 104 casos en 2017 a 232 en 2021, y de 36 a 72 el número de organismos atendidos.

Gráfica 1. Datos de evolución del número de organismos que ha participado en las campañas anuales INES/EESJA desde 2015 hasta 2021. Nota: en 2021 algunos organismos se extinguieron y otros dejaron de pertenecer al sector público.

Gráfica 2. Datos de evolución de casos gestionados por la OASTIC de forma proactiva y reactiva desde el año 2017 hasta 2021.

Las buenas prácticas, las lecciones aprendidas y la mejora continua son aspectos esenciales para la OASTIC. La seguridad no se puede garantizar de manera absoluta, pero siempre hay espacio para seguir mejorando. Esta circunstancia hace que el proceso de evaluación y mejora por parte de todas las personas que trabajan en ciberseguridad por y para la Junta de Andalucía sea constante, sin olvidar la adaptación a los contínuos cambios normativos y al nuevo escenario global.