Page 86 - Revista de Auditoría Pública
P. 86
REVISTA AUDITORÍA PÚBLICA / 84
gobierno del dato y requerirá la adquisición de los re- Y no olvidemos: sin ciberseguridad
cursos necesarios para almacenar los repositorios de no puede haber PEGODA.
datos y realizar su tratamiento con HTA innovadoras,
incluyendo, si es necesario, herramientas en la nube.
La ciberseguridad es un elemento esencial para poder
trabajar con todo tipo de datos. No es una opción. La
En base a los resultados que se vayan obteniendo multitud de información con la que se llevan a cabo los
en el proyecto piloto y de nuevas necesidades que trabajos de auditoría en los OCEX, en muchas ocasiones
vayan surgiendo, se irán identificando y redefiniendo con un elevado nivel de protección por sus característi-
las necesidades iniciales.
cas y contenido (datos especialmente protegidos reco-
gidos en el RGPD y la LOPD ), exigen contar con un
19
18
diseño robusto en la seguridad de los sistemas de infor-
El plan como actuación transversal. mación de los OCEX que soporte con garantías toda la
El necesario liderazgo del PEGODA. información contenida en los datos objeto de explotación
y tratamiento.
La transversalidad de unas actuaciones como las que el
PEGODA representa, aconseja la implicación de toda la Es condición necesaria, aunque no suficiente. En el caso
organización, para que sea un proyecto compartido y asu- de la Sindicatura, el trabajo, tanto en materia de seguri-
mido por su personal. Así, se concibe la iniciativa para di- dad como en la protección de datos, se ha enmarcado
señar, sobre la base de experiencias concretas (los siete –en paralelo– en un Plan de adecuación al Esquema Na-
proyectos que contienen el acuerdo adoptado), lo que ha cional de Seguridad , que se ha ido adaptando a las nue-
20
de ser el futuro PEGODA. vas exigencias derivadas de su modificación en 2022 ,
21
en aras a que la Sindicatura esté en condiciones de optar
Pero lo que resulta imprescindible para el éxito de cual- a la certificación acreditativa correspondiente, prevista
quier plan es el liderazgo de quien dirige el respectivo para 2025.
OCEX, asumiendo desde el principio su alta dirección. En
ese sentido, el Consell de la Sindicatura, como máximo Recientemente, hemos evolucionado ese plan de ade-
responsable del gobierno y gestión de la institución, ha cuación hacia un proyecto más ambicioso al que se
creído adecuado comprometer a toda la organización en han incorporado las tareas y recomendaciones deri-
este Plan, adoptando los siguientes acuerdos, que su- vadas de las auditorías de ciberseguridad que la Uni-
ponen el indispensable refuerzo positivo que un plan de dad de Auditoría de Sistemas de Información realiza
esta naturaleza necesita para ser llevado adelante: periódicamente en la actividad propia de la Sindicatu-
ra. También se han sumado las que se alinean con la
1. Reiterar la apuesta de la Sindicatura, en un con- reciente actualización de la legislación en materia de
texto normativo de cumplimiento, por el impulso ciberseguridad adoptada para toda la Unión Europea,
de una Estrategia para el Gobierno del Dato en el cuya directiva , por cierto, tiene su plazo de trasposi-
22
desarrollo de su actividad. ción vencido por lo que al Estado de España se refiere.
Pero parece razonable adelantarse a este nuevo hito
2. Comprometer los medios y recursos necesarios de la ciberseguridad.
–humanos, económicos y materiales– de acuer-
do con las disponibilidades de la Sindicatura. De esta manera, la Sindicatura, a través de su Comisión
de Informática y Gestión de la Seguridad de la Informa-
3. Para llevar a cabo el Proyecto global PEGODA, ción (CIGSI), ha reforzado su política de seguridad a tra-
aprobar la planificación de los proyectos defini- vés de un nuevo Plan de adecuación ENS, a la NIS2 y
dos en el ámbito de la CTA. reforzamiento de seguridad (PANIS-RGS).
18 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). https://www.boe.es/
buscar/doc.php?id=DOUE-L-2016-80807
19 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. https://www.boe.es/buscar/act.php?id=-
BOE-A-2018-16673&p=20230509&tn=1#a4
20 https://ens.ccn.cni.es/es/conformidad/proceso-de-adecuacion
21 Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. https://www.boe.es/buscar/act.php?id=BOE-A-2022-7191
22 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de
ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148
(Directiva SRI 2). https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963
86
