L’APDCAT culmina la seva transformació digital segura amb la certificació ENS en categoria mitjana i la ISO 27001

La directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), Meritxell Borràs i Solé, ha rebut les certificacions que acrediten l’èxit de la transformació digital de l’Autoritat, que culmina ara després de dos anys de profunds canvis en el sí de la institució. Es tracta de la certificació de l’Esquema Nacional de Seguretat (ENS 2022) dels seus sistemes d’informació en la categoria mitjana, i la ISO 27001 del sistema de gestió de seguretat de la informació. L’ENS és una normativa de l’estat espanyol d’obligat compliment per tot el sector públic, que pretén garantir una bona política de seguretat dels sistemes a dins les organitzacions. Per la seva banda, la ISO 27001 és un estàndard internacional de bones pràctiques de seguretat basat en la màxima de la millora contínua, d’adhesió voluntària i de referència a l’hora de certificar un sistema de gestió de la informació en les organitzacions, tant públiques com privades.

Aquesta fita representa un reconeixement tant estatal com internacional, pel que fa a la seguretat de la informació i la gestió dels processos de l’APDCAT, que s’han hagut d’adaptar arran del conjunt de canvis estratègics que s’han materialitzat darrerament dins de la institució. En aquest sentit, a més de traslladar les oficines a un nou emplaçament a la Gran Via de les Corts Catalanes, el passat mes de juny l’APDCAT va estrenar una nova seu electrònica, una nova plataforma de tràmits, i un nou tramitador d’expedients electrònic, que ha suposat tot un repte en la millora dels processos i l’experiència d’usuari. Així mateix, ha posat en marxa una nova intranet, i nous espais virtuals per al Consell Assessor de Protecció de Dades i la comunitat de delegats i delegades de protecció de dades de Catalunya ‘DPD en xarxa’.

Actualment, d’acord amb les xifres de l’ENS, els sistemes de l’APDCAT es troben entre els 1.271 que compleixen amb l’ENS de categoria mitjana respecte dels 3.224 sistemes totals, la qual cosa representa el 39%. Cal precisar que les categories mitjana i alta de l’ENS acrediten que els sistemes certificats compleixen amb els estàndards de ciberseguretat més elevats.

Revisió a fons dels processos

L’actualització i modernització del Sistema de Gestió de la Seguretat de la Informació (SGSI) de l’APDCAT ha comportat una revisió integral dels processos, les tecnologies i les polítiques internes, amb una implicació activa de tots els equips humans de l’organització. Com a resultat, s’ha consolidat un sistema més robust, alineat amb les millors pràctiques internacionals i amb la legislació vigent, que aporta garanties a la seguretat dels sistemes d’informació de l’APDCAT. Aquesta evolució ha permès millorar l’eficiència operativa, l’eficàcia en la protecció dels actius d’informació i l’efectivitat en la gestió de la ciberseguretat, assegurant una resposta proactiva i resilient davant les amenaces i els desafiaments del context digital actual.

En aquest marc de transformació, el projecte ha inclòs la revisió i adaptació del maquinari i programari (hardware i software) a les noves necessitats operatives, l’actualització dels processos, procediments i fluxos de treball, així com la reorganització de la gestió de l’inventari d’equipaments. Paral·lelament, s’ha impulsat la formació contínua del personal, no només per garantir una correcta aplicació de les mesures de seguretat, sinó també per conscienciar i capacitar els professionals en la gestió segura de la informació, per tal que la seguretat sigui una responsabilitat compartida i accessible en el dia a dia. A més, s’han revisat tots els controls de seguretat, com ara les còpies de seguretat, el xifratge de dades, les connexions segures, les contrasenyes robustes, les pantalles netes, la destrucció d’informació i la comunicació d’incidents, d’acord amb les bones pràctiques establertes i el marc legal vigent.

Tot el conjunt d’actuacions s’emmarca dins les actuacions del Pla Estratègic 2023–2028, que promou una nova cultura organitzativa basada en la innovació, la millora contínua i la transformació digital. L’objectiu és consolidar una estructura tecnològica segura, eficient i resilient, per donar resposta als reptes presents i futurs de l’organització.

Compromís de seguretat

L’APDCAT ha rebut la certificació de l’ENS 2022 en la categoria mitjana, fet que posa de manifest el grau de compromís de l’Autoritat amb la seguretat de la informació. Les entitats es poden certificar en categoria bàsica, mitjana i alta. Els sistemes de categoria bàsica s’acrediten mitjançant una autoavaluació documentada, concretant la implantació de cada mesura de seguretat i les evidències del compliment. Per la seva banda, els sistemes de categoria mitjana o alta requereixen una auditoria que detalli el grau de compliment i el grau de conformitat, els criteris metodològics emprats l’abast i l’objectiu de l’auditoria, i les dades, fets i observacions en què es basen les conclusions.

L’ENS vetlla perquè les organitzacions compleixin amb els principis bàsics de seguretat de la informació, que tenen a veure amb la gestió de la seguretat basada en els riscos, la prevenció, detecció, resposta i conservació, l’existència de línies de defensa, la vigilància contínua, la reavaluació periòdica i la diferenciació de responsabilitat. La seguretat s'entén com a procés integral constituït per tots els elements humans, materials, tècnics, jurídics i organitzatius relacionats amb el sistema d'informació.

D’altra banda, la ISO 27001 reconeix a nivell internacional el compliment d’un conjunt de bones pràctiques pel que fa a la gestió del sistema. Permet identificar de manera exhaustiva els riscos i amenaces i les possibles vulnerabilitats, i establir una política de seguretat, amb principis i directrius, que mostra el compromís de l’organització amb la protecció de la informació. També implementar controls de seguretat i mesures tècniques per evitar riscos.