La APDCAT culmina su transformación digital segura con la certificación ENS en categoría media y la ISO 27001

La directora de la Autoridad Catalana de Protección de Datos (APDCAT), Meritxell Borràs i Solé, ha recibido las certificaciones que acreditan el éxito de la transformación digital de la Autoridad, que culmina ahora tras dos años de profundos cambios en el seno de la institución. Se trata de la certificación del Esquema Nacional de Seguridad (ENS 2022) de sus sistemas de información en la categoría media, y la ISO 27001 del sistema de gestión de seguridad de la información. El ENS es una normativa del Estado español de obligado cumplimiento para todo el sector público, que pretende garantizar una buena política de seguridad de los sistemas dentro de las organizaciones. Por su parte, la ISO 27001 es un estándar internacional de buenas prácticas de seguridad basado en el principio de la mejora continua, de adhesión voluntaria y de referencia a la hora de certificar un sistema de gestión de la información en las organizaciones, tanto públicas como privadas.

Este hito representa un reconocimiento tanto estatal como internacional en cuanto a la seguridad de la información y la gestión de los procesos de la APDCAT, que han tenido que adaptarse a raíz del conjunto de cambios estratégicos que se han materializado recientemente en la institución. En este sentido, además de trasladar las oficinas a una nueva ubicación en la Gran Via de les Corts Catalanes, el pasado mes de junio la APDCAT estrenó una nueva sede electrónica, una nueva plataforma de trámites y un nuevo tramitador de expedientes electrónico, que ha supuesto todo un reto en la mejora de los procesos y la experiencia de usuario. Asimismo, ha puesto en marcha una nueva intranet y nuevos espacios virtuales para el Consejo Asesor de Protección de Datos y la comunidad de delegados y delegadas de protección de datos de Cataluña "DPD en xarxa".

Actualmente, de acuerdo con las cifras del ENS, los sistemas de la APDCAT se encuentran entre los 1.271 que cumplen con el ENS de categoría media respecto de los 3.224 sistemas totales, lo que representa el 39%. Cabe precisar que las categorías media y alta del ENS acreditan que los sistemas certificados cumplen con los estándares de ciberseguridad más elevados.

Revisión a fondo de los procesos

La actualización y modernización del Sistema de Gestión de la Seguridad de la Información (SGSI) de la APDCAT ha supuesto una revisión integral de los procesos, las tecnologías y las políticas internas, con una implicación activa de todos los equipos humanos de la organización. Como resultado, se ha consolidado un sistema más robusto, alineado con las mejores prácticas internacionales y con la legislación vigente, que aporta garantías a la seguridad de los sistemas de información de la APDCAT. Esta evolución ha permitido mejorar la eficiencia operativa, la eficacia en la protección de los activos de información y la efectividad en la gestión de la ciberseguridad, asegurando una respuesta proactiva y resiliente ante las amenazas y los desafíos del contexto digital actual.

En este marco de transformación, el proyecto ha incluido la revisión y adaptación del hardware y software a las nuevas necesidades operativas, la actualización de los procesos, procedimientos y flujos de trabajo, así como la reorganización de la gestión del inventario de equipos. Paralelamente, se ha impulsado la formación continua del personal, no solo para garantizar una correcta aplicación de las medidas de seguridad, sino también para concienciar y capacitar a los profesionales en la gestión segura de la información, de manera que la seguridad sea una responsabilidad compartida y accesible en el día a día. Además, se han revisado todos los controles de seguridad, como las copias de seguridad, el cifrado de datos, las conexiones seguras, las contraseñas robustas, las pantallas limpias, la destrucción de información y la comunicación de incidentes, de acuerdo con las buenas prácticas establecidas y el marco legal vigente.

El conjunto de actuaciones se enmarca en el Plan Estratégico 2023–2028, que promueve una nueva cultura organizativa basada en la innovación, la mejora continua y la transformación digital. El objetivo es consolidar una estructura tecnológica segura, eficiente y resiliente, para dar respuesta a los retos presentes y futuros de la organización.

Compromiso de Seguridad

La APDCAT ha recibido la certificación del ENS 2022 en la categoría media, lo que pone de manifiesto el grado de compromiso de la Autoridad con la seguridad de la información. Las entidades pueden certificarse en categoría básica, media y alta. Los sistemas de categoría básica se acreditan mediante una autoevaluación documentada, concretando la implantación de cada medida de seguridad y las evidencias de su cumplimiento. Por su parte, los sistemas de categoría media o alta requieren una auditoría que detalle el grado de cumplimiento y de conformidad, los criterios metodológicos empleados, el alcance y el objetivo de la auditoría, así como los datos, hechos y observaciones en que se basan las conclusiones.

El ENS vela porque las organizaciones cumplan con los principios básicos de seguridad de la información, relacionados con la gestión de la seguridad basada en riesgos, la prevención, detección, respuesta y conservación, la existencia de líneas de defensa, la vigilancia continua, la reevaluación periódica y la diferenciación de responsabilidades. La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información.

Por otro lado, la ISO 27001 reconoce a nivel internacional el cumplimiento de un conjunto de buenas prácticas en la gestión del sistema. Permite identificar de forma exhaustiva los riesgos y amenazas y las posibles vulnerabilidades, y establecer una política de seguridad, con principios y directrices, que muestre el compromiso de la organización con la protección de la información. Asimismo, implementar controles de seguridad y medidas técnicas para evitar riesgos.