Hacienda impulsa un comité para hacer frente a los ciberataques

La Consejería de Hacienda refuerza la seguridad y protección de la información y datos personales que posee con la creación de un comité específico que velará para que no haya hackeos ni filtraciones y garantizar la confidencialidad de la información tributaria y fiscal de la población. El comité para la gestión y coordinación de la seguridad de la información y de la protección de datos personales estará formado por al menos cinco miembros y estará presidido por la persona responsable de Seguridad.

Entre sus integrantes se encuentran los responsables de la Junta Económico-Administrativa de Canarias, del Tribunal Administrativo de Contratos Públicos de la Comunidad Autónoma y los responsables de sistemas y de protección de datos de la Consejería de Hacienda. En la secretaría figurará un funcionario designado por el departamento.

Hacienda actualiza el sistema de protección de los datos para adaptarlo a la legislación europea, nacional y autonómica en materia de seguridad telemática frente a los ciberataques. Entre la normativa figura el Esquema Nacional de Seguridad (ENS) regulado por un Real Decreto del año 2022 que promueve la prevención, detección y corrección para hacer frente a un escenario de ciberamenazas y ciberataques y fomentar un tratamiento homogéneo de la seguridad en las administraciones públicas y en el sector privado.

El nuevo órgano es de carácter técnico y velará por la seguridad de la información para evitar los hackeos

El Esquema Nacional de Seguridad es un marco de obligado cumplimiento. En el mismo se describe cómo debe organizarse la seguridad de la información dentro de cada institución para garantizarla en todo momento. Esta organización está estipulada en una serie de guías del Centro Criptográfico Nacional. Tras la pandemia del Covid y el inicio de la guerra en Ucrania los distintos sectores públicos y privados de Canarias han decidido fortalecer sus sistemas con el objetivo de evitar el robo de información confidencial o el bloqueo total de las operativas.

En el caso de la Hacienda canaria la vigilancia de la seguridad en el manejo de los datos no solo es responsabilidad del comité y de los directivos de la Consejería, sino también del personal con el fin de evitar fallos y filtraciones. De hecho todo los empleados que tengan acceso a información y datos personales están obligados a conocer el nuevo sistema de seguridad a través de la formación e información del comité y demás responsables que gestionen la seguridad y la protección de los datos. En la orden publicada en el Boletín Oficial de Canarias (BOC) se advierte al personal que no debe «realizar acciones intencionadas que perjudiquen la seguridad de los sistemas de información, ni la información y datos personales que contienen o los servicios que prestan». Las vulneraciones y filtraciones que se detecten serán sancionadas «de conformidad con la normativa disciplinaria correspondiente».

En las relaciones con terceros se extreman las precauciones para evitar que los datos que sean confidenciales se filtren y se hagan públicos. Cualquier traspaso de información a personas y entidades externas tiene que estar sujeto a las mismas normas de control y vigilancia, de tal forma que los que reciban la información están obligados a conocer y cumplir los requisitos para el tratamiento de los datos personales.

Se realizará un análisis anual de la gestión de riesgos y una auditoría cada dos años si no hay cambios sustanciales

El incremento de las medidas de seguridad implica un análisis anual de la gestión de riesgos y una auditoría de los sistemas de información al menos cada dos años, aunque de forma extraordinaria se puede realizar si se realizan modificaciones «sustanciales» que puedan repercutir en el cumplimiento de las medidas de seguridad exigidas para garantizar la confidencialidad de los datos personales con los que trabaja Hacienda.

En diciembre del pasado año un grupo de hackers aseguró que había robado datos de la Agencia Tributaria del Estado, algo que Hacienda negó en todo momento. Cuando se producen este tipo de ataques se envían correos y notificaciones en las que se solicitan datos en nombre de la Agencia Tributaria cuando en realidad se trata de un fraude. Pese a estos episodios puntuales de ciberataques, Hacienda presume de contar con un protocolo robusto en materia de ciberseguridad y realiza acciones de manera continua para evitar los ataques informáticos y la suplantación de identidad.