SISTEMES DE PROTECCIÓ
L'Agència valida divuit certificats en matèria de ciberseguretat
El desplegament de la legislació ha fet un pas més amb les primeres validacions del compliment de l’esquema nacional de seguretat
La Llei, del juny del 2022, de mesures de seguretat per a les xarxes i dels sistemes d’informació donava divuit mesos a les entitats i empreses afectades per complir amb l’esquema nacional de seguretat, que, juntament amb les infraestructures crítiques, es va desenvolupar a posteriori via reglament. El procés afectava de manera obligatòria totes les administracions i aquelles empreses privades amb més de 50 treballadors i que estiguessin dins dels “serveis importants” que fixa la legislació, o bé que facturessin més de 10 milions l’any i que igualment fossin catalogades de servei important. La llista d’aquestes àrees l’integren sectors com ara gestió de residus, correus i missatgeria, comercialització de productes químics i proveïdors de serveis digitals. El responsable de l’Agència de Ciberseguretat d’Andorra, Jordi Ubach, apunta que cap empresa privada complia a priori aquests requisits, però que algunes s’han sotmès a l’avaluació de manera voluntària o han demanat de fer-ho i estan en procés perquè ho entenen com un mecanisme per passar un seguit de processos interns i apuntalar la protecció. Ara per ara s’han gestionat divuit certificacions. Hi ha les vuit administracions, Andorra Telecom, CASS, SAAS, FEDA, Consell General, Consell Superior de la Justícia, la policia, correus espanyols i la Poste i Andbank.
Les certificacions tenen una validesa de dos anys. L’Agència de Ciberseguretat ha corroborat que compleixin amb els requisits que marca la llei amb relació a la gestió de la informació, la seguretat amb què es tracta, la protecció de les xarxes o la conscienciació dels empleats. També ha participat en el procés l’Autoritat Financera Andorrana (AFA) perquè amb l’Agència de Ciberseguretat és l’altra autoritat nacional competent per tractar la qüestió en el sector financer. De la mateixa manera que les validacions s’han de renovar periòdicament i sotmetre’s a una reavaluació, la legislació també marca la revisió dels sectors afectats. “Durant aquest any hem de fer una revisió dels serveis, si algun l’hem de treure o afegir-ne d’altres. Anirem per la part d’afegir serveis, perquè al final el que fas és augmentar la resiliència del país”, va indicar Ubach. I avança més que probables afectats: “Anirem a buscar aquells serveis més crítics, segurament ampliarem el sector financer, altres sectors que s’està veient a escala global que estan tenint més afectació”.
PASSOS ENDAVANT
L’Agència de Cibersegurat i la legislació que l’acompanya són molt recents. Però Ubach valora que els últims dos anys s’ha fet un salt endavant. “Ha augmentat el grau de conscienciació per part de les entitats i la ciutadania, malgrat que entre la ciutadania, i no només a Andorra, costa més que cali aquest missatge”, va apuntar. I conscienciació a banda en entitats del sector públic, però també privat: “Hem vist un salt qualitatiu, inclús en les que no estan afectades per la llei”. “S’ha fet un bon treball per adequar i per destinar recursos materials, econòmics i humans per fer totes les tasques en què temps enrere, en no haver-hi una legislació, potser costava més prendre consciència del que estava passant”, va afegir el responsable de l’Agència.
I el que està passant és que els incidents relacionats amb la ciberdelinqüència contra empreses o institucions el que cerquen és el material valuós, les dades. Ubach va destacar que s’ha optat per extrapolar a Andorra la regulació més avançada i restrictiva, de manera que quan es tracta d’adoptar l’esquema nacional de seguretat “el que es fa és augmentar tant la seguretat per a l’entitat com la seguretat de cara als seus usuaris o clients”, però també “extrapolant-ho a l’àmbit turístic o dels serveis, no deixa de ser un segell de qualitat, de cara al client i inclús de cara a l’exterior”.
MÉS TARD PERÒ MÉS RÀPIDS EN L'APLICACIÓ
La regulació relativa a la ciberseguretat és recent, però s’ha aconseguit avançar ràpid en l’aplicació. Jordi Ubach ho va exemplificar comparant-ho amb el cas espanyol. “A Espanya tenen l’esquema nacional de ciberseguretat des de l’any 2010 i a hores d’ara només un 17% de l’administració pública el té”. El responsable de l’Agència de Ciberseguretat destaca l’esforç que s’ha fet a Andorra, que va optar per fixar uns terminis per llei, i que també ha comptat amb els avantatges propis de la petitesa.