Seguretat de la informació en l'administració pública
- Cristina Ureña
La importància de la seguretat de la informació
En l’actualitat, la informació es transmet a gran velocitat i pot arribar a qualsevol lloc del món en qüestió de segons. Quan es publica informació a Internet o s’envia per correu electrònic, es perd el control sobre el seu ús, ja que pot ser copiada, reenviada i emmagatzemada en múltiples ubicacions sense cap restricció.
A més, cada vegada hi ha més dispositius connectats a la xarxa, com ordinadors, telèfons mòbils i serveis d’emmagatzematge en el núvol. Això facilita el treball diari, però també augmenta els riscos de filtracions i pèrdues d’informació si no es prenen les mesures adequades.
Per aquest motiu, garantir la seguretat de la informació és fonamental en l’àmbit de l’administració pública. Una gestió responsable de les dades assegura que la informació es mantingui protegida i s’evitin incidents que podrien afectar la privacitat dels ciutadans i la confiança en les institucions.
La protecció efectiva de les dades, requerida per normatives com el RGPD, implica a la pràctica preservar-ne la confidencialitat, la integritat i la disponibilitat, evitant-ne alteracions no autoritzades i prevenint-ne l’ús indegut. Això es tradueix en tres objectius clau:
✅ Confidencialitat: assegurar que només les persones autoritzades tinguin accés a la informació.
Exemple: Un expedient municipal amb dades de la ciutadania ha d’estar protegit amb permisos d’accés restringits perquè només els treballadors autoritzats el puguin consultar.
✅ Integritat: garantir que les dades no puguin ser modificades de manera no autoritzada.
Exemple: Un decret d’ajuts no pot ser alterat sense autorització, evitant que es modifiquin imports o dades de beneficiaris de manera fraudulenta.
✅ Disponibilitat: assegurar que la informació i els sistemes estiguin accessibles quan es necessitin.
Exemple: La base de dades del padró municipal ha d’estar operativa perquè els funcionaris puguin gestionar l’empadronament sense interrupcions.
Posem un exemple, si un document amb dades personals de beneficiaris d’ajuts socials s’envia per error a una persona no autoritzada, aquesta podria reenviar-lo o emmagatzemar-lo sense permís. Aquesta situació vulneraria dos principis essencials del Reglament General de Protecció de Dades (RGPD), directament lligats a la seguretat: la Confidencialitat (només les persones autoritzades haurien de poder accedir a la informació) i la Integritat (les dades no haurien de ser modificades o utilitzades de manera indeguda).
La seguretat com a garantia dels drets dels ciutadans
Les administracions públiques han de garantir el bon funcionament dels sistemes d’informació i protegir els drets i la privacitat dels ciutadans. Per exemple, quan un ajuntament gestiona el padró municipal, ha de garantir que les dades dels veïns estiguin protegides i només siguin accessibles per als treballadors autoritzats que les necessitin per a l'exercici de les seves funcions.
Exemple: Si un treballador utilitza una contrasenya feble o comparteix el seu usuari amb un company, es podria produir un accés no autoritzat a informació sensible. Per prevenir-ho, és imprescindible establir una contrasenya robusta.
Què han de fer els empleats públics?
✅ Aplicar les mesures de seguretat establertes per protegir la informació. Per exemple, bloquejar l'ordinador quan s’abandona el lloc de treball i evitar descarregar documents oficials de l’Ajuntament en dispositius personals.
✅ Gestionar la informació de manera responsable, evitant filtracions o usos indeguts. Per exemple, no compartir documents confidencials a través de correus personals o aplicacions de missatgeria no autoritzades.
✅ Comunicar immediatament qualsevol vulneració de dades (o sospita) al Responsable del Tractament de l’ajuntament, perquè pugui analitzar l'incident i garantir el compliment de la normativa.
A continuació, us presentem un conjunt de bones pràctiques dissenyades per reforçar la seguretat i fomentar la confiança dels ciutadans en l’administració, amb l’objectiu de garantir la protecció de la privacitat de totes les persones. Aquestes mesures no només asseguren el compliment de la normativa vigent, sinó que també demostren el nostre compromís amb els drets fonamentals de la ciutadania.
Bones pràctiques en matèria de seguretat
Com a empleats públics, estem obligats a protegir les dades de caràcter personal que tractem en l'exercici de les nostres funcions. Així mateix, accedim als sistemes d'informació dels nostres organismes, utilitzant ordinadors, dispositius mòbils i ens connectem a la xarxa. És fonamental seguir bones pràctiques per garantir la seguretat de la informació i la protecció de dades personals.
Dades personals
No comuniqueu dades personals a altres administracions, entitats o particulars sense l’autorització del Responsable del Tractament o del vostre superior jeràrquic.
Complimenteu el vostre deure de secret en relació amb les dades que gestioneu, fins i tot després d’haver finalitzat la vostra relació laboral amb aquesta Administració.
Lloc de treball
No modifiqueu sense autorització la configuració estàndard dels sistemes.
Bloquegeu el vostre equip quan us absenteu.
Utilitzeu els recursos de xarxa per emmagatzemar informació de manera segura.
Recolliu tota la documentació abans d'acabar la jornada laboral.
Emmagatzematge d’informació
Extremeu la precaució quan emmagatzemeu o distribuïu informació en dispositius portables (USB, discs durs externs...).
Si necessiteu solucions alternatives d’emmagatzematge, informeu l'organització.
Feu ús del xifratge per protegir la informació sensible sempre que sigui possible o requerit.
Navegació per internet
Verifiqueu que els llocs web que visiteu són segurs (HTTPS) i eviteu aquells que no ho siguin o siguin sospitosos.
Aneu amb compte en obrir fitxers descarregats d'internet.
Si us identifiqueu en algun servei, tanqueu la sessió en acabar.
No emmagatzemeu contrasenyes en el navegador.
Netegeu periòdicament l’historial i la memòria cau del navegador.
Extremeu la precaució amb la informació confidencial que compartiu en línia.
Correu electrònic
Feu un ús responsable de la vostra adreça de correu professional.
No respongueu a missatges ni obriu o descarregueu arxius adjunts de remitents desconeguts o sospitosos (phishing).
No participeu en cadenes de correus i eviteu reexpedir missatges innecessàriament.
Eviteu enviar informació sensible, confidencial o protegida a través del correu electrònic sense les mesures de protecció adequades (com el xifratge, si és necessari).
Dispositius d’usuari (Telèfons mòbils, tauletes, memòries USB, targetes SD…)
Diferencieu entre dispositius personals i professionals; eviteu connectar dispositius personals als ordinadors corporatius.
No connecteu dispositius desconeguts als sistemes corporatius.
Custodieu els vostres dispositius portables per evitar pèrdues o robatoris.
Aneu amb compte amb les connexions sense fils (Wi-Fi), especialment si són públiques.
Abans de desfer-vos d’un dispositiu, assegureu-vos que no conté informació sensible (esborrat segur).
En cas de robatori o pèrdua d'un dispositiu, comuniqueu-ho immediatament seguint els procediments establerts pel vostre organisme.
Per últim, mantingueu les vostres contrasenyes en secret i no les compartiu amb ningú. Per a crear contrasenyes segures, us recomanem consultar aquest enllaç de l'INCIBE (Gestión de contraseñas seguras | Ciudadanía | INCIBE), on s’explica de manera clara i detallada com generar contrasenyes robustes i difícils de vulnerar.
A més, afegim un consell addicional per a reforçar encara més la seguretat: per evitar atacs de diccionari, una tècnica efectiva, entre d'altres, consisteix en introduir errors ortogràfics o paraules d’idiomes diferents en alguna part de la contrasenya. Per exemple, si la contrasenya inicial és AvuiFaSol, i afegim símbols i números per complir amb els requisits bàsics de seguretat, podria quedar com 1AvuiFaSol!. Però per a fer-la encara més segura, podem introduir errors ortogràfics o variacions, transformant-la en 1AbuiFaSun!. Aquesta tècnica dificulta enormement que els atacs basats en diccionari puguin desxifrar-la, ja que no segueix un patró lingüístic convencional. Incorporar petits canvis com aquests pot marcar una gran diferència en la protecció de les nostres dades i sistemes, contribuint a una cultura de seguretat més sòlida.
La importància de la notificació d’incidències
La detecció i notificació d’incidències de seguretat és clau per minimitzar riscos i evitar danys majors. Una incidència de seguretat pot derivar d'un error humà o d'un atac extern, però el veritable risc radica en no comunicar-la a temps.
Exemple: Si es perd un ordinador portàtil amb documents sensibles o es publiquen per error dades personals en un document accessible públicament, cal informar-ho immediatament al Responsable del Tractament de Dades per prendre les mesures adequades.
📌 COMUNIQUEU qualsevol incidència que pugui comprometre la seguretat de la informació o la protecció de dades seguint els procediments establerts pel vostre organisme.
Si es produeix una filtració o pèrdua de dades personals, l'Ajuntament està obligat a notificar-ho a l'Autoritat Catalana de Protecció de Dades (APDCAT) en un termini màxim de 72 hores des que en té constància.
En aquest espai hi trobareu models per a la prevenció, identificació i gestió de violacions de seguretat en protecció de dades:
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2256535555
https://suportddgi.atlassian.net/wiki/spaces/BGTPC/pages/2254995488
Recursos Addicionals:
Si voleu aprofundir en seguretat de la informació, podeu accedir als vídeos formatius de l’Agència de Ciberseguretat de Catalunya: