Por Fernando Cameo.- Recientemente se han hecho públicos los ganadores de la XII edición de los «Premios a la Calidad de la Justicia» que concede el Consejo General del Poder Judicial. Estos galardones reconocen anualmente a los órganos judiciales y entidades u organismos relacionados con la Administración de Justicia que han destacado por sus actividades de mejora de la calidad del servicio público y por la satisfacción de las necesidades de los ciudadanos mediante buenas prácticas de gestión.
En la edición de este año, el premio a la «Justicia más eficaz», en la modalidad de entidades y organismos relacionados con la Administración de Justicia, ha sido otorgado a la Administración de Justicia de la Comunidad Autónoma de Aragón por su proyecto «La seguridad como pilar de la eficacia: certificación ENS categoría alta».
El proyecto ha convertido a la administración de Justicia aragonesa en la primera de España en alcanzar, a finales de 2024, la certificación en categoría alta dentro del Esquema Nacional de Seguridad (ENS). Su desarrollo ha supuesto un cambio estructural y operativo en los sistemas de información, asegurando la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y procedimientos judiciales. Además de aumentar la seguridad, el proyecto ha permitido optimizar la eficiencia y la calidad en la gestión de la Justicia y fortalecer de este modo la confianza de ciudadanos y profesionales.
La candidatura fue presentada por la vicepresidenta segunda y consejera de Economía, Empleo e Industria de la Comunidad Autónoma de Aragón, María del Mar Vaquero Perianez, el director general de Justicia, Jorge Oswaldo Cañadas Santamaría y Ángel Sanz Barea, jefe del Servicio de Tecnologías de la Información de Justicia hasta 2023 y actualmente director gerente de Aragonesa de Servicios Telemáticos (AST).
Hemos hablado con Ángel Sanz, que ha liderado la implantación del proyecto, que nos cuenta en esta entrevista todo el proceso realizado para conseguir esta certificación que posiciona a la Justicia aragonesa como referentes en digitalización segura.
Como complemento a esta entrevista, encontrará el lector una presentación del proyecto elaborada por José Ramón Martín Díez, jefe de sección de Sistemas de Justicia, que permite profundizar más en el conocimiento de esta iniciativa.
Para situarnos, ¿puede contarnos en qué consiste una certificación ENS?
La certificación ENS (Esquema Nacional de Seguridad) es una acreditación oficial en España que garantiza que una organización certificada cumple con los requisitos establecidos en la ley para proteger adecuadamente la información tratada a través de medios electrónicos.
¿Cómo se gestó el proyecto? ¿De quién parte la iniciativa para ponerlo en marcha?
En el Servicio de Tecnologías de la Información de Justicia, siempre se ha tenido una especial preocupación por la seguridad de la información.
Así, en el año 2017, con la colaboración de la consultora Deloitte, se elaboró una hoja de ruta para asegurar el cumplimiento del Reglamento General de Protección de Datos (LA LEY 6637/2016) en la Administración de Justicia de Aragón, dentro del plazo de adecuación definido por dicha normativa.
La hoja de ruta recogía, tanto medidas organizativas, como la adquisición de herramientas de análisis, vigilancia, monitorización, protección y corrección relacionadas con la ciberseguridad.
Un proyecto ajustado a la realidad y necesidades del momento, pero, al mismo tiempo, ambicioso que requería de una financiación difícil de encajar en las disponibilidades presupuestarias que se tenían.
¿Qué aspectos concretos de la Administración de Justicia buscaban mejorar consiguiendo esta certificación?
Siendo conscientes de que, en el ámbito de la Administración de Justicia, se manejan datos sensibles como el origen racial, las convicciones religiosas, datos biométricos, la afiliación política, la vida sexual, etc., al margen de alinear los sistemas de información judicial con los requisitos legales y técnicos establecidos por el Esquema Nacional de Seguridad, lo que más nos preocupaba era asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos judiciales, especialmente en un entorno cada vez más digitalizado.
La certificación en el ENS, nos proporcionaba el contexto sobre el que articular la participación de todos los colectivos profesionales, desde los técnicos responsables de los sistemas informáticos y de telecomunicaciones, hasta los jueces, incluidos los ciudadanos receptores del servicio de Justica. Todos tienen que adquirir conciencia de la importancia de la seguridad y, de alguna manera, todos tienen que cambiar algo en el uso de los sistemas de información.
¿Han contado con algún apoyo para la implantación del ENS? ¿En qué ha consistido la colaboración?
La génesis del proyecto de certificación en el ENS, ha coincidido en el tiempo con la constitución de diferentes comisiones de seguridad, tanto en el ámbito de la Administración de la Comunidad Autónoma, como en la Administración de Justicia y, particularmente en el Comité Técnico Estatal de la Administración Judicial Electrónica (CETEAJE), y con la aprobación de las políticas de seguridad correspondientes.
Estas circunstancias contribuyeron a crear un clima favorable entre los responsables públicos para el desarrollo de proyectos como el que ahora nos ocupa.
Así, desde el CTEAJE se establecieron los mecanismos de colaboración con el Centro Criptológico Nacional para impartir formación especializada y proceder a una certificación básica en seguridad, la certificación μCeENS. Desde Aragón fuimos los primeros en levantar la mano, dos personas de nuestro equipo recibieron los cursos de formación avanzada en seguridad en el CCN y procedimos a la certificarnos en μCeENS.
Por otra parte, la entidad pública del Gobierno de Aragón, Aragonesa de Servicios Telemáticos (AST), encargada, entre otros, de los servicios de ciberseguridad del Gobierno de Aragón, que también ha alcanzado la certificación ENS en categoría ALTA, se involucró plenamente en el proyecto de Justicia.
Ahora, en esta legislatura, he pasado de dirigir el Servicio de Tecnologías de la Información de Justicia, a dirigir AST, con lo que la colaboración de esta entidad ha sido, si cabe, mucho mayor.
Y económicamente, ¿han necesitado ayuda? ¿Cómo se ha financiado el proyecto?
En los últimos años, la ciberseguridad, con el fin de dar respuesta a las amenazas que en esta materia van apareciendo continuamente, en ocasiones auspiciadas por gobiernos poco democráticos, está experimentando un desarrollo tecnológico impresionante. Así que, continuamente, se ponen en el mercado herramientas muy eficaces, pero también, muy costosas, de tal forma que, sin la ayuda financiera de los diferentes programas de la Unión Europea, FEDER y MRR, no hubiese sido posible desarrollar el proyecto de ciberseguridad del que estamos hablando ahora.
El instrumento financiero Next Generation EU, aprobado por el Consejo Europeo cuya finalidad es apoyar la inversión y las reformas en los Estados miembros para lograr una recuperación sostenible y resiliente, a través del «Proyecto 4-CIBERSEGURIDAD» del Plan Justicia 2030, dotado con 2.000.000 € por Comunidad, nos proporcionó la financiación que necesitábamos.
A grandes rasgos, ¿qué medidas fueron necesarias implementar para lograr la certificación ENS en categoría ALTA?
La implantación del Esquema Nacional de Seguridad (ENS) implica la adopción de controles tanto a nivel organizativo como operativo. En el ámbito organizativo, se han definido procedimientos y políticas suponiendo una mejora en la organización interna permitiendo la formalización de los procedimientos de seguridad.
En cuanto al nivel operacional, el ENS exige la implementación de medidas destinadas a garantizar el funcionamiento seguro del sistema en su conjunto. Estas medidas incluyen la protección de los distintos componentes tecnológicos que conforman el sistema, así como salvaguardas específicas dirigidas a activos concretos, según su naturaleza, criticidad y el nivel de seguridad requerido. Se han implantado herramientas para la gestión de usuarios administradores, doble factor para las conexiones externas, microsegmentación…entre otras.
Además, la implantación del ENS ha fomentado una cultura de seguridad más sólida dentro de las organizaciones, promoviendo la concienciación del personal y la asignación clara de responsabilidades. Esto se traduce en una mayor capacidad para prevenir, detectar y actuar ante incidentes de seguridad, alineándose con los principios de mejora continua y cumplimiento normativo.
¿Qué desafíos enfrentaron durante el proceso de certificación y cómo los superaron?
Durante el proceso de certificación, uno de los principales desafíos fue coordinar y unificar criterios entre diferentes perfiles de usuarios dentro de la Administración de Justicia, incluyendo personal del Gobierno de Aragón y profesionales externos como Letrados, Fiscales, Jueces y Magistrados. Esta diversidad implicaba distintos niveles de conocimiento, necesidades específicas y marcos normativos propios, así como la coordinación entre todas las partes.
Otro reto importante fue garantizar que todos los procedimientos y controles exigidos por la certificación estuvieran correctamente documentados, implementados y comprendidos por todos los actores implicados, en un entorno con múltiples dependencias y tecnologías.
Imaginamos que la capacitación del personal fue uno de los grandes retos de la implantación del proyecto. ¿En qué consistió dicha capacitación y a qué colectivos estuvo dirigida?
Se han realizado diversas sesiones de formación dirigidas al personal de la Administración de Justicia, teniendo en cuenta la heterogeneidad de los perfiles participantes: empleados públicos del Gobierno de Aragón, así como Letrados, Fiscales, Jueces y Magistrados pertenecientes a otros organismos. Este contexto representó un reto significativo.
Por primera vez, se ofreció formación a todos estos colectivos, a través de un curso en modalidad online, complementado con tres seminarios virtuales centrados en ciberseguridad, los cuales tuvieron una excelente acogida.
En el marco de la concienciación, se difunden regularmente infografías sobre distintos aspectos de la Seguridad de la Información. También se llevan a cabo ejercicios prácticos, como simulaciones de phishing, con el fin de evaluar y reforzar la concienciación del personal en esta materia.
¿En qué aspectos concretos fortalece esta certificación la eficacia de la Administración de Justicia de Aragón?
La certificación garantiza que los sistemas judiciales aragoneses cumplen con los más altos estándares de seguridad digital, lo que implica:
- • Protección frente a ciberataques.
- • Confidencialidad de los datos personales y judiciales.
- • Integridad y trazabilidad de los procedimientos.
Gracias al ENS, la Justicia aragonesa ha podido avanzar en su transformación digital sin comprometer la seguridad:
- • Trámites judiciales electrónicos más accesibles y confiables.
- • Servicios digitales disponibles 24/7 con garantías de disponibilidad y autenticidad.
- • Reducción de tiempos y costes administrativos.
En la memoria que presentaron a los premios, afirmaban que la certificación establece también mayor confianza de los ciudadanos y profesionales. ¿En qué sentido? ¿Cuál ha sido el feedback que han recibido por parte de estos colectivos?
Efectivamente, los ciudadanos y profesionales pueden interactuar con la Justicia sabiendo que sus datos están protegidos, lo que refuerza la confianza en el sistema judicial.
Esta sensación de seguridad ha facilitado la implantación y uso de sistemas de seguridad como «el segundo factor» o el certificado de firma electrónica para el acceso a determinados servicios. Es una forma de sentirse partícipe en el proyecto. El uso de estos sistemas siempre supone alguna incomodidad para el usuario y no es raro encontrarse con alguna resistencia al uso del teléfono móvil para validar la identidad del usuario con un segundo factor. Algo que, en el ámbito de la vida privada, todos hacemos con normalidad.
¿Puede replicarse este proyecto en otras Administraciones? ¿Han tenido ya algún contacto al respecto? ¿Cómo persuadiría a otras administraciones para adoptar un modelo similar al que han implantado?
Sin duda alguna es una referencia que puede ayudar a otras Comunidades Autónomas. Nosotros, en un primer paso, nos certificamos en μCeENS. Al principio, nos parecía una certificación muy básica que no respondía al tipo de información sensible que se maneja en Justicia. Sin embargo, esa experiencia nos resultó muy útil para obtener la certificación en categoría alta. En cambio, ahora, otras Comunidades Autónomas pueden decidirse por abordar la certificación ENS categoría alta directamente.
Respecto a cómo persuadir a otras administraciones para que se animen a certificarse, le diré que, dado el entorno de amenazas de ciberseguridad que vivimos actualmente, las noticias de organizaciones públicas y privadas que han sido atacadas y que han tardado varias semanas en recuperar la normalidad, en ocasiones perdiendo información que ha devenido en irrecuperable, creo que es imprescindible abordar procesos de certificación en el ENS.
Y para terminar, este galardón les posiciona como referentes en digitalización segura de la Justicia en España. ¿Qué ha significado la obtención del premio para la Administración de Justicia de Aragón? ¿Y personalmente, para usted y para su equipo?
Este reconocimiento ha sido un impulso muy importante para la Administración de Justicia de Aragón. Nos posiciona como referentes en digitalización segura y refuerza nuestro compromiso con una Justicia moderna y confiable.
A nivel personal y de equipo, es una recompensa al esfuerzo colectivo, al trabajo bien hecho y a la vocación de servicio público que nos mueve cada día. El mejor premio personal que uno puede recibir es sentir la satisfacción del deber cumplido. Este reconocimiento del CGPJ, nos produce ese sentimiento, a todo el equipo y a mí, y, también, al conjunto de la Administración de Justicia de Aragón. Es un reconocimiento a todos.
Un hito como éste, no podría haberse conseguido sin la colaboración y apoyo de muchas personas e instituciones. Desde el propio presidente del Tribunal Superior de Justicia, Don Manuel Bellido, hasta todos los colectivos profesionales del ámbito de Justicia. Pasando, como no, por los responsables de la dirección general de Justicia, Mª Ángeles Júlvez, que inició el proyecto, y Jorge Oswaldo Cañadas, que le toca desarrollarlo ahora y que, además, en su condición de magistrado-juez, previamente colaboró intensamente en este y en otros proyectos.
Respecto al equipo técnico que ha trabajado con total entrega más allá de sus estrictas obligaciones, tengo que nombrar a José Ramón Martín, jefe de la sección de Sistemas de Justicia y responsable de seguridad de Justicia y a Eduardo Pérez Cebollada, jefe de la sección de aplicaciones de Justicia que, junto al equipo de AST, han sacado adelante el proyecto.