Ciberseguridad para Caso de Uso de Riesgo Fiscal

Contexto: Transformación Digital del Sector Público

El Reto de la Digitalización Fiscal

La Agencia Digital de Andalucía lidera la transformación digital de la administración pública andaluza. El caso de uso de riesgo fiscal representa uno de los proyectos más sensibles: procesar y analizar datos tributarios para detectar patrones de riesgo y fraude fiscal, protegiendo simultáneamente la privacidad de millones de ciudadanos.

Requisitos de Seguridad Únicos

Datos a Proteger:

• Información tributaria de 8+ millones de ciudadanos
• Datos de empresas y autónomos
• Cruces con otras administraciones
• Modelos de riesgo (propiedad intelectual)

Marco Regulatorio:

• Esquema Nacional de Seguridad (ENS) nivel Alto
• Reglamento General de Protección de Datos (GDPR)
• Ley Orgánica de Protección de Datos (LOPDGDD)
• Normativa fiscal específica
• Ley 40/2015 de Régimen Jurídico del Sector Público

Arquitectura de Seguridad

Modelo Defense-in-Depth

┌─────────────────────────────────────────────────────────┐
│                    Capa de Perímetro                     │
│         WAF │ DDoS Protection │ CDN Seguro             │
├─────────────────────────────────────────────────────────┤
│                    Capa de Red                           │
│    Segmentación │ NSGs │ Firewall │ IDS/IPS            │
├─────────────────────────────────────────────────────────┤
│                    Capa de Aplicación                    │
│      API Gateway │ AuthN/AuthZ │ Input Validation      │
├─────────────────────────────────────────────────────────┤
│                    Capa de Datos                         │
│    Cifrado │ Tokenización │ Masking │ DLP              │
├─────────────────────────────────────────────────────────┤
│                    Capa de Monitorización                │
│         SIEM │ Audit Logs │ Alertas │ Forensics        │
└─────────────────────────────────────────────────────────┘

Zero Trust para Administración Pública

Principios Aplicados:

1. Never Trust, Always Verify

   • Autenticación continua de usuarios y servicios
   • Validación de contexto en cada request
   • Sin acceso implícito por ubicación de red

2. Least Privilege Access

   • Roles granulares por función
   • Just-in-time access para operaciones sensibles
   • Segregación de duties automatizada

3. Assume Breach

   • Microsegmentación de workloads
   • Detección de movimiento lateral
   • Incident response preparado

Protección de Datos Fiscales

Clasificación de Información:

Nivel	Tipo de Dato	Controles
Nivel 4	NIFs, datos tributarios individualizados	Cifrado, tokenización, acceso audit
Nivel 3	Agregados anonimizados	Cifrado, control de acceso
Nivel 2	Metadatos operacionales	Cifrado en reposo
Nivel 1	Información pública	Integridad verificada

Cifrado Implementado:

• AES-256 para datos en reposo
• TLS 1.3 para datos en tránsito
• Cifrado de columnas para campos sensibles
• Key management con HSM dedicado

Controles ENS Nivel Alto

Categorías de Medidas

Organizativas (org):

• Política de seguridad formalizada
• Normativa de seguridad completa
• Procedimientos operativos documentados
• Proceso de autorización formal

Operacionales (op):

• Análisis de riesgos continuo
• Gestión de la configuración
• Mantenimiento de seguridad
• Gestión de incidentes

Protección (mp):

• Protección de instalaciones
• Gestión del personal
• Protección de equipos
• Protección de comunicaciones
• Protección de soportes
• Protección de aplicaciones
• Protección de la información
• Protección de servicios

Implementación Destacada

Control mp.info.2 - Calificación de la información:

clasificacion_automatica:
  reglas:
    - patron: "NIF|DNI|CIF"
      nivel: 4
      accion: cifrar_tokenizar
    - patron: "importe.*tributario|base.*imponible"
      nivel: 4
      accion: cifrar
    - patron: "agregado|anonimizado"
      nivel: 3
      accion: cifrar_reposo

  auditoria:
    - evento: "acceso_nivel_4"
      log: detallado
      alerta: inmediata
    - evento: "exportacion_datos"
      aprobacion: requerida
      log: completo

Control mp.com.2 - Protección de confidencialidad:

• Canales cifrados exclusivos
• Certificados de entidad pública
• VPN para acceso remoto autorizado
• Inspección de tráfico cifrado

Monitorización y Detección

Security Operations

Stack de Monitorización:

• SIEM centralizado con retención 5 años
• Correlación de eventos en tiempo real
• Behavioral analytics para usuarios
• Network traffic analysis

Casos de Uso de Detección:

1. Acceso Anómalo a Datos Fiscales

   • Baseline de comportamiento por rol
   • Alertas por desviación estadística
   • Correlación con horarios y ubicaciones

2. Exfiltración de Datos

   • DLP en endpoints y red
   • Análisis de volumen de exportaciones
   • Control de canales de salida

3. Escalación de Privilegios

   • Monitorización de cambios de rol
   • Detección de acceso fuera de perfil
   • Alertas de uso de cuentas privilegiadas

Métricas de Seguridad Operacional

Métrica	Objetivo	Resultado
MTTD	< 15 min	8 min
MTTR	< 2 horas	45 min
False Positive Rate	< 10%	7%
Coverage	100%	100%

Cumplimiento y Auditoría

Proceso de Certificación ENS

Fases del Proyecto:

1. Análisis de Requisitos (Mes 1-2)

   • Gap analysis contra ENS
   • Categorización de sistemas
   • Plan de adecuación

2. Implementación (Mes 3-6)

   • Despliegue de controles técnicos
   • Desarrollo de documentación
   • Formación de personal

3. Evaluación (Mes 7)

   • Auditoría interna
   • Remediación de hallazgos
   • Preparación para certificación

4. Certificación (Mes 8)

   • Auditoría externa CCN
   • Obtención de certificado
   • Plan de mejora continua

Evidencias Generadas

Documentación ENS:

• Política de Seguridad de la Información
• Declaración de Aplicabilidad
• Análisis de Riesgos
• Plan de Seguridad
• Procedimientos Operativos (23 documentos)
• Plan de Continuidad

Registros de Auditoría:

• Logs de acceso (retención 5 años)
• Registros de cambios
• Incidentes y resoluciones
• Revisiones de accesos

Resultados del Proyecto

Indicadores de Éxito

Seguridad:

• Vulnerabilidades críticas: 0
• Incidentes de seguridad: 0 brechas
• Tiempo de respuesta a alertas: < 15 min
• Cobertura de monitorización: 100%

Cumplimiento:

• Certificación ENS Alto: ✓
• Compliance GDPR: Auditado positivo
• Hallazgos de auditoría: 0 críticos
• Planes de acción: 100% cerrados

Operación:

• Disponibilidad: 99.97%
• Tiempo de respuesta: < 200ms p95
• Capacidad: 10M transacciones/día
• Escalabilidad: Probada a 3x carga

Impacto en la Administración

Para Ciudadanos:

• Protección efectiva de datos fiscales
• Confianza en servicios digitales
• Transparencia en uso de información

Para la Administración:

• Capacidad de análisis de riesgo fiscal
• Cumplimiento regulatorio demostrable
• Base para futuros proyectos de transformación

Lecciones Aprendidas

Claves del Éxito

1. Involucrar a todas las partes temprano: Protección de datos, legal, operaciones
2. Security by design: Seguridad integrada desde arquitectura inicial
3. Automatización: Cumplimiento continuo, no puntual
4. Documentación viva: Actualizada con cada cambio

Retos del Sector Público

• Procurement: Tiempos de contratación vs urgencia de proyecto
• Legacy: Integración con sistemas existentes
• Skills gap: Formación de personal funcionario
• Cambio cultural: De compliance reactivo a proactivo

Este proyecto demostró que es posible implementar seguridad de nivel empresarial en el sector público, protegiendo datos sensibles de millones de ciudadanos mientras se habilita la transformación digital necesaria para una administración moderna y eficiente.