Adecuación al Esquema Nacional de Seguridad

Como es conocido, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 habla de la creación, a través de reglamento, del Esquema Nacional de Seguridad.

En cumplimiento de la misma, se aprobó el Real Decreto 3/2010 de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración Electrónica.

Esta norma tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información.

Es de aplicación a las administraciones públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios en los medios electrónicos que gestiones en el ejercicio de sus competencias.

Con la misma se pretende proporcionar las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de una serie de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos de manera que permita que a los ciudadanos el ejercer sus derechos y a las Administraciones Electrónicas el cumplir sus deberes a través de estos medios.

En su Disposición Transitoria, para la Adecuación de los Sistemas, el Real Decreto estipula que, si no fuera posible la plena adaptación para Enero 2011 de los sistemas existentes, se podrá realizar la adaptación hasta enero 2014, pero elaborando un Plan de Adecuación (guía CCN-STIC-806 del Centro Criptológico Nacional), que marque los plazos y que debe ser elaborado y aprobado por los órganos competentes con antelación suficiente.

En el caso de nuestra administración provincial, la Diputación de Cádiz, se ha venido manteniendo una preocupación y un interés por la cuestiones de seguridad evidentes desde hace años, como lo demuestra actuaciones tales como la constitución del Comité Asesor de Seguridad de la Información, la adaptación a la Ley Orgánica de Protección de Datos y a su decreto de Desarrollo, las pruebas de “hacking ético” sobre los sistemas, amén de todas las medidas -principalmente- técnicas, organizativas y procedimentales existentes que están perfectamente documentadas y recogida en su Documento de Seguridad de la Información.

Pero ante esta nueva disposición legislativa, se imponía aborda el cumplimiento de la misma y analizar en profundidad la seguridad de los sistema, realizando el estudio para comprobar su adecuación al Esquema Nacional de Seguridad.

Para este trabajo se decidió recurrir a una consultora externa. Al concurso se presentaron varias firmas pero obtuvo el contrato la empresa Ingeniería e Integración Avanzada, SA. (Ingenia), valorándose entre otros aspectos, las mejoras que ofertaban como la instalación, configuración y parametrización de la aplicación e-Pulpo.

El trabajo realizado por la consultara Ingenia, junto personal del Área de Sociedad de la Información y de EPICSA, han dado como fruto “El Plan de Adecuación de los Sistemas de Información de la Diputación Provincial de Cádiz al Esquema Nacional de Seguridad”, que recoge los resultados del análisis de todos los sistemas de la Diputación, así como en qué medida cumplen lo establecido en el Esquema Nacional de Seguridad.

Dicho Plan, una vez validado, fue presentado a la Comisión Asesora de Seguridad de la Información, que propuso su aprobación, la cual se efectuó por Decreto de la Presidencia.

Según lo expuesto por la consultora de la empresa Ingenia, los sistemas de Diputación de Cádiz tienen un buen nivel de cumplimiento general de todos los aspectos relativos a la seguridad, pero aún así habría algunas cuestiones que reforzar para dar máximo cumplimiento a esta normativa. Para lograr dicho objetivo se ha establecido un calendario de actuaciones que abarca hasta 2013 y que permite mejorar de manera óptima la gestión en esta materia.

El Plan de adecuación contiene la siguiente información: antecedentes y análisis de la política de seguridad, valoración de la información y servicios que se manejan, tratamiento de los datos de carácter personal, categorización de los sistemas, declaración de aplicabilidad de medidas, análisis de riesgos, informe de insuficiencia del sistema, plan de mejora de la seguridad incluyendo plazos y costes.

Para su elaboración se han realizado una serie de trabajos orientados a generar la información necesaria para dar respuesta a los diferentes apartados que debía contener el Plan de Adecuación al ENS, como son identificación de Información, servicios dentro del alcance del ENS, valoración en las diferentes dimensiones de la Seguridad, entrevistas con diferentes perfiles de la organización para evaluar el grado de cumplimiento de las medidas de seguridad.

Igualmente se ha realizado el análisis de riesgos según metodología MAGERIT-II, usando la herramienta PILAR y la herramienta e-PULPO. Se ha elaborado la declaración de aplicabilidad, el informe de insuficiencias y plan de mejora, generándose finalmente el documento base del Plan de Adecuación.

Con todo ello, considero que hemos logrado ser una de las primeras administraciones de Andalucía en dotarnos del instrumento que nos exige la ley y cumplir con la obligaciones que la misma nos impone .Es por ello que solo me queda felicitar a todos los que han intervenido en este trabajo, que ha sido de gran complejidad, pero por el que se ha obtenido un resultado de una gran calidad.

Una respuesta a «Adecuación al Esquema Nacional de Seguridad»

  1. Enhorabuena por haber conseguido un reto tan dificil como poder asegurar vuestra adecuación al ENS, y muchas gracias por la parte que me toca en confiar en Ingenia para ello, asi como en el producto e-Pulpo.

    Saludos!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *