lunes, 14 de septiembre de 2009

Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia

Hace un par de meses escribía un largo post sobre la ausencia de estrategia en materia de seguridad que podéis leer en el post titulado "La ciberseguridad española, sin orden ni concierto".

En aquel momento Joseba Enjuto vía comentarios ya avanzaba algo sobre la redacción del Esquema Nacional de Seguridad y en mis investigaciones posteriores pude hacerme con un borrador que andaba circulando.

Esta semana Joseba Enjuto de nuevo nos anuncia la publicación del borrador de Real Decreto donde se define, ni más ni menos que el Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad?
  • Desarrolla el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos donde se habla de la seguridad en la utilización de medios electrónicos en esto de la Administración Electrónica.

  • Será una reglamentación de obligado cumplimiento dentro de las Administraciones Públicas para garantizar la seguridad informática de los tramites online, y por ende, la seguridad jurídica. Dado que la validez jurídica y robustez de los procesos administrativos recae en la informática, ahora es necesario garantizar que no habrá problemas jurídicos cuando todo se base en la tecnología




El cumplimiento de este reglamento evitará situaciones como las alguna vez denunciadas en este mismo blog.

¿Para qué servirá el Esquema Nacional de Seguridad?
  • La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

  • El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información y aporta un lenguaje común para facilitar la interacción de las Administraciones Públicas, así como la comunicación de los requisitos de seguridad de la información de las mismas a la industria.


¿Qué tiene de nuevo?
  • Por lo que he podido leer, este Real Decreto son unos muy buenos cimientos para establecer una gestión de la seguridad dentro del ámbito de las AA.PP. Se basa en unos principios esenciales como son:

    1)Seguridad entendida como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

    2)Análisis y gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de diseño de la seguridad que deberá mantenerse permanentemente actualizado. La gestión garantizará el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables.

    3)Prevención, reacción y recuperación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a la información que maneja, o los servicios que se prestan.

    4)Reevaluación periódica: Auditoría cada dos años del funcionamiento de las medidas de seguridad para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.


¿Qué estructura tiene?
  • El desarrollo trata de establecer por Real Decreto una serie de requisitos mínimos que las Administraciones Públicas han de garantizar en todo lo relacionado con la e-Administración. Para ello, se han basado en las normas existentes y establecen vía reglamento unos criterios únicos y mínimos con idéntica filosofía a lo que hace el R.D. 1720/2007 en relación al cumplimiento de las medidas de seguridad vinculadas a los datos de carácter personal.

  • El documento establece unos principios básicos de gestión y luego desarrolla un catálogo de medidas de seguridad que serán exigidas de forma proporcional a los distintos organismos atendiendo a un criterio de clasificación bajo, medio o alto según la valoración de la información.

  • Las medidas se organizan en base a áreas que tienen a su vez apartados y dentro se concretan las medidas. Al igual que en la norma ISO 27002, podemos hablar de bloque, objetivo de control y controles solo que este Real Decreto establece mínimos necesarios y auditables.


¿Cómo se definen las medidas de seguridad?
  • El Real Decreto establece un principio de proporcionalidad donde a mayores requisitos de garantizar seguridad mayores requisitos exigidos como medidas de seguridad.
    Para ello, las medidas se organizan en base a los siguientes aspectos:

    3 MARCO ORGANIZATIVO
    3.1 POLÍTICA DE SEGURIDAD
    3.2 NORMATIVA DE SEGURIDAD
    3.3 PROCEDIMIENTOS DE SEGURIDAD
    3.4 PROCESO DE AUTORIZACIÓN
    3.5 AUDITORÍAS DE SEGURIDAD

    4 MARCO OPERACIONAL
    4.1 PLANIFICACIÓN
    4.2 CONTROL DE ACCESO.
    4.3 EXPLOTACIÓN
    4.4 SERVICIOS EXTERNOS
    4.5 CONTINUIDAD DEL SERVICIO
    4.6 MONITORIZACIÓN DEL SISTEMA

    5 MEDIDAS DE PROTECCIÓN
    5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
    5.2 GESTIÓN DEL PERSONAL
    5.3 PROTECCIÓN DE LOS EQUIPOS
    5.4 PROTECCIÓN DE LAS COMUNICACIONES
    5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
    5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
    5.7 PROTECCIÓN DE LA INFORMACIÓN
    5.8 PROTECCIÓN DE LOS SERVICIOS


  • Cada organismo deberá elaborar una declaración de aplicabilidad y detallar la situación en la que se encuentra cada medida atendiendo a sus niveles de seguridad definidos.


¿Donde puedo obtenerlo?

6 comentarios:

Anónimo dijo...

Gracias Javi por este post.

Un saludo.

Javier García.

Luis dijo...

Muchas gracias, muy interesante.

Julián Valero dijo...

Interesante y sugerente, sin duda, como todas tus aportaciones. Me surge la siguiente duda, ya que no acabo de encontrar la web donde se alojan este borrador y el de Interoperabilidad (más allá del enlace al pdf): ¿se ha abierto período de información pública como en el caso del borrador de Decreto de desarrollo general de la LAE? En este último caso se pudieron hacer aportaciones por e-mail que, aunque no sea la fórmula jurídica más ortodoxa (¿para qué están los registros electrónicos?), al menos permitía la participación ciudadan.

Javier Cao Avellaneda dijo...

Julián, este borrador tiene su ficha en la Web del Consejo Superior de Informática del MAP al que puedes llegar desde aquí:
http://www.csae.map.es/csi/pg5e42.htm

En la ficha se indica que está en desarrollo y este borrador creo que se da a conocer tras el visto bueno que se ha realizado por parte de todas las Comunidades Autónomas. Ya desconozco cual será el siguiente paso administrativo para su publicación pero se puede contactar con secretaria.csae@map.es para preguntar.

lfs dijo...

¿Cómo impactará esta ley en los proveedores de la administración publica? ¿deberán demostrar adhesión a los reglamentos establecido en la ley a través de una certificación como la ISO 27001?

Javier Cao Avellaneda dijo...

No se especifica nada pero si medio deja caer que será interesante que las organizaciones que presten servicios cuenten con unos niveles idóneos de gestión y madurez de la seguridad en los servicios prestados. (Art. 15 del R.D. 3/2010). Bajo esa premisa, podrán puntuar favorablemente certificaciones ISO 27001? Probablemente si.

 
;