La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa Administración electrónica y seguridad de la información La aprobación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica establece la obligación, para todas las Administraciones Públicas, de adoptar una práctica de seguridad de la información y controles técnicos suficientes para que los sistemas de información resulten dignos de confianza y resistan incidentes, al objeto final de garantizar, en definitiva, la integridad de los derechos de los ciudadanos. Como es sabido, ya la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos había establecido una serie de derechos ciudadanos, y correspondientes obligaciones para las Administraciones Públicas, relativas a la seguridad en la Administración electrónica, entre los cuales: 1. A la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. 2. A obtener los medios de identificación electrónica necesarios. Las personas físicas pueden utilizar en todo caso los sistemas de firma electrónica del Documento Nacional de Identidad para cualquier trámite electrónico con cualquier Administración Pública. 3. A la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las Administraciones Públicas. 4. A la conservación en formato electrónico por las Administraciones Públicas de los documentos electrónicos que formen parte de un expediente. 5. Obtener copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que tengan condición de persona interesada. 6. A elegir las aplicaciones o sistemas para relacionarse con las Administraciones Públicas siempre y cuando utilicen estándares abiertos o, en su caso, otros que sean de uso generalizado por los ciudadanos. Obligaciones a las que hay que añadir las previstas en otras leyes aplicables a determinados sectores de la actividad administrativa, como en el caso de la contratación electrónica, y por supuesto, las derivadas de la aplicación de la legislación de protección de datos de carácter personal.

Como es también ampliamente conocido, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas el ejercicio de derechos y el cumplimento de deberes a través de estos medios. La norma persigue fundamentar la confianza en el hecho que los sistemas de información presten sus servicios y custodien la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. En este sentido, el Esquema Nacional de Seguridad define la seguridad de la información como la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que las redes y sistemas mencionados ofrecen o hacen accesibles. Respecto a los sistemas afectados, el artículo 5 del RDENS indica que la seguridad se entiende como un proceso integral constituido per todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema de información, que es el objeto principal sobre el que se construye el Esquema Nacional de Seguridad. En este sentido, el anexo IV del ENS define el sistema de información como el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, utilizar, compartir, distribuir, poner a disposición, presentar o transmitir. Por lo tanto, el Esquema Nacional de Seguridad, que desarrolla la LAECSP, se aplica esencialmente a los sistemas de información que soportan la actividad administrativa, la actividad interadministrativa y las relaciones con los ciudadanos. Están excluidos del ámbito de aplicación del Esquema Nacional de Seguridad los sistemas que tratan información clasificada regulada por la Ley 9/1968, de 5 de abril, de secretos oficiales y normas de desarrollo, al igual que los sistemas de información que soportan las actividades que las administraciones públicas lleven a cabo en régimen de derecho privado. Para cumplir con el Esquema Nacional de Seguridad resulta necesario, como indica el artículo 27 del RDENS, aplicar un conjunto de medidas identificadas en el anexo II de la norma, considerando los activos del sistema de información, la categoría del sistema y las decisiones que se adopten para gestionar los riesgos identificados, de forma integrada, en su caso, con la reglamentación de seguridad de protección de datos de carácter personal.

Para alcanzar este objetivo, resulta necesario aplicar una metodología que considere los siguientes pasos: 1. Establecer una política de seguridad. 2. Identificar los sistemas afectados, de acuerdo con las previsiones del Esquema Nacional de Seguridad, para lo cual se precisa entender adecuadamente la arquitectura de la Administración electrónica y sus componentes lógicos de negocio. 3. Determinar los riesgos sobre los sistemas afectados, mediante una metodología reconocida, como MAGERIT, MEHARI, OCTAVE, por citar algunos ejemplos. 4. Categorizar los sistemas afectados, de acuerdo con la gravedad del impacto que tendrían las infracciones de seguridad sobre los activos, en las dimensiones de integridad, autenticidad, confidencialidad, trazabilidad y disponibilidad. 5. Aplicar los controles correspondientes, los previstos en el anexo II del Esquema Nacional de Seguridad, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema.

El plan de adecuación del Ayuntamiento de Terrassa El Ayuntamiento de Terrassa, de la mano de la empresa Astrea La Infopista Jurídica S.L., inició a finales del año 2010 un proyecto para evaluar todos sus sistemas de información de Administración electrónica y determinar su nivel de cumplimiento de las prescripciones del reglamento, apostando por emprender actuaciones de adopción de la seguridad en lugar de abordar una simple declaración de intenciones a largo plazo, proyecto que se incluye en una estrategia integradora referida al cumplimiento normativo de los procedimientos administrativos y de gestión. En cumplimiento del mandato legal de adecuación a las previsiones reglamentarias, el Ayuntamiento de Terrassa se ha realizado las siguientes actuaciones: -

Formación y concienciación específica sobre el tratamiento de la seguridad en la legislación de Administración electrónica. En este sentido, se debe destacar la importancia de estas actuaciones, no sólo para la mejora en la adopción de seguridad por los usuarios, sino en el diseño de los nuevos servicios de administración electrónica.

-

Identificación de los sistemas de información afectados por el Esquema Nacional de Seguridad, a partir de un marco de referencia que conceptualiza

los diferentes servicios y componentes auxiliares de la Administración electrónica. Dicho marco de referencia ha identificado el conjunto de activos necesitados de protección, y ha permitido, de forma rápida, la categorización de su nivel de seguridad de acuerdo con la metodología prevista en el Esquema Nacional correspondiente. Para cada componente se han identificado los diferentes sistemas de información desplegados, y valorado mediante dominios de seguridad, la criticidad de los servicios que soportan, e informaciones que tratan. Posteriormente, para cada sistema de información resulta posible determinar los activos asociados (equipamientos, programas y aplicaciones, soportes, etc) y sus dependencias, facilitando de forma importante el esfuerzo, y coste correspondiente, del análisis detallado de los riesgos. -

Creación de una Guía de auditoría de e-Administración, con los requisitos funcionales, tecnológicos, de seguridad y de interoperabilidad que deben cumplir cada uno de los anteriores componentes, para las tres categorías posibles de seguridad definidas en el Esquema Nacional de Seguridad.

-

Diseño e implementación de una herramienta informática de cumplimiento normativo, que presenta, para cada componente de Administración electrónica, la selección automatizada de los controles del Esquema Nacional de Seguridad, así como de los estándares, guías y procedimientos aplicables a la configuración segura de los sistemas. Dicha herramienta permite de forma muy eficiente la realización de las actividades de análisis y gestión de riesgos, de forma alineada con la metodología MAGERIT pero ampliando sus contenidos para reflejar el modelo conceptual anteriormente indicado. En esta aproximación, para cada sistema de información afectado se establece un dominio de seguridad lógico, subordinado en su caso a dominios de seguridad física. De esta forma, los servicios y las informaciones esenciales se asocian a este dominio y su categoría de seguridad se propaga a los activos principales que conforman el sistema de información modelado por el dominio. Esta técnica permite valorar de forma rápida y eficiente, sin necesidad de realizar un esfuerzo desproporcionado al principio, y permite obtener la declaración de aplicabilidad prácticamente de forma automatizada, sin perjuicio de poder describir otros activos y obtener su valoración por dependencias. Obtenida la declaración de aplicabilidad para cada dominio, y realizado el análisis de riesgos correspondientes se gestionan las diversas etapas de mejora

de la seguridad, facilitando la producción y seguimiento de planes de adecuación. -

Revisión del marco normativo interno, mediante la revisión de la política de seguridad de la información y la aprobación de la política de firma electrónica.

-

Aplicación de los controles a los sistemas, de acuerdo con la priorización establecida en atención a un análisis de riesgos inicial.

-

Auditoría inicial de cumplimiento, que identifica el grado de alineación de los sistemas con los requisitos identificados en la Guía de auditoría de eAdministración del Ayuntamiento de Terrassa.

Una vez finalizadas estas actuaciones, el Comité de Administración Electrónica del Ayuntamiento se ha responsabilizado del mantenimiento de la efectividad de los controles, de forma integrada con las restantes necesidades de seguridad de los datos y, en particular, del cumplimiento de la legislación de protección de datos de carácter personal y la legislación de conservación y acceso a la información administrativa. Por: María José Robles Sánchez. Responsable de Protección de Datos y e-Administración del Ayuntamiento de Terrassa. Nacho Alamillo Director General de Astrea La Infopista Jurídica S.L.

Currículum Vitae: María José Robles Sánchez: Licenciatura en Derecho Postgrado de Administración Electrónica Ponente en el máster del ICAB de e-Administración y LOPD Miembro del Consejo Técnico asesor de Localret.

Nacho Alamillo: Licenciado en Derecho. Consultor senior en seguridad de la información. Centre de Telecomunicacions i Tecnologies de la Informació. Generalitat de Catalunya Ha sido Director del área de asesoría e investigación de la Agència Catalana de Certificació – CATCert