Seguridad de la información

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el  ámbito de la Administración Electrónica tiene la finalidad crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, de manera que se favorezca un uso óptimo y seguro  de los medios TIC esenciales que son la base de las administraciones electrónicas y del mejor ejercicio de derechos  y cumplimiento de deberes que a todos y todas afectan.

El Esquema Nacional de Seguridad persigue, en definitiva,  implantar un escenario de   confianza en el que los sistemas de información presten sus servicios y custodien los datos de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar a conocimiento de personas no autorizadas. Confianza, por tanto, en que equipos y redes tendrán capacidad para   resistir  los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

En ese escenario la seguridad no sólo atiende a la protección  de cada sistema o al  control desproporcionado de lo que cada uno hace, sino que exige un proceso de estudio y análisis que valore cada elemento  como parte de un todo, y donde se hace necesaria una máxima coordinación entre diferentes grupos, incluso con distintas  perspectivas funcionales o técnicas,  y una  estandarización de los procedimientos que en cada caso apliquen. Es también primordial el seguimiento de unos criterios y controles que el Estado ha definido como esenciales. La seguridad es, porque así lo apunta el Esquema y porque lo aconseja la experiencia, algo transversal e integral  donde no caben actuaciones puntuales o indocumentadas. Hay que recordar que la debilidad de un sistema la determina su punto más frágil y, a menudo, éste surge de la mala coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas.

Por exponer resumidamente la filosofía del ENS decir que su elemento central es la determinación para administraciones autonómicas, ayuntamientos, universidades, de una serie de principios comunes básicos y de requisitos mínimos a implantar, de manera que se pretende asegurar en todo el Estado español un lenguaje común de lo que son riesgos y remediaciones y unos niveles homogéneos de calidad atendiendo al principio de que la seguridad de una entidad solo es fiable cuando está extendida en el resto de organizaciones. El trabajo de adecuar nuestra Administración al ENS pasa, siempre, por atender esos principios.

Principios básicos y requisitos minimos en el ENS:

Los principios básicos son los fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.

a)     Seguridad integral.

b)     Gestión de riesgos.

c)     Prevención, reacción y recuperación.

d)     Reevaluación periódica.

e)     La seguridad como función diferenciadora.

Los requisitos mínimos, de obligado cumplimiento,  son las exigencias necesarias para asegurar la información y los servicios.

f)       Organización e implantación del proceso de seguridad.

g)      Análisis y gestión de los riesgos.

h)      Gestión de personal.

i)       Profesionalidad.

j)       Autorización y control de accesos.

k)      Protección de las instalaciones.

l)       Adquisición de productos.

m)     Seguridad por defecto.

n)      Integridad y actualización del sistema.

o)      Protección de la información almacenada y en tránsito.

p)      Prevención ante otros sistemas de información interconectados.

q)      Registro de actividad.

r)       Incidentes de seguridad.

s)       Continuidad de la actividad.

t)       Mejora continua del proceso de seguridad.

Para atender a los principios básicos y los requisitos mínimos, el Real Decreto 3/2010 del ENS (junto con determinadas Instrucciones Técnicas que son emitidas por el Estado español) regula y concreta toda una serie de actividades y medidas que han de cumplir las organizaciones y los Sistemas de información. Son las siguientes:

Esta serie de medidas y controles se materializan  o desarrollan de manera contextualizada en cada organización, recogiéndose todo ello en un documento básico que es  la “Declaración de Aplicabilidad del Sistema de Información”. Cada sistema de información sujeto al ENS debe de tener su propia declaración de aplicabilidad de acuerdo al artículo 43 del Real Decreto, donde se determina la responsabilidad de la categorización de cada sistema de información y quién ha de hacerla.

Es importante observar que el Esquema va más allá de lo que son remediaciones técnicas e insiste en vertebrar la seguridad haciendo que forme parte de la esencia de la Administración, que las más altas instancias de la Organización conozcan y respalden esas medidas; medidas que deben balancear las necesidades operativas de usuarios y trabajadores con la imposición de elementos restrictivos que buscan, sobre todo,  dificultar las operaciones de intrusión y ataque externo que en alto número recibimos. 

A tal respecto, señalar que el Principado de Asturias aprobó, en su momento, la  “Política de seguridad de los sistemas de información en la Administración del Principado de Asturias” (PSI). Acompañando a dicha política se publican las Normativas de Seguridad de la PSI. Estas normas, de forma análoga a lo contemplado por la PSI, son de obligado cumplimiento para todo el personal con acceso a los sistemas de información de la Administración del Principado de Asturias.

Que haya una Política de Seguridad no equivale, ni mucho menos, a obtener el certificado de Esquema Nacional de Seguridad, pero desde luego que sin ella toda auditoría tendría, inmediatamente, un resultado negativo. Conocer la Política, aplicar sus principios, atender la interpretación técnica que los especialistas en seguridad TIC hagan de sus artículos y normativas asociadas, es un valor esencial que da sentido al grueso de actividades que protegen  nuestros sistemas y datos.

Para fortalecer la aplicación de la Política y la implicación máxima del propio Gobierno asturiano cara a situar nuestra Organización como una referencia nacional de la seguridad obteniendo la certificación de cumplimiento del Esquema, se determinó la creación del Comité denominado CEDISI que se fundamenta en el Decreto 37/2018, de 18 de julio, de organización y desarrollo de los instrumentos de funcionamiento de las tecnologías de la información y las comunicaciones y de la seguridad de la información de la Administración del Principado de Asturias y su sector público. Esta norma crea el Comité de estrategia digital y de seguridad de la información del Principado de Asturias (CEDISI).

El CEDISI es un órgano específico, de composición profesional y multidisciplinar que desarrollará sus funciones para toda la Administración general y organismos dependientes del Principado de Asturias. Da cumplimiento a la obligación de las Administraciones Públicas de describir un marco de referencia para la organización de la seguridad de la información en su ámbito de competencia, de conformidad con lo establecido en el Esquema Nacional de Seguridad. El CEDISI es el Comité que gestiona y coordina la seguridad, responsabilizándose de alinear las actividades de la organización en materia de Seguridad de  la Información.

El cumplimiento de todas las medidas a las que obliga el Esquema  implica un meditado plan de análisis y diseño técnico y organizativo que se plasma en un conjunto de actividades que se deben ejecutar y abordar de manera progresiva y controlada, implicando y afectando a miles de equipos, redes, aplicaciones  o  bases de datos, así como a los usuarios que hacen uso de esos elementos.  Todo ello suponía un proyecto de gran envergadura con un plazo de ejecución de años que hubo de comenzarse con analizar el estado de la Administración del Principado de Asturias en materia de cumplimiento de los requisitos establecidos por el ENS para poder fijar el alcance a abordar y, por consiguiente, para diseñar las acciones necesarias a ejecutar en la subsanación de cualquier deficiencia detectada.

A partir de ahí fue necesario implicar y organizar a los recursos humanos pertinentes, estudiar el detalle de la Sede Electrónica, objeto central de la acreditación, categorizar los sistemas,  analizar los riesgos existentes, documentar todos los procedimientos, o diagnosticar las debilidades y sus subsanaciones.

Todo el trabajo ha venido siendo auditado internamente de manera periódica  y se ha acompañado del obligatorio envío anual al Gobierno central del conjunto de  indicativos de la seguridad en el Principado de Asturias (para la redacción por el Centro Criptológico Nacional del Informe nacional sobre el estado de la seguridad).

Anualmente el equipo de seguridad de la DGTIC ha tenido que elaborar el llamado Plan de Adecuación como base para la ordenación, seguimiento y ejecución de todo lo que atañe a la adecuación al Esquema.

Finalmente, y tras todo ese trabajo, se llevó a cabo el proceso de auditoría externa, a través de una de las autoridades autorizadas para ello por el Estado español, que condujo en Febrero de 2019 a la obtención para el Principado de Asturias del Certificado de Conformidad con el ENS. Esa certificación es una meta lograda, pero que no permite otra  cosa que seguir trabajando en mantener la calidad de nuestra seguridad, siempre amenazada, y en mejorar todos aquellos aspectos susceptibles de ello, cara a las recertificaciones que con carácter bianual nuestra administración deberá afrontar, y con el objetivo, sobre manera, de favorecer una administración electrónica útil, eficiente y segura.