Seguridá de la información

El Real Decreto 3/2010, de 8 de xinero, pol que se regula l´Esquema Nacional de Seguridá nel  ámbitu de l'Alministración Electrónica tien la finalidá crear les condiciones necesaries d'enfotu nel usu de los medios electrónicos, al traviés de midíes para garantizar la seguridá de los sistemes, los datos, les comunicaciones, y los servicios electrónicos, de manera que se favoreza un usu óptimu y seguru  de los medios TIC esenciales que son la base de les alministraciones electróniques y del meyor exerciciu de derechos  y cumplimientu de deberes qu'a toos y toes afecten.

L'Esquema Nacional de Seguridá tien por oxetivu, en resume,  implantar  un escenariu d'enfotu nel   que los sistemes d'información empresten los sos servicios y curien los datos acordies con les sos especificaciones funcionales, ensin interrupciones o cambeos fuera de control y ensin que la información pueda llegar al conocimiento de persones ensin autorizar. Enfotu, por tanto, en qu'equipos y redes van tener capacidá p’aguantar    los accidentes o acciones ilícites o malintencionaes que comprometan la disponibilidá, autenticidá, integridá y confidencialidá de los datos almacenaos o tresmitíos y de los servicios que diches redes y sistemes ufierten o faen accesibles.

Nesi escenariu la seguridá non solo atiende a la protección  de cada sistema o al control desproporcionáu de lo que caún fai, sinón qu'esixe un procesu d'estudiu y analís que valore cada elementu como parte d'un  tou, y onde se fai necesaria una máxima coordinación ente distintos grupos, inclusive con distintes  perspectives funcionales o técniques, y una    estandarización de los procedimientos qu'en cada casu apliquen. Ye tamién primordial el siguimientu d'unos criterios y controles que l'Estáu definió como esenciales. La seguridá ye, porque asina lo apunta l'Esquema y porque lo aconseya la esperiencia, daqué tresversal ya integral  onde nun caben actuaciones puntuales o indocumentaes. Hai que recordar que la debilidá d'un sistema determina’l  so puntu más fráxil y, de cutiu, ésti surde de la mala coordinación ente midíes individualmente afayadices pero deficientemente ensamblaes.

Por esponer resumidamente la filosofía del ENS dicir que'l so elementu central ye la determinación p'alministraciones autonómiques, conceyos, universidaes, d'una serie de principios básicos comunes y de requisitos mínimos a implantar, de manera que pretende asegurase en tol Estáu español un llinguaxe común de lo que son riesgos y remediaciones y unos niveles homoxéneos de calidá atendiendo a lo primero a que la seguridá d'una entidá solo ye fiable cuando ta estendida nel restu d'organizaciones. El trabayu d'adaptar la nuesa Alministración al ENS pasa, siempre, por atender esos principios.

Principios básicos y requisitos minimos nel ENS:

Los principios básicos son los fundamentos qu’han rexir toa acción empobinada a asegurar la información y los servicios.

a)     Seguridá integral.

b)     Xestión de riesgos.

c)     Prevención, reacción y recuperación.

d)     Reevaluación periódica.

e)     La seguridá como función diferenciadora.

Los requisitos mínimos, d'obligáu cumplimientu, son  les esixencies necesaries p'asegurar la información y los servicios.

f)       Organización ya implantación del procesu de seguridá.

g)      Analís y xestión de los riesgos.

h)      Xestión de personal.

i)       Profesionalidá.

j)       Autorización y control d'accesos.

k)      Protección de les instalaciones.

l)       Alquisición de productos.

m)     Seguridá por defectu.

n)      Integridá y actualización del sistema.

o)      Protección de la información almacenada y en tránsitu.

p)      Prevención énte otros sistemes d'información interconectaos.

q)      Rexistru d'actividá.

r)       Incidentes de seguridá.

s)       Continuidá de l'actividá.

t)       Meyora continua del procesu de seguridá.
 

P'atender a los principios básicos y los requisitos mínimos, el Real Decreto 3/2010 del ENS (xuntu con determinaes Instrucciones Técniques que son emitíes pol Estáu español) regula y concreta toa una serie d'actividaes y midíes qu'han  cumplir les organizaciones y los Sistemes d'información. Son les siguientes:

Esta serie de midíes y controles materialícense o desenvuélvense  de manera contextualizada en cada organización, recoyéndose too nun documentu básicu que ye la Declaración  de Aplicabilidá del Sistema d'Información”. Cada sistema d'información suxetu al ENS debe de tener la so propia declaración d’aplicabilidá  d'alcuerdu al artículu 43 del Real Decretu, onde se determina la responsabilidá de la categorización de cada sistema d'información y quién ha facela.
Ye importante reparar que l'Esquema va más allá de lo que son remediaciones técniques e insiste en vertebrar la seguridá faciendo que forme parte de la esencia de l'Alministración, que les más altes instancies de la Organización conozan y sofiten eses midíes; midíes que tienen de’encaxar  les necesidaes operatives d'usuarios y trabayadores cola imposición d'elementos restrictivos que busquen, sobremanera, dificultar les operaciones d’intrusión y ataque esternu que recibimos en númberu altu. 

Al respective, señalar que'l Principáu d'Asturies aprobó, nel so momentu, la “Política de seguridá de los  sistemes d'información na Alministración del Principáu d'Asturies” (PSI). Acompañando a la mentada política publíquense les Normatives de Seguridá de la PSI. Estes normes, de forma asemeyada a lo contemplao pola PSI, son d'obligáu cumplimientu pa tol personal con accesu a los sistemes d'información de l'Alministración del Principáu d'Asturies.

Qu'haya una Política de Seguridá nun equival, nin muncho menos  , a llograr el certificáu d'Esquema Nacional de Seguridá, pero seguro en qu'ensin ella toa auditoría tendría, darréu, un resultáu negativu. Conocer la Política, aplicar los sos principios, atender la interpretación técnica que los especialistes en seguridad TIC faigan de los sos artículos y normatives asociaes, ye un valor esencial que da sentíu al gruesu d'actividaes que protexen  los nuestros sistemes y datos.

Pa fortalecer l'aplicación de la Política y la implicación máxima del propiu Gobiernu asturianu cara a asitiar la nuestra Organización como una referencia nacional de la seguridá llogrando la certificación de cumplimientu del Esquema, determinóse la creación del Comité denomináu CEDISI que s'enconta nel Decretu 37/2018, de 18 de xunetu, d'organización y desenvolvimientu de los preseos de funcionamientu de les tecnoloxíes de la información y les comunicaciones y de la seguridá de la información de l'Alministración del Principáu d'Asturies y el so sector públicu. Esta norma crea'l Comité d'estratexa dixital y de seguridá de la información del Principáu d'Asturies (CEDISI).

El CEDISI ye un órganu específicu, de composición profesional y multidisciplinar que va desenvolver les sos funciones pa tola Alministración xeneral y organismos dependientes del Principáu d'Asturies. Da cumplimientu a la obligación de les Alministraciones Públiques de describir un marcu de referencia pa la organización de la seguridá de la información nel so ámbitu de competencia, de conformidá con establecer nel Esquema Nacional de Seguridá. El CEDISI ye'l Comité que xestiona y coordina la seguridá, responsabilizándose d'alliniar les actividaes de la organización en materia de Seguridá de la Información.  

El cumplimientu de toles midíes a les qu'obliga l'Esquema implica un  meditáu plan d'analís y diseñu técnicu y organizativu que s'afigura nun conxuntu d'actividaes que se deben executar y abordar de manera progresiva y controlada, implicando y afectando a miles d'equipos, redes, aplicaciones  o bases  de datos, mesmo qu’ a los usuarios que faen usu d'esos elementos.  Too ello suponía un proyectu de gran volume con un plazu d'execución d'años qu'hubo d'empezase analizando l'estáu de l'Alministración del Principáu d'Asturies en materia de cumplimientu de los requisitos establecíos pol ENS pa poder fixar l'alcance a abordar y, poro, pa diseñar les acciones necesaries a executar na subsanación de cualquier defectu detectáu.

A partir d'ende foi mester implicar y organizar a los recursos humanos pertinentes, estudiar el detalle de la Sede Electrónica, oxetu central de l’acreditación, categorizar los sistemes, analizar  los riesgos existentes, documentar tolos procedimientos, o diagnosticar les debilidaes y les sos subsanaciones.

Tol trabayu vieno siendo auditáu internamente de manera periódica y  acompañóse de la obligatoria unviada añal al Gobiernu central del conxuntu d'indicativos  de la seguridá nel Principáu d'Asturies (pa la redacción pel Centru Criptológico Nacional del Informe nacional sobre l'estáu de la seguridá).

Añalmente l'equipu de seguridá de la DXTIC tuvo qu'ellaborar el llamáu Plan d'Adecuación como base pa la ordenación, siguimientu y execución de tolo que cinca  a l'adecuación al Esquema.

Finalmente, y tres tou esi trabayu, llevóse a cabu'l procesu d'auditoría esterna, al traviés d'una de les autoridaes autorizaes pa ello pol Estáu español, que condució en febreru de 2019 al llogru pal Principáu d'Asturies del Certificáu de Conformidá col ENS. Esa certificación ye una meta llograda, pero que nun permite otra cosa que siguir trabayando en caltener la calidá de la nuestra seguridá, siempre amenaciada, y n'ameyorar toos aquellos aspectos susceptibles d'ello, cara a les recertificaciones que con calter biañal  la nuestra alministración tendrá d'encarar, y col oxetivu, sobre manera, de favorecer una alministración electrónica útil, eficiente y segura.