|Seguridad informática | entidades locales | servicios informáticos seguridad | sistemas de información | Administración electrónica | protección de datos 

La Seguridad en el ámbito de las entidades locales y la adecuación de éstas al Esquema Nacional de Seguridad.

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Esquema Nacional de Seguridad, en el ámbito de la Administración Electrónica española,  tiene como objetivo establecer las políticas de seguridad en la utilización de los medios electrónicos y está constituido por principio básicos y requisitos mínimos que permitas una protección adecuada de la información.

Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Con el rápido y cambiante entorno tecnológico, se crea la necesidad de establecer elementos comunes en cuanto a implantación y utilización de los medios electrónicos por las Administraciones Públicas y cómo estas interactúan con los ciudadanos, para de este modo, crear un entorno idóneo de confianza al utilizar los medios electrónicos para ejercitar sus derechos con las Administraciones Públicas.

Ámbito de aplicación, alcance e implantación del ENS

El ámbito de aplicación del Esquema Nacional de Seguridad comprende:

  • La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
  • Los ciudadanos en sus relaciones con las Administraciones Públicas.
  • Las relaciones entre las distintas Administraciones Públicas.

Cómo regla general, las aplicaciones, servicios o sistemas que comprende este ámbito de aplicación del ENS son los siguientes:

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo.

El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, independientemente de su ubicación.

Por tanto, debemos exigir el cumplimiento del Esquema Nacional de Seguridad, no sólo a los Sistemas de Información que estén operados por personal de las Administraciones Públicas y/o en dependencias de éstas, sino también a aquellos otros que, estando operados por terceros e, incluso, en dependencias de terceros, desarrollan funciones, misiones, cometidos o servicios para las Administraciones Públicas.

La Ley Orgánica de Protección de Datos de carácter personal y el Esquema Nacional de Seguridad

En cuanto a las denominaciones BÁSICO/MEDIO/ALTO que son utilizadas tanto en el ENS cómo en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, decir que ni significan lo mismo ni son intercambiables.

Los niveles de seguridad se determinan por la pertenencia del dato a un nivel concreto, para el ENS la categoría del sistema se sustenta en el impacto que un incidente de seguridad podría tener en relación con la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio y el respeto a la legalidad y a los derechos de los ciudadanos (y en sus dimensiones: integridad, confidencialidad, trazabilidad, disponibilidad y autenticidad).

Por tanto, puesto que su determinación obedece a procedimientos distintos, cada sistema/servicio/tratamiento debe cualificarse independientemente: para su conformidad con la normativa de Protección de Datos de Carácter Personal y para con lo dispuesto en el ENS.

En cuanto a los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido.

El RD 1720/2007 sólo exige que en las normas técnicas del producto en cuestión aparezca la mención del nivel de seguridad que es capaz de alcanzar el software en cuestión. No prescribe, por tanto, ninguna auditoría. Sin embargo, existen productos software que han sometido (o están sometiendo) al análisis de auditores externos y/o independientes esta cuestión, con la idea de exhibir el resultado de tal auditoría no sólo en las normas técnicas del producto, sino también en sus páginas web, etc.

El ejercicio de los derechos ARCO (conjunto de acciones a través de las cuales una persona física puede ejercer el control sobre sus datos personales. Acceso, Rectificación, Cancelación, Oposición, Limitación y Portabilidad) es, como su propio nombre indica, un derecho de los ciudadanos. Por tanto, el ejercicio de tales derechos debe ser objeto del ENS. Las medidas de seguridad que serán de aplicación a cada sistema/servicio deben estar ponderadas respecto de los riesgos que la organización asume. En este caso, toda vez que se trata de una mera información al usuario (información que podrá encontrarse en la  Sede Electrónica, como expresión del ejercicio de un derecho) las cautelas que deben tomarse parecen simples: asegurar la disponibilidad de la información, su integridad y su autenticidad, estas dos últimas dimensiones pueden satisfacerse firmando electrónicamente los PDF o incorporándoles un CSV (Código Seguro de Verificación) mediante el cual los interesados puedan verificar su autenticidad mediante la consulta a la página web del organismo.

El artículo 15 del Esquema Nacional de Seguridad expresa la necesidad de que la seguridad de los sistemas sea gestionada por personal cualificado.

Se necesitará la figura del Responsable del Sistema es un puesto operativo, no un cargo directivo o de gobierno. Suele recibir también la denominación de Responsable de Producción o Explotación, que será la persona en la que recaerá la responsabilidad de la prestación material del servicio. Este profesional debe poseer los conocimientos técnicos adecuados, así como la capacidad de gestionar la actividad de los operadores o técnicos de sistemas que tenga a su cargo (si los hubiere). Esta función puede ser asumida por una persona (o personas) externas a la propia organización (previa formalización contractual) y que pueda reportar al Comité de Seguridad o a los Responsables TIC del organismo. Hacemos notar de nuevo que puede delegarse la función, no la responsabilidad, que será siempre del organismo público.

Por otro lado está la figura del Responsable de la Información que es la persona (u órgano colegiado con responsabilidad unitaria identificable) que tiene la potestad de establecer los requisitos de la información en materia de seguridad, o, en terminología del ENS, la persona que determina los niveles de seguridad de la información. Por tanto, lo lógico será que el Responsable de la Información se corresponda con algún funcionario o empleado público (de carrera o de libre designación, según los casos) perteneciente a los niveles de gobierno del organismo público en cuestión (por ejemplo, cargos directivos en la AGE). Nótese que la información de alto nivel que se maneja en un órgano de la Administración Pública o Entidad de Derecho Público cae habitualmente dentro de un grupo reducido de tipos de información, tipos que son muy estables en el tiempo. La valoración se realiza una vez en una fase inicial de implantación del ENS y puede permanecer inalterable durante años. Como en otras figuras, nada impide que esta responsabilidad pueda recaer en un órgano colegiado (presidido por una persona física, que será la que asumirá la responsabilidad formal de sus actos.) Por ejemplo, tal es el caso del Pleno de un Ayuntamiento, cuando determina y aprueba la valoración hecha de una determinada información y, en su consecuencia, aceptando el riesgo residual que pudiera permanecer tras el preceptivo Análisis de Riesgos y obtención de la Declaración de Aplicabilidad.

Aunque la aprobación formal de los niveles corresponda al responsable de la información, se puede recabar una propuesta al Responsable de Seguridad y conviene que se escuche la opinión del Responsable del Sistema.

Y en tercer lugar nos encontramos con la figura del Responsable del Servicio que determinará los requisitos de los servicios prestados. Puede ser una persona concreta o un órgano corporativo que revestirá la forma de órgano colegiado. A menudo puede ocurrir que se encuentre en una posición jerárquicamente dependiente del Responsable de la Información. Esta estructura refleja el hecho habitual de que un servicio hereda los requisitos de la información que maneja, sin perjuicio de las exigencias en materia de disponibilidad que convenga añadir.

Plan de adecuación al Esquema Nacional de Seguridad

El  Real Decreto 3/2010 en su disposición transitoria, aparece articulado un mecanismo escalonado para la adecuación a lo previsto en el ENS , de manera que los sistemas de las administraciones deberán estar adecuados a este Esquem,a en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo.

Para ello las Administraciones Públicas, Ayuntamientos y demás Entidades Locales, deberán:

  • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
  • Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.
  • Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
  • Preparar y aprobar la Declaración de Aplicabilidad de las medidas del Anexo II del ENS.
  • Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución.
  • Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente.

En globatika.es nuestra empresa de informática, tenemos expertos en seguridad informática, actuando tanto con entidades públicas como privadas, pueden ayudar a su ayuntamiento a la adecuación al Esquema Nacional de Seguridad. Contamos además con abogados expertos en cumplimiento normativo ( compliance officer) titulados y certificados, que colaboran directamente con nuestra empresa de informática

En nuestra empresa de informática,  el equipo humano cuenta con profesionales formados, altamente cualificados, y con sobrada experiencia en informática y telecomunicaciones. Contamos con informáticos en toda España. Para cualquier consulta,  no dude en comunicarse con nosotros en el teléfono  900 525 715  o a través del formulario de contacto de nuestra página web, estaremos encantados de atenderle y solucionaremos los problemas de seguridad de su entidad local.