ISO 27001: El Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 genera una solución a las Administraciones Públicas que quieren estar al día en la Seguridad de la Información.
La Administración General del Estado lleva bastante tiempo realizando un gran esfuerzo para poder adecuarse al Esquema Nacional de Seguridad (ENS) y al Esquema Nacional de Interoperabilidad (ENI), ya que se encuentra plenamente concienciado con que la seguridad y la interoperabilidad son cualidades que no pueden faltar en la Administración Pública. Lograr ambas cualidades influye de una forma decisiva en el aumento de la confianza y mejorar la forma de utilizar los sistemas electrónicos, por lo que se favorece la cooperación entre el ciudadano y el empresario. La concienciación es por parte de todas las Administraciones Públicas.
Como la fecha para adecuarse a los esquemas mencionados anteriormente fue enero de 2014, por lo que la Comisión Permanente del Consejo Superior de Administración Electrónica, que se dedica a organizar estos temas, llegó a un acuerdo en otoño del año 2012 por el que se realizó un seguimiento muy estrecho de la adecuación en la Administración General del Estado al ENS y al ENI en el mes de febrero de 2013 y continuadamente se realizaría de forma trimestral (mayor, septiembre y diciembre).
Por lo que en febrero de 2013 se llevó a cabo la primera encuesta, con la que se obtuvieron lo siguientes resultados a destacar:
- Excelente nivel de respuesta de los departamentos ministeriales, centros directivos y entidades vinculadas
- Interoperabilidad técnica
Los aspectos que requieren un poco más de esfuerzo son:
- Documento electrónico
- Expediente
- Archivo electrónico
- Interoperabilidad semántica
- Reutilización
En el ámbito de ENS se ven aspectos muy adelantados, como pueden ser, las políticas de seguridad, que se encuentran a la espera de la aprobación final, a la protección de las instalaciones e infraestructuras, además de todos los datos de carácter personal. Para los aspectos que se necesita más tiempo es para la identificación de las personas, el inventario de activos y las copias de seguridad.
La norma ISO27001 facilita la realización de encuestas, estas son importantes ya que detectan los posibles fallos que hay en el sistema y ayuda a solucionarlos. Algunos ejemplos que podemos encontrar son:
- Detección de intrusiones
- Configurar un perímetro de seguridad
- Gestionar incidencias
- Registrar las actividades de los usuarios
- Obtener sistemas de métricas
- Declaración de conformidad
Los trabajos que se están realizando para adecuarse al ENI y al ENS se pueden ver acompañados por la norma ISO-27001, ya que la implantación de un Sistema de Gestión de Seguridad de la Información proporciona muchas herramientas que facilitan el trabajo a realizar.
El ENI tiene el respaldo de las normas técnicas de interoperabilidad, se han publicado unas 12 normas que cuentan con el respaldo de todas las Administraciones Públicas. Estas cuentan con su documentación de soporte, la infraestructura con la que se cuenta y los servicios comunes, además de la legislación que pueda influirle.
El ENS, que colabora con el Centro Criptológico Nacional del Centro Nacional de Inteligencia, esta cuenta con el respaldo de una exhaustiva colección de diferentes guías, herramientas y servicios que generen repuestas ante posibles incidentes. Las necesidades se ven incrementadas en función de la demanda de las Administraciones Públicas.
Si lo relacionamos con Europa, la actividad se encuentra encaminada a alinearse dentro de poco, con las estrategias emergentes, las participaciones y las contribuciones de las diferentes actuaciones, para obtenerlo se utilizan diferentes políticas, resultados y productos que enlacen los servicios comunes de las Administraciones Públicas con los de la Unión Europea.
Por parte de la ENS se posiciona anticipándose a los diferentes mandatos que contemplan las recientes propuestas de la Comisión Europea para implantar la Estrategia Europea de Cloud Computing, para facilitar este trabajo se puede implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
El principal reto al que se enfrentan es implantar plenamente los esquemas, ENI y ENS, en todas las Administraciones Públicas.
Se puede realizar un proceso de escucha, analizar el escenario en que nos movemos y recepcionar los comentarios y propuestas que realizan las Administraciones Públicas, esto permite una mejora en la evolución y mejora de ENI y ENS.
Los que hemos obtenido de los procesos mencionados anteriormente, es la necesidad de reforzar las pautas a seguir para codificar los objetos administrativos, la utilización de las infraestructuras y los servicios comunes.
En la parte de la seguridad se debe comprobar la necesidad que puede existir en incrementar la participación de los diferentes órganos que se dedican a la administración electrónica y a realizar los procedimientos para recoger la información que facilite la realización de un perfil general de seguridad en las Administraciones Públicas.
El valor y la dedicación que requieren todas las Administraciones Públicas necesitan la realización de diversos planes e iniciativas, como puede ser el Plan Estratégico de Mejora en el que se incluyen medidas como el apoyo y la implantación de los esquemas ENI y ENS.
La Estrategia Española de Ciberseguridad tiene como pilar principal la Seguridad de Información, ISO27001, y los servicios que se llevan a cabo mediante las administraciones públicas. Además, esta estrategia ayuda a implantar el Esquema Nacional de Seguridad.
El Esquema Nacioal de Seguridad y el Esquema Nacional de Interoperabilidad derivan de la Ley 11/2007 que trata sobre los servicios de la administración electrónica. Para ir más allá de la administración electrónica tenernos la Agenda Digital y el Consejo Superior de Administración Electrónica que se encarga de redactar un Plan de Administración Electrónica.
Se pretende conseguir los siguientes objetivos:
- Aprovechar toda la tecnología.
- Aumentar el uso de los servicios públicos.
- Rentabilizar el empleo TIC.
- Aumentar las cooperaciones entre la Administración y otras organizaciones.
- Aprovechar las TIC.
Software para ISO 27001
El Software para ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.