Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de la seguridad de la informacin y
certificacin ISO 27001 en la
Administracin Pblica
TECNIMAP 2010
Palabras Clave
Resumen
1
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
Introduccin
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios
Pblicos establece en su primer artculo la obligacin de las Administraciones Pblicas de
utilizar las tecnologas de la informacin de forma que se aseguren la disponibilidad, el
acceso, la integridad, la autenticidad, la confidencialidad y la conservacin de los datos,
informaciones y servicios que gestionen en el ejercicio de sus competencias.
Las referencias a la seguridad a lo largo de la mencionada ley son constantes. Y no puede
ser de otra forma ya que, como recuerda el Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin
Electrnica, la necesaria generalizacin de la sociedad de la informacin es subsidiaria,
en gran medida, de la confianza que genere en los ciudadanos la relacin a travs de
medios electrnicos.
El objeto del Esquema Nacional de Seguridad, como requiere el artculo 42.2 de la Ley
11/2007, es precisamente establecer los principios y requisitos de una poltica de
seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de
la informacin.
La poltica de seguridad de una organizacin es la definicin del marco general en el cual
decide proteger los datos e informaciones que maneja y los servicios que presta.
Contemplar, entre otras cuestiones, los objetivos de seguridad de la informacin de la
organizacin, los requerimientos legales o contractuales relativos a la seguridad de la
informacin o los criterios de evaluacin y aceptacin del riesgo.
Pero garantizar la seguridad de la informacin conforme al marco definido en la poltica
de seguridad requiere un proceso sistemtico, documentado y conocido por toda la
organizacin, que es lo que conocemos como sistema de gestin de la seguridad de la
informacin (en adelante, SGSI).
Cuando una organizacin decide implantar un SGSI debe elegir el camino para hacerlo,
siendo el estndar internacional en este sentido el que definen la norma ISO/IEC 27001 y
el conjunto de buenas prcticas ISO/IEC 27002 (anteriormente ISO/IEC 17799). Este
trabajo describe el camino basado en estos estndares desde la experiencia del Ministerio
de Sanidad y Poltica Social en la implantacin de su SGSI.
2
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
Recomendaciones previas
3
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
Esquema Nacional de Seguridad ha dejado de ser una recomendacin para ser una
obligacin. Asimismo, ser de gran ayuda la experiencia previa en anlisis de riesgos.
Existen muchas metodologas para realizar anlisis de riesgos, pero en el mbito de las
Administraciones Pblicas lo recomendable es utilizar MAGERIT y la herramienta de
gestin asociada: PILAR.
Finalmente, en un mbito ms tcnico, constituye un buen punto de partida toda
experiencia relativa a la realizacin de auditoras tcnicas de seguridad sobre sistemas,
redes y aplicaciones (hacking tico), as como en la ejecucin de proyectos de
implantacin de medidas de seguridad.
4
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
5
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
La ejecucin del SGSI tiene dos vertientes claras: lo que podramos llamar el da a da y
la puesta en marcha de mejoras.
El da a da lo ocupan las tareas de gestin de las operaciones del SGSI y de los recursos
asignados al SGSI para el mantenimiento de la seguridad de la informacin.
Corresponden al funcionamiento controlado de la maquinaria. Incluye la ejecucin de los
procedimientos y medidas previstos para la deteccin y respuesta de los incidentes de
seguridad.
Entre los requerimientos menos aplaudidos a la hora de mantener vivo un SGSI se
encuentra la obligacin de mantener debidamente documentados los mltiples
procedimientos operativos de gestin de la seguridad. Por ejemplo: cmo se gestionan
los incidentes de seguridad, cmo se autorizan y revocan los privilegios de acceso, cmo
se llevan a cabo las actualizaciones de software o cmo se bascula al centro de respaldo.
Dado el esfuerzo requerido, es muy recomendable planificarlo tambin a corto, medio y
largo plazo.
Tambin forman parte del da a da el desarrollo de programas de formacin y
concienciacin continua en relacin con la seguridad de la informacin y dirigidos a todo
el personal.
La otra cara de esta fase es la de la puesta en marcha de mejoras. Una vez que, tras el
anlisis de riesgos, se han identificado los principales riesgos a los que se hallan
expuestos nuestros activos y seleccionado los controles a aplicar, ha de elaborarse un
plan de accin. Este plan incluir todos los proyectos que se consideran adecuados para
implantar las salvaguardas seleccionadas. Es aconsejable distribuir los proyectos en el
tiempo, agrupndolos en corto, medio y largo plazo, segn criterios tales como su
complejidad, urgencia y disponibilidad de recursos.
El plan de accin (o de tratamiento de riesgos) debe priorizar las acciones, incluir las
necesidades de recursos y sus responsabilidades. Y, obviamente, debe contemplar la
implementacin de las mtricas que permitan medir la eficacia de los controles
seleccionados.
6
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
Corresponde a esta fase la puesta en marcha de las mejoras identificadas a partir de las
actividades de verificacin mencionadas anteriormente.
Estas mejoras pueden ser tanto acciones preventivas como correctivas, pero orientadas
siempre hacia la solucin definitiva del problema. En este sentido, juega un papel
importante el anlisis de la causa raz, aquella que constituye la razn de fondo del
incidente que queremos resolver.
Las mejoras introducidas son asimismo medidas de seguridad y debe, por tanto,
verificarse que alcanzan los objetivos previstos. De la misma forma, deben ser
adecuadamente documentadas y comunicadas a las partes interesadas.
De especial relevancia para el xito del ciclo de mejora es la ptima ejecucin de la
revisin por la Direccin (recogida en el apartado 7 de la ISO/IEC 27001). Consiste en
una revisin peridica en la que se presentan a la Direccin una foto suficientemente
completa del SGSI y propuestas de mejora, de forma que la Direccin tome las
decisiones que considere oportunas sobre anlisis de riesgos, cambios en procedimientos
y controles de seguridad, recursos necesarios o indicadores de eficacia. El conjunto de
decisiones adoptadas es la entrada fundamental para la fase de planeamiento que abrir
el ciclo PDCA siguiente.
7
Implantacin de un SGSI
y certificacin ISO 27001
en la Administracin Pblica
Deja libertad para elegir el alcance del SGSI Se refiere a los medios electrnicos utilizados
por los ciudadanos en su relacin con las
Administraciones Pblicas
El anlisis de riesgos siempre es obligatorio El anlisis de riesgos slo es real para sistemas
de categora media y alta (en materia de
seguridad)
Exige la realizacin de auditoras peridicas Exige una auditora bienal de conformidad con
sobre el alcance del SGSI el ENS para los sistemas de categora media y
alta (en materia de seguridad)
Conclusiones