La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos en su artículo 42.1 define el Esquema Nacional de Interoperabilidad (en adelante, ENI), que queda regulado mediante el Real Decreto 4/2010, de 8 de enero y en su artículo 42.2 define el Esquema Nacional de Seguridad (en adelante, ENS), que queda regulado mediante el Real Decreto 3/2010, de 8 de enero.
Este mes de enero de 2015 como mínimo hace un año que el conjunto de las Administraciones Públicas deberían estar totalmente adecuadas a los Esquemas. Pero la realidad es que un conjunto importante de ellas están en el proceso de su plena implementación, es por ello, que a continuación recomendamos un conjunto de factores clave para la Implantación de los Esquemas.
Para una correcta implementación de los Esquemas de Seguridad e Interoperabilidad en una Entidad se deberían abordar este tipo de proyectos aprovechando el objetivo y necesidad del cumplimiento normativo, para conseguir un objetivo superior que es la oportunidad de mejora para la entidad tanto en sus procesos operativos como especialmente en sus niveles de seguridad. Partiendo de las infraestructuras, procesos, clientes y la creación de valor, hay que buscar la excelencia operativa, una buena gestión del riesgo, el cumplimiento normativo y la generación de confianza para obtener una Administración Pública moderna, es decir: simple, ágil, próxima y transparente.
En nuestra firma, hemos realizado este tipo de proyectos en entidades de diferentes ámbitos como grandes ciudades, ciudades medianas, ciudades pequeñas, Diputaciones, Universidades o en grandes corporaciones que proveen servicios al conjunto de la Administración Pública, entre otras, y que han podido mejorar su seguridad e interoperabilidad. Dependiendo del tamaño y del tipo de Entidad, el conjunto de controles a aplicar y su alcance ha sido diferente, no obstante para lograr una adecuada implementación de los Esquemas de Seguridad e Interoperabilidad, nuestra experiencia nos ha demostrado que en todas las situaciones hay que tener en consideración varios aspectos fundamentales:
- El primero de ellos es entender la seguridad e interoperabilidad como un aspecto que afecta globalmente a la entidad, y que se basa en unos principios y requerimientos que tienen que estar enmarcada en una política de seguridad e interoperabilidad, con el soporte y aprobación del órgano de mayor nivel. Una parte importante de los aspectos a implementar son de índole técnica, pero en muchos de ellos, sin realizar cambios sustanciales en los procesos organizativos no se alcanzan las verdaderas ventajas de implementar los Esquemas de Seguridad e Interoperabilidad.
- Teniendo como base una buena política, con sus normas y procedimientos, hay que realizar un análisis de riesgos que indique de forma clara cuales son los riesgos de cada uno de los sistemas de información, para poder establecer un plan de acción priorizado con el objetivo de mitigar los riesgos según las directrices establecidas. Es importante que el análisis de riesgos contemple los diferentes activos y amenazas de aplicación, que sirva como herramienta para fundamentar las medidas a adoptar y que sea sencillo de elaborar, comprender y mantener, en caso contrario puede no ser un instrumento adecuado para la gestión de riesgos.
- De acuerdo a una correcta categorización de los sistemas de información, basada en sus cinco dimensiones (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad) y sus tres niveles (alto, medio y bajo), es imprescindible realizar la declaración de aplicabilidad de los controles para poder identificar cuáles tenemos que adecuar o implementar.
- Uno de los aspectos a tomar en consideración es la creciente externalización de los servicios que se está realizando: centro de procesamiento de datos, desarrollo de aplicaciones, servicios de seguridad, servicio de atención al usuario, servicios Cloud, etc. Es por ello que se debe trasladar a los proveedores que prestan los servicios, los requerimientos de cumplimiento de las exigencias de los Esquemas, una matriz RACI (matriz de responsabilidades) y establecer los mecanismos oportunos para asegurarnos de su cumplimiento.
- Los mecanismos para implantar una continuidad del servicio acostumbran a tener un coste elevado, por este motivo, es fundamental realizar un análisis de impacto que ayude a establecer los servicios esenciales, para focalizarnos en ellos y buscar alternativas para la continuidad que sean económicamente viables.
- Un aspecto a tener en cuenta es la metodología de gestión de proyectos para una gestión y priorización eficiente de la demanda, una planificación adecuada de los recursos, un control de tiempos y costes, para evitar la pérdida de conocimiento o para conseguir la satisfacción de las áreas usuarias.
- En cuanto a la gestión del personal, destacar que es fundamental disponer de personal cualificado y que sus capacidades mejoren con un sistema de formación continua. Además, un buen conocimiento de las políticas, normas y procedimientos, y la concienciación en sus funciones y obligaciones es parte fundamental para la correcta implementación de los Esquemas de Seguridad e Interoperabilidad.
- La protección y reutilización de la información es un punto clave de los Esquemas. Hay que identificar quiénes son sus propietarios, clasificar la información, normalizarla y aplicar las medidas de seguridad en función de su clasificación. Parte de la problemática actual es que la información está distribuida en diferentes sistemas, tanto internos como externos, y su acceso se produce desde múltiples dispositivos algunos sobre los que tenemos el control y otros no. La protección de la información se tiene que aplicar en el origen (sistemas, base de datos, etc.), en las comunicaciones y en la medida de lo posible, en el destino (en los diferentes dispositivos). Disponer de un repositorio centralizado de la información en el que la información no se transfiera a otros sistemas, sino que únicamente se trabaje sobre éste, facilita el control y la aplicación de medidas de seguridad.
Finalmente destacar que gran parte del éxito para una adecuada implementación de los Esquemas de Seguridad e Interoperabilidad es un adecuado entorno de gestión del proyecto, que en el caso de nuestra firma se materializa en la utilización de metodologías propias para la gestión de los riesgos de las tecnologías de la información y del cumplimiento regulatorio, la utilización de una Oficina Técnica fundamentada en un Sistema de Gestión de la Seguridad e Interoperabilidad siguiendo el ciclo de Deming o PDCA (Plan-Do-Check-Act), el establecimiento de un Marco Único de Control (ENS, ENI, LOPD…) de las distintas normativas que le afectan a la entidad, la experiencia de nuestros profesionales en la realización de estos trabajos que permite la focalización a los principales temas y la aportación de valor en los resultados con una máxima eficiencia y una mínima interferencia en las labores de la Entidad y la utilización de nuestra herramienta de Gestión Integral del Cumplimento Normativo (eNorma) para el seguimiento y control de múltiples normativas y estándares, permitiendo la gestión automatizada de los controles, riesgos, auditorías y planes de acción asociados.
Valentín Faura
