Casos Prácticos / Servicios

Doble certificación para la seguridad de la información en Red.es

Red.es se ha convertido en uno de los primeros organismos públicos que ha realizado una auditoría integrada del Esquema Nacional de Seguridad (ENS) con el Sistema de Gestión de Seguridad de la Información descrito en la Norma UNE-EN ISO/IEC 27001, consiguiendo la certificación de AENOR. Para ello, ha implantado más de 100 controles de seguridad y ha elaborado más de 50 documentos como guías, procedimientos, manuales e instrucciones técnicas.

  • Facebook
  • Twitter
  • Google+
  • Pinterest
  • LinkedIn
Miguel Ángel Fernández Barrera
Responsable Área de Mejora de Procesos y Calidad
Entidad Pública Empresarial Red.es

Red.es es una entidad pública empresarial del Ministerio de Economía y Empresa que depende de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD). Se encarga de desarrollar programas de impulso de la economía digital, innovación, emprendimiento, formación para jóvenes y profesionales, y apoyo a la pyme mediante el fomento de un uso eficiente e intensivo de las Tecnologías de la Información y la Comunicación (TIC). Asimismo, despliega programas de implantación tecnológica en los servicios públicos de la Administración –especialmente en Sanidad, Justicia y Educación–, y trabaja para el desarrollo de las Ciudades e Islas Inteligentes.

Muchos de los proyectos que se ejecutan desde Red.es se realizan gracias a la financiación de la Unión Europea, a través del Fondo Europeo de Desarrollo Regional (FEDER) y del Fondo Social Europeo (FSE). En Red.es también se gestionan los dominios .es, la RedIRIS que es la red  española para Interconexión de los Recursos Informáticos de las universidades y centros de investigación, y el Observatorio Nacional de las Telecomunicaciones y para la Sociedad de la información (ONTSI). Trabajamos, además, por la seguridad en Internet de la mano de INCIBE.

En Red.es somos conscientes de la importancia de mantener nuestros activos de información protegidos frente a posibles ataques informáticos o pérdidas de información. Es por ello que desde el año 2010 se comenzó con el diseño, desarrollo e implantación de un Sistema de Gestión de Seguridad de la Información de acuerdo con la Norma UNE-EN ISO/IEC 27001. Este sistema de gestión fue madurando con el tiempo, hasta que en el año 2014 se auditó por AENOR, obteniendo así la certificación correspondiente.

 

De forma paralela, en 2010, se publicó el RD 3/2010 de 8 de enero, del Esquema Nacional de Seguridad (ENS), que es obligatorio para todos los organismos públicos con sede electrónica que utilizan medios electrónicos para prestar sus servicios. El ENS, a través del Centro Criptológico Nacional (CCN) establece, entre otros, los siguientes requisitos: preparar y aprobar una política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades; categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados; realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes; preparar y aprobar la declaración de aplicabilidad con los controles que hay que implantar; elaborar un plan de adecuación para la mejora de la seguridad; implantar, operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente; auditar la seguridad; e informar sobre el estado de la seguridad.

Alfonso Esteban Stb Estudio

En la entidad, gracias a la implantación previa de la Norma UNE-EN ISO/IEC 27001, ya se tenía mucho trabajo adelantado para poder cumplir con los requisitos del ENS. No obstante, ese mismo año realizamos una planificación por fases con los diferentes requisitos y medidas de seguridad que hay que implantar, específicas del ENS, estableciendo prioridades de acuerdo a la criticidad de cada control. Como es bien conocido, el ENS tiene una alta correspondencia con la Norma UNE-EN

ISO/IEC 27001, por lo que se decidió integrarlos en Red.es. Para lograrlo, desde el Área de Mejora de Procesos y Calidad se llevaron a cabo los siguientes pasos:

  1. Comparativa de los requisitos y controles de seguridad de la Norma UNE-EN ISO/IEC 27001 que regula el Sistema de Gestión de Seguridad de la Información (SGSI) con los artículos y medidas de seguridad del Real Decreto 3/2010 y su modificación 951/2015 que regula el ENS, utilizando de apoyo las guías publicadas por el Centro Criptológico Nacional (CCN).
  2. Determinación de los aspectos en común y diferencias de la Norma UNE-EN ISO/IEC 27001 y Real Decreto 3/2010 de ENS.
  3. Integración del alcance del SGSI con el ENS, con el objeto de incluir los servicios de la Sede Electrónica u otros servicios que utilizan medios electrónicos por exigencia del Real Decreto del ENS.
  4. Realización del análisis y gestión de riesgos con los requisitos integrados de la Norma y Real Decreto antes indicados, que abarca el alcance integrado SGSI/ENS, con apoyo de las áreas afectadas de Red.es por dicho alcance.
  5. Coordinación de reuniones/comunicaciones con las áreas afectadas de Red.es por el alcance integrado SGSI/ENS para revisar la aplicabilidad de los controles y medidas de seguridad del SGSI/ENS, según la categoría del sistema determinada en el proceso de análisis y gestión de riesgos realizado en el paso anterior y planificar su implantación.
  6. Elaboración/adaptación de la documentación de la implantación de controles y medidas de seguridad del SGSI para integrarlos con el ENS, del que se generó un total de 45 documentos.
  7. Coordinación de reuniones del Comité de Calidad y Seguridad de la Información para revisar y aprobar la documentación generada del SGSI/ENS y posterior publicación en la Intranet Corporativa y comunicación al personal de plantilla y a externos de Red.es, para su implantación definitiva.
  8. Determinación y medición semestral y anual de unos 70 indicadores aproximadamente para evaluar la eficacia de la implantación de los controles y medidas de seguridad del SGSI/ENS, y aplicar acciones correctivas en caso de desviaciones de los valores de referencia aceptables (incluyendo los indicadores que se remiten anualmente a CCN como organismo que da seguimiento a la implantación del ENS en la Administración Pública y en otras entidades afectadas por el ENS).
  9. Coordinación anual de convocatorias de formación y concienciación del SGSI/ENS para todo el personal de Red.es.
  10. Coordinación anual de auditorías internas del SGSI/ENS para comprobar la correcta y adecuada implantación del SGSI/ENS en Red.es con la Norma UNE-EN ISO/IEC 27001 y el Real Decreto antes indicados.
  11. Gestión de no conformidades, observaciones y oportunidades de mejora derivadas de los resultados de las auditorías internas del SGSI/ENS, con el objeto de determinar y aplicar las acciones necesarias para corregir las desviaciones detectadas y lograr/mantener la mejora continua.

La auditoría integrada realizada por AENOR fue compleja, ya que la categoría de nuestro ENS es de nivel medio. No obstante, se desarrolló de forma óptima

Implicación de todas las áreas

Hay que destacar que para poder realizar esta implantación, se contó con la colaboración de todas las áreas de la organización. En este sentido, un punto muy importante es la sensibilización y formación del personal al respecto y, para ello, se utilizó una plataforma e-learning con distintos contenidos y módulos para que toda la plantilla pudiera formarse y concienciarse de forma adecuada. No obstante, hay que destacar un apoyo muy especial por parte de la Dirección de Sistemas de Información que gestiona la mayoría de los controles y medidas de seguridad a nivel técnico, como por ejemplo antivirus corporativo, sistema de cifrado, herramientas para la gestión de incidentes de seguridad, o gestión de servidores y aplicaciones, entre otros.

En la entidad se utiliza la metodología Magerit, que es una metodología de análisis y gestión de riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Pública, junto con la herramienta Pilar que proporciona el CCN. También se aplican otras como INES, que es una herramienta utilizada para reportar anualmente a CCN-CERT el estado de implantación y mantenimiento del ENS; y CLARA, que se utiliza para realizar una revisión/auditoría a los equipos (portátiles y PC) con el objeto de determinar el nivel de cumplimiento de las medidas de seguridad técnicas del ENS aplicables en éstos, según la categoría del sistema.

Auditoría conjunta

Auditoría conjunta

Finalmente, en noviembre de 2017, el Área de Mejora de Procesos y Calidad de Red.es coordinó por primera vez con AENOR una auditoría integrada del SGSI/ENS para comprobar el cumplimiento con la Norma UNE-ISO/IEC 27001 con el Real Decreto 3/2010, y su posterior modificación por el Real Decreto 951/2015, de 23 de octubre, respectivamente. La auditoría fue compleja, ya que la categoría de nuestro ENS es de nivel medio (hay tres niveles, bajo, medio y alto), no obstante la auditoría se desarrolló de forma óptima. AENOR, como entidad acreditada por ENAC, realiza el proceso de auditoría de conformidad alineada con los requisitos de la ISO 17065, así como de las Guías CCN-STIC 802, 804 y 808. En los casos de auditorías integradas con UNE-ISO/IEC 27001, se considera también la guía CCN-STIC 825.

 

La auditoría del ENS consta de dos fases. En la primera se revisa la documentación básica que da soporte al ENS; y en la segunda se realiza la revisión completa de los artículos del RD 3/2010 y del conjunto de medidas implantadas, conforme a la categorización del sistema. Los resultados de dicha auditoría fueron favorables, por lo que Red.es ha logrado la renovación del certificado de la Norma UNE-ISO/IEC 27001 por un ciclo de tres años más y, por primera vez, el Certificado de Conformidad con el ENS por un ciclo de dos años. Red.es se convierte así en uno de los primeros organismos públicos, en realizar una auditoría del ENS integrada con el SGSI y en certificarse con el ENS de forma independiente.

Para Red.es contar con esta certificación es muy importante. Como entidad pública, cuyo principal objetivo es trabajar para la sociedad y los ciudadanos, es muy importante que los servicios que prestamos y los proyectos que ejecutamos, cuenten con las mayores garantías posibles de seguridad en todos sus ámbitos. Además, esta certificación asegura que nuestros grupos de interés pueden confiar en la entidad y tener la seguridad de que sus datos e información están bajo unos parámetros de seguridad reconocidos y certificados por una entidad independiente y con prestigio, como es AENOR.

Números anteriores

Consulte números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utilice los cursores o desplace las revistas para acceder a los contenidos.
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.