El Ayuntamiento de Alcobendas ha conseguido el certificado AENOR del Esquema Nacional de Seguridad (ENS), que refuerza la seguridad de sus sistemas de información municipales. Este certificado acredita que el Ayuntamiento ha implantado un conjunto de controles adecuados de acuerdo con el análisis de riesgos de sus procesos y servicios y que ha reforzado la seguridad de sus bancos de datos.
Sergio Caballero
Director General de Informática
Ayuntamiento Alcobendas
El Modelo EFQM de Excelencia y Calidad ha sido el patrón de referencia de trabajo para el Ayuntamiento de Alcobendas. Por eso, en su gestión resultan habituales sistemas de indicadores, procesos, certificaciones ISO en distintos servicios, cartas de compromisos, encuestas de satisfacción a los ciudadanos, etc. que están en gran medida integradas en los trabajos de la institución. Pero los cambios en la sociedad, que generan nuevas Leyes y normativas que regulan a la Administración, así como la permanente necesidad de innovar en sus servicios y prestaciones a la ciudadanía, hacen necesario un modelo que permita conjugar factores de la calidad en la gestión con la propia confianza y seguridad de las relaciones de la ciudadanía con la Administración a través de medios digitales. Es por ello que el Ayuntamiento de Alcobendas apostó por obtener el Certificado del Esquema Nacional de Seguridad (ENS) de AENOR para asegurar la confidencialidad, integridad y disponibilidad de los sistemas de información municipal del ayuntamiento, sumando un valor añadido en este sentido.
Cuando se publicó el RD 3/2010 de 8 de enero y su posterior modificación 9/2015 del Esquema Nacional de Seguridad (ENS), se establecieron una serie de condiciones necesarias de confianza para el uso de los medios electrónicos con medidas para garantizar la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, de tal forma que se permita a la ciudadanía y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Su cumplimiento resulta obligatorio para todos los organismos públicos con sede electrónica que utilizan medios electrónicos para prestar sus servicios y donde la balanza entre el soporte electrónico toma mayor relevancia día a día frente a los procedimientos tradicionales en papel. Todo ello, obliga a elevar la seguridad y fiabilidad de los sistemas de información que facilitan la prestación de los servicios públicos.
El Ayuntamiento de Alcobendas siempre ha sido consciente de la importancia de mantener los activos de información protegidos frente a interrupciones del servicio, posibles ataques informáticos, fugas o pérdidas de información entre otros riesgos. Es por ello por lo que desde el año 2010 se comenzó con la paulatina implantación de esos requisitos adicionales que estaban marcados en el RD 3/2010. En el año 2016, como consecuencia de la cumplimentación de la encuesta INES (Informe Nacional del Estado de Seguridad), se observó un nivel de madurez del 34,33 % y un nivel de cumplimiento del 38,12 %. En el año 2017, la encuesta INES nos proporcionó un nivel de madurez del 44,62 % y de cumplimiento del 57,68 %. Este aumento fue consecuencia del plan de adecuación al ENS y el plan de mejora, como preparación para la auditoría de certificación. Este sistema de gestión fue madurando con el tiempo, hasta que finalmente en el año 2018 se solicita la auditoría del Sistema de Gestión de Seguridad de la Información (SGSI) por parte de AENOR, obteniendo así la certificación en el ENS en nivel medio.
El proceso de implantación de acuerdo con los requisitos del ENS que se ha desarrollado en Alcobendas se puede resumir en los siguientes hitos:
- Constitución de un equipo multidisciplinar para el proceso de implantación.
- Aprobación de la Política de Seguridad de la Información, Normativa y Procedimientos del Sistema, y nombramiento del Comité de Seguridad de la Información.
- La Categorización del Sistema, donde se identifican los principales activos de información del Ayuntamiento de Alcobendas. El resultado ha sido una categoría media del Sistema de Información de la Sede Electrónica.
- Análisis de Riesgos, basado en los activos de información identificados, cuyo objeto era determinar el nivel de riesgo de la organización y las prioridades en cuanto al tratamiento de dicho riesgo.
- Informe de Análisis de Riesgos, donde se recogen las principales conclusiones de este, incluyendo los activos identificados, la madurez de las medidas de seguridad y el mapa de riesgos.
- La Declaración de Aplicabilidad, con las medidas de seguridad aplicables, según el ENS para los sistemas de la categoría correspondiente a los sistemas identificados.
- Implantación del Plan de Mejora, desarrollado para ejecutar las acciones necesarias para que los sistemas del Ayuntamiento de Alcobendas estén completamente adecuados al ENS.
- Reuniones de seguimiento del proceso de implantación tanto del equipo de proyecto como del Comité de Seguridad.
- Proceso de certificación con AENOR: fases de solicitud, envío documental, auditoría in situ, elaboración del Plan de acciones correctivas tras auditoría, etc.
Aspectos más importantes del certificado ENS para el Ayuntamiento de Alcobendas
- Supone un paso más en el camino hacia la excelencia y el compromiso con la seguridad en la información hacia sus ciudadanos.
- Ha supuesto un reto y un esfuerzo conseguirlo, siendo conscientes de que este logro es sólo el inicio del camino que se debe seguir haciendo.
- Es un tipo de proyecto en el que se debe contar con un impulso consciente y real de los líderes y con el trabajo interdisciplinar del equipo de proyecto para que culmine con éxito.
Ciclo de vida del proceso de certificación
Implicación a todos los niveles
Toda certificación conlleva una preparación que exige solventar dificultades, minimizar incertidumbres a través de nuevos conocimientos y preparar aquello que no se ha tenido tiempo de materializar. Simplemente esta preparación ya permite una mejora sustancial, además de visualizar la importancia de la seguridad en un mundo cada vez más complejo y digital. Superarlo es la recompensa a un equipo de trabajo que ha perseverado en su consecución y mejorado sus capacidades y, por ende, la de los servicios que prestan. El proceso de certificación junto al equipo auditor sirvió para comparar nuestros conocimientos y darnos cuenta de que podemos aprender de otros. Determinadas decisiones pueden suponer una ralentización o dificultar el proceso si no hay una verdadera implicación, por lo que se debe tener presente en un proyecto de este tipo. En nuestro caso la implicación fue máxima.
Este tipo de proyectos exigen cambios en la operativa de los empleados, en la propia organización y a todos los niveles, por lo que resulta vital realizar una buena gestión del cambio y concienciación sobre su necesidad, de forma previa, continua y firme. En nuestro caso estas acciones han facilitado el despliegue de las medidas técnicas. Su adecuación e implantación no deben paralizar a la organización, los servicios o nuevos proyectos, pues de otro modo no resultarían eficaces. Si en algún aspecto existían dificultades con el cumplimiento del ENS, se buscaron medidas compensatorias y puntos de encuentro que, sin comprometer la seguridad y con un nivel de riesgo aceptable, permitieron continuar hacia la administración digital con la mayor seguridad.
- Durante este proceso de implantación del SGSI y adaptación al ENS se han puesto de manifiesto algunos aspectos que han sido determinantes para poder lograr la adaptación:
- Importancia del trabajo en equipo, resaltando que donde unas áreas o personas no llegan otras puede aportar y crear sinergias fundamentales para el desarrollo del proyecto.
- Se han identificado aspectos comunes en otros proyectos, como RGPD, gestión de riegos corporativa o planes directores. La reutilización del conocimiento es clave, como también lo es la planificación y estrategia, actuando como habilitadores para conseguir los objetivos. Calendarizar las actuaciones permiten reservar recursos económicos, de tiempo, disponibilidad, personas y no perder el foco, aunque se produzcan desviaciones en la planificación.
- La importancia de contar con ayudas externas, tanto la labor de una buena consultoría especializada que pueda orientar en fases determinadas y concretas del proyecto, como las propias guías, manuales y otros documentos del CCN (Centro Criptológico Nacional), INCIBE, FEMP y otros organismos e instituciones.
- Actuaciones que ya se venían desarrollando; ya se estaba dando cumplimiento a algunos de los requisitos marcados en el ENS, por lo que solamente ha sido necesario sistematizarlas, crear procedimientos formales o instrucciones para asegurar su continuidad y aplicación sistemáticas.
- Superar la incertidumbre ha reforzado a los equipos y les motiva a emprender nuevos retos.
Todo ello ha hecho posible obtener una mejora sustancial en la implementación de las medidas de seguridad refrendada por la certificación; pero el Ayuntamiento es consciente de que hay que continuar con la mejora continua de la seguridad, pues las medidas de hoy no garantizan el estado de seguridad del mañana. Cada novedad tecnológica u operativa conlleva sus riesgos, y es nuestra labor evaluarlos continuamente y adoptar medidas para reducirlos o eliminarlos. Con esta filosofía de mejora continua, se sigue trabajando en:
- Planes de formación y concienciación del SGSI/ENS para todo el personal del Ayuntamiento de Alcobendas.
- Coordinación de auditorías internas del SGSI/ENS para comprobar la correcta y adecuada implantación del SGSI/ENS.
- Evaluación actualizada de riesgos y el RGPD.
- Gestión de incidencias (no conformidades), observaciones y oportunidades de mejora derivadas de los resultados de las auditorías para determinar y aplicar las acciones necesarias, y corregir las desviaciones detectadas y lograr/mantener la mejora continua.
- Implantación progresiva y alineamiento con las herramientas y servicios que proporciona el CCN-CERT.
Principios que fundamentan el Esquema Nacional de Seguridad