Seguridad en la información de la Diputación

13 Apr 2022

La Diputación de Palencia aprueba su Política de Seguridad para avanzar en la certificación del Esquema Nacional de Seguridad (ENS)

Se trata de un documento muy importante, porque sirve de marco general normativo con las líneas maestras de la seguridad de la Diputación del que emanarán después el resto de medidas organizativas, operacionales y técnicas, así como la composición interna para la organización, con los roles de seguridad y sus funciones.

Imagen destacado
Tecnología de la informacion

La Diputación de Palencia aprobaba recientemente en el Pleno el documento que marca las directrices de su política de Seguridad de la Información, con el objetivo de avanzar en la certificación en nivel medio en el Esquema Nacional de Seguridad (ENS) regulado por ley en el ámbito de la Administración Electrónica del sector público.

El Esquema Nacional de Seguridad (ENS) está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información y es de obligado cumplimiento para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen las administraciones públicas para en el ejercicio de sus competencias.

DESDE 2014. La Diputación de Palencia ya aprobó en 2014 la Política de Seguridad de la Información, desde entonces se han realizado las reuniones necesarias del Comité de Seguridad y se han aplicado las medidas técnicas de seguridad necesarias para asegurar la información digital provincial.  

Ahora hay que dar un paso más para llegar a completar el proceso de certificación. En julio del 2021 la Diputación encargó una auditoría para analizar el grado de implantación de las medidas de seguridad y realizar un plan de adecuación y mejora con todas las acciones correctivas para lograr la certificación ENS.

RESULTADO. La auditoría determina que, para el cumplir del ENS de nivel MEDIO, que es el exigido a esta Diputación: un nivel de madurez “L3-Proceso definido” es obligatorio cumplir las más de 70 medidas de seguridad categorizadas tanto a nivel normativo como organizativo, operacional y de protección/técnicas.

La Diputación palentina posee un nivel muy alto en aplicación de medidas técnicas de seguridad, nivel de madurez “L2- Reproducible pero intuitivo”, si bien precisa actualizar e incidir en la parte de documentación procedimental.

Entre las medidas técnicas aplicadas destacan la implantación y mantenimiento de un gran sistema de seguridad perimetral para detección y bloqueo de intrusos al sistema, sistemas de alerta temprana, correos electrónicos seguros para la Diputación y Ayuntamientos, así como nuevos sistemas de protección o renovación del corazón del Centro de Proceso de Datos (CPD).

En cuanto a la documentación procedimental, con la adecuación de la Política de seguridad, cuya actualización ya se ha aprobado el pleno, se inicia el camino para avanzar en aspectos de importancia, como:

  • la definición de los nuevos objetivos o misión de la organización, el marco legal y regulatorio en el que se desarrollarán las actividades, los roles o funciones de seguridad (con los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación) o la estructura del comité o los comités para la gestión y coordinación de la seguridad, con detalle de su ámbito de responsabilidad, miembros y su relación con otros elementos de la organización. También se marcan las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
  • Entre los compromisos que asume la Diputación en este documento destacan: La misión y marco legal que rige la Diputación, una seguridad integral: de recursos técnicos, humanos, materiales y organizativos, la realización de riesgos y análisis de gestión de esos riegos.

Compromiso de realizarlo una vez al año o cuando se detecten vulnerabilidades graves; reevaluación periódica de la integridad y actualización del sistema: actualización de vulnerabilidades de acuerdo a los fabricantes; gestión del personal y profesionalidad. Compromiso de realizar una sesión de concienciación anual en materia de seguridad a todos los empleados; prevención, reacción y recuperación ante incidentes.

Compromiso de implementar una solución de detección y reacción frente a código dañino, así como su mantenimiento; autorización y control de acceso a los sistemas de información; protección de las instalaciones mediante mecanismos de acceso físico; productos de seguridad y servicios que estén certificados; proteger tanto la información almacenada como en tránsito (portátiles, tablets, etc.), mantener registros de actividad de para monitorizar y analizar actividades indebidas o no autorizadas, etc.

ESTRUCTURA ORGANIZATIVA DE SEGURIDAD. Para llevar a cabo estas funciones generales y específicas, es necesario dotar a la Diputación de una estructura organizativa con responsabilidades y funciones que lidere, organice, adapte y haga cumplir todos los compromisos y medidas de seguridad preceptivas. El documento de la política de seguridad recoge quién forma esta estructura y que funciones asume cada rol.

  • ROLES O PERFILES DE SEGURIDAD: Delegado de protección de datos (DPD); Responsable de seguridad ENS; Responsable de sistema ENS; Responsable de servicios, responsables de la información.
  • COMITÉ DE SEGURIDAD DE LA INFORMACIÓN: Presidente; Vocales Y Secretario. ////////

Bloque Redes sociales