ISO 27002/ 2007 en el CSIC: certificación de la calidad ... · Descripción y alcance del Proyecto...
Transcript of ISO 27002/ 2007 en el CSIC: certificación de la calidad ... · Descripción y alcance del Proyecto...
ISO 27002/ 2007 en el CSIC: certificación de
la calidad en los servicios electrónicos
Proyecto Curso de Consultoría del Sector Público
Elena Casarrubios Blanco
1
Contenido
1. Introducción ......................................................................................................................................... 2
2. El CSIC y la implantación de la Administración Electrónica ...................................................... 4
3. Descripción y alcance del Proyecto .............................................................................................. 5
4. Plan de Acción del Proyecto ......................................................................................................... 10
5. Costes del proyecto ......................................................................................................................... 11
6. Riesgos y vulnerabilidades de la Seguridad de la Información en el CSIC .......................... 12
8. RRHH asignados ................................................................................................................................ 14
9. Comunicación de los resultados ................................................................................................... 14
10. Documentación de los trabajos entregables ........................................................................... 15
11. Adquisiciones ................................................................................................................................... 16
11. Bibliografía ........................................................................................................................................ 16
12. Legislación ........................................................................................................................................ 17
2
1. Introducción
Hasta el momento, la estrategia de implantación de la calidad que han seguido
las Administraciones Públicas ha tenido como referencia principalmente la certificación
de la prestación de servicios de atención al ciudadano y la protección legal de sus datos.
Sin embargo, la evolución de la Administración Electrónica está haciendo que las normas
técnicas se encuentren también al amparo de las fórmulas de certificación de calidad, ya
que las normas administrativas han de contemplar tanto la garantía de calidad tanto
desde la óptica del procedimiento administrativo, como desde la del punto de vista del
medio tecnológico sobre el que se realiza.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios Públicos (Ley de Administración Electrónica) puso fecha a la convergencia de
medios tradicionales y medios electrónicos en el tratamiento del acto administrativo.
En materia tecnológica, el vacío existente entre la emisión de esta Ley y la
actualidad se ha ido llenando con la práctica de dos tipos de normas. Por un lado se
distinguen las que se enmarcan en el contexto del plan Moderniza y el Plan de Medidas
de promoción de la transparencia y la participación en la Administración General del
Estado (Programa del Observatorio de la Calidad de los Servicios Públicos y Agencia
Estatal de Evaluación de las Políticas Públicas y de la Calidad de los Servicios), y por otro
las normas técnicas emitidas por las entidades de certificación (ITIL, COBIT, ISO 20000, ISO
27000…).
La consideración del factor tecnológico en las primeras alcanza en mayor
medida el aspecto de control y auditoría. Se distinguen el cuestionario de la „Guía de
Autoevaluación de la Administración Pública‟, que intenta responder a la adaptación del
modelo EFQM para su utilización por todas las unidades administrativas, y las „Cartas de
Servicios Electrónicos‟.
Estos últimos son documentos que pretenden informar a los ciudadanos acerca
de los servicios de carácter electrónico que se encuentran a su disposición. Contienen los
compromisos de calidad asumidos por los departamentos y los organismos públicos (Real
Decreto 951/2005, de 29 de julio, capítulo 3, art. 13, por el que se establece el marco
general para la mejora de la calidad en la Administración General del Estado), que
ofertan los servicios electrónicos.
El problema que plantean estas Cartas de Servicios Electrónicos es que son un
breve catálogo de los servicios informáticos que se prestan. Teniendo en cuenta que la
extensión de estos documentos (contienen el enunciado de los servicios, las
especificaciones de uso, y los compromisos de calidad que el organismo público
3
adquiere) es de no más de dos páginas, es difícil que un ciudadano que las lea interprete
que existe una voluntad por proteger las comunicaciones con esta unidad organizativa a
partir de medios como la firma electrónica, o que esta unidad dispone de un sistema de
salvaguardas para unidades de almacenamiento, de forma que la información
confidencial alojada en ellos no termine circulando por Internet como ha sucedido en
algún país.
La casuística de estos servicios electrónicos es diversa. En el documento „Guía
para el desarrollo de Cartas de Servicios1 se especifican las normas que deben tenerse en
consideración para definir una Carta de Servicios Electrónicos. En los apartados
correspondientes (relación de servicios prestados, compromisos concretos en la
prestación, indicadores para el seguimiento, medidas de subsanación…) se debería
incluir la vinculación con la familia de las normas técnicas ITIL/ COBIT/ ISO que amparan la
tecnología, los sistemas de información, la seguridad informática y los servicios de
atención a usuarios.
La Ley de Contratos de la Administración del Estado (Disposición adicional
decimonovena. Uso de medios electrónicos, informáticos y telemáticos en los
procedimientos regulados en la Ley) dice que “…Los sistemas de comunicaciones y para
el intercambio y almacenamiento de información deberán poder garantizar de forma
razonable, según el estado de la técnica, la integridad de los datos transmitidos y que sólo
los órganos competentes, en la fecha señalada para ello, puedan tener acceso a los
mismos, o que en caso de quebrantamiento de esta prohibición de acceso, la violación
pueda detectarse con claridad. Estos sistemas deberán asimismo ofrecer suficiente
seguridad, de acuerdo con el estado de la técnica, frente a los virus informáticos y otro
tipo de programas o códigos nocivos, pudiendo establecerse reglamentariamente otras
medidas que, respetando los principios de confidencialidad e integridad de las ofertas e
igualdad entre los licitadores, se dirijan a minimizar su incidencia en los procedimientos”.
Respecto a las normas técnicas emitidas por las entidades de certificación (ITIL,
COBIT, ISO 20000, ISO 27000…), ofrecen diferentes marcos de gestión de la información en
infraestructuras, seguridad, procesos y procedimientos… Su consideración es importante
ya que a través de estos certificados se pueden vincular los servicios ofrecidos por
empresas privadas en servicios especializados como el alojamiento de la información (que
efectivamente tiene que garantizar un servicio durante 24 horas 7 días a la semana y
1 Guía para el desarrollo de Cartas de Servicios. Ministerio de Administraciones Públicas. Madrid, 2006.
4
tender a minimizar las incidencias producidas), la protección física de los datos y el control
del nivel de acceso por personal previamente autorizado, la aplicación de las medidas de
salvaguarda de los recursos de los proyectos, el establecimiento de políticas de backup
de la información, o la elaboración de un plan de contingencia para prever la
disponibilidad de los servicios en caso de fallos de disponibilidad.
El capítulo V, artículo 20 del Real Decreto 951/2005, que regula el “Programa de
Evaluación de la Calidad de las Organizaciones” especifica que “…El Ministerio de
Administraciones Públicas determinará los modelos de gestión de calidad reconocidos
conforme a los que se realizará la evaluación de los órganos u organismos de la
Administración General del Estado, sin perjuicio de otros modelos que ya se vengan
aplicando o puedan aplicarse en distintos departamentos ministeriales. La evaluación se
articulará en dos niveles: autoevaluación y evaluación externa”.
En éstas se encuentran organismos como la Agencia Estatal del CSIC, que incluye
entre las normas que amparan los servicios electrónicos que ofrece la adecuación a la
ISO 27000 en seguridad de la información, a COBIT en cuanto a infraestructuras, e ITIL y
COBIT en cuanto a servicios.
El objetivo de este proyecto de consultoría es fijar las bases para asociar los
estándares técnicos de calidad de estas certificaciones al conjunto de normas
procedimentales con las que trabaja la Administración General en este momento,
principalmente la „Carta de Servicios Electrónicos‟.
2. El CSIC y la implantación de la Administración Electrónica
El CSIC es el mayor Organismo Público de investigación en España. Está constituido
por una sede central (donde se definen y coordinan las líneas estratégicas y la gestión
económica y administrativa) y por 126 centros de investigación. Su presupuesto supera los
quinientos millones de euros anuales y su plantilla supera las 12000 personas, entre personal
administrativo, científico e investigador.
En 2007 (RD 1730/2007, de 21 de diciembre) ha pasado a ser Agencia Pública, y se
dedica principalmente a difundir las publicaciones y a las patentes de los resultados de
sus investigaciones, es decir, a la transferencia del conocimiento que realizan sus
organismos. Es el organismo responsable del 50% de las publicaciones científicas
internacionales españolas, del 50% de las del sector público español, de la aportación del
30% de las patentes europeas de este sector.
La Agencia Estatal del CSIC ha acometido a partir de 2005 una importante tarea
transformarse y modernizarse de poner en orden sus infraestructura tecnológica y de
seguridad de la información con el objetivo de implantar con las máximas garantías la
5
Administración Electrónica. Uno de los instrumentos para acometer este proceso es el Plan
de Sistemas, en un plazo de tres años (junio 2005 a mayo 2008).
Por otro lado se ha planteado un Plan Director de Seguridad de la Información,
que ha sido presentado en la primera mitad del 2010.
Estos dos documentos son los ejes principales para la obtención de dos
certificaciones que, de incluirse en la Carta de Servicios Electrónicos del CSIC pueden
sentar un precedente importante en cuanto a la forma de gestionar el factor tecnológico
en cualquier organismo público.
El entorno tecnológico con el que trabaja la Agencia del CSIC –el back- end del
cliente- se caracteriza por su elevado grado de complejidad, y por una decidida apuesta
por el Software de Fuentes Abiertas. En cuanto a la primera característica, la complejidad
incluye la dispersión geográfica de los centros de investigación, la variedad de
herramientas que cada uno de estos centros ha venido utilizando, y la existencia de
diferentes formas de soporte a los usuarios.
Para paliar estos problemas se ha hecho hincapié en la mejora de infraestructura
de Comunicaciones (que se encuentra avalada por el Plan Director de Seguridad de la
Información), la certificación del Framework de desarrollo del CSIC, la creación de la
Oficina Técnica de Proyectos y Consultoría del Plan, y la reestructuración del Centro
Técnico de Informática.
3. Descripción y alcance del Proyecto
El objetivo del proyecto es certificar el conjunto de medios tecnológicos con los
que el CSIC presta sus servicios electrónicos, para su posterior consideración en la Carta
de Servicios Electrónicos a efectos de garantía de calidad.
Estos servicios electrónicos son:
Tipo de registro Nombre procedimiento Dedicado a….
Registro
Electrónico:
Procedimiento
Genérico
Registro Genérico dirigido a la
Agencia Estatal del CSIC (con
DNIe/certificado)
Registro de propósito general dirigido
al Consejo Superior de
Investigaciones Científicas.
Registro Electrónico Común del
060 (con DNIe/certificado)
Registro
Electrónico:
Procedimientos
E·specíficos
Reclamaciones previas (con
DNIe/certificado)
Reclamaciones previas que el
ciudadano puede interponer a través
del Registro Electrónico del Consejo
Superior de Investigaciones
Científicas.
Recursos Administrativos (con
DNIe/certificado)
Recursos administrativos que el
ciudadano puede interponer a través
del Registro Electrónico del Consejo
Superior de Investigaciones
6
Científicas.
Finalización de la prolongación
de la permanencia en el servicio
activo (con DNIe/certificado)
Presentación de solicitudes para la
finalización de la prolongación de la
permanencia en el servicio activo.
La recopilación de la información relativa al análisis de la situación de las TIC en el
CSIC se ha venido realizando desde que el Plan de Sistemas fuera aprobado en 2006. Esta
información se encuentra recogida y actualizada en los siguientes documentos:
•Red de accesos acentros
•Mejora de infraestructura de comunicaciones
•Red Wi-fi
•Gestor de servicios DNS, DHCP y NTP
•Infraetructura ToIP
•Equipamiento
•Licencias corporativas SW
•Correo Electrónico
Infraestructuras TIC (Plan Director de Seguridad de la
Informacion Plan de Sistemas)
•Sistemas de Gestión Económica
•Sistemas de Inventario
•Sistemas de Recursos Humanos:
•Bolsa trabajo
•Sistema de formalización de contratos de obra y servicio
•Cuota patronal
•Gestión de vacaciones
•Sistema integrado de gestión de la productividad
•Sistema definición de puestos de trabajo
Sistemas de Infomación (Framework de Desarrollo del
CSIC)
•Plan de Sistemas de Actividad Científica
•Convocatorias vigentes…
•Ayudas de Movilidad
•Formación Personal Investigador: becas
•Imputación de horas
Sistemas de actividad científica (Plan Director de Seguridad de la Informacion Plan de Sistemas)
•Web del CSIC
•Intranet del CSIC
•Cálculo científico
•Acceso a clusters TRUENO, HADES, IMAFF y CFMAC.
Otras aplicaciones (Framework de Desarrollo del CSIC)
•Secretaría General Adjunta de Informática
Servicios de Atención a usuarios (Otros estándares previos a la
certificación: ITIL, ISO 20000...)
7
De todos ellos, el más importante es el Plan Director de Seguridad de la
Información.
Existen diferentes motivos por los que se ha escogido el esquema de certificación
ISO 27000. En primer lugar, en el Plan Director de Seguridad de la Información ya se tuvo
esta norma en consideración. Cuando se redactó el Pliego de Condiciones de realización
del Plan Director todavía no existía el Esquema Nacional de Seguridad2, y se hizo especial
hincapié en las herramientas Magerit v2 (métrica de las AAPP que incluye ) y PILAR
(acrónimo…) como propias de las AAPP.
En segundo lugar, la ISO 20000 (y por extensión la norma ITIL, que es la base de la
ISO 20000), está orientada exclusivamente a Gestionar Servicios. En este caso, los
„procesos de negocio‟ de un organismo público ya están representados en la Carta de
Servicios del organismo correspondiente.
Por otro lado, si lo importante es la relación con la seguridad (datos sensibles,
financieros, policiales, I+D, estratégicos, etc.), y no la certificación de los parámetros con
los que se establecen relaciones con los proveedores, la mejor opción es la ISO 27002.
La norma ISO 27000 tiene en común con la ISO 20000 el planteamiento del
esquema PDCA:
Ilustración 1 - Modelo PDCA aplicado a los procesos del Sistema de Gestión de Seguridad de Información SGSI.
(Fuente “Implantación de la ISO 27001: 2005, Sistema de Gestión de Seguridad de Información. Alberto G.
Alexander, www.docstoc.com)
La forma en que estos documentos fueron elaborados ya contó en su momento
con un procedimiento de análisis consensuado entre empleados públicos, participantes
2 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y en el Real
Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad.
8
en el proyecto a nivel interno, y consultores. En este procedimiento se tuvieron en cuenta
los siguientes hitos:
1. Auditoría estado de seguridad en Secretaría General Adjunta del CSIC (organismo
encargado de la gestión de las TIC en el CSIC)
En ella se realizaron las siguientes tareas:
Recopilación de la documentación existente
Recopilación de los usuarios finales y los responsables de unidades
Revisión de plataformas tanto a nivel hardware como software
Revisión de la estructura de comunicaciones
Revisión de la política de seguridad previa
Identificación y valoración de activos. Se realizaron las siguientes tareas:
o Análisis de la documentación existente.
o Propuesta de reuniones con usuarios finales y/ o responsables de las
unidades.
o Análisis de las plataformas (niveles Hw y Sw)
o Análisis de la estructura de comunicaciones
o Análisis de la política de seguridad y modelo organizativo de la seguridad
informática.
o Análisis de la adecuación y cumplimiento en materia legislativa
relacionada con la seguridad y la protección de datos.
identificación y descripción de amenazas
Identificación y evaluación de vulnerabilidades. Se realizaron las siguientes tareas:
o Escaneo de puertos y vulnerabilidades (ya sea en forma automática y/ o
manual)
o Descubrimiento de protocolos, servicios y servidores
o Pruebas de filtrado de acceso, tanto en la red interna como externa
o Estado de credenciales, permisos y escalado de privilegios
o Acceso a ficheros y bases de datos
o Comprobación de niveles de acceso físico.
o Comprobación de backups y su funcionamiento.
o Estado de redes Wi-fi y VoIp
Identificación y valoración de impactos
Identificación de salvaguardas (establecidas, planificadas y nuevas)
Evaluación del riesgo
Nivel cumplimiento de la Iso 27002: 2007.
9
2. Proceso consultivo de necesidades de los centros si trascienden servicios prestados por
la SGAI
Se realizaron entrevistas en seis centros de diferentes tipos: propios, mixtos, centros
con ubicaciones especiales, y centros con ubicaciones críticas o con problemas.
3. Elaboración de plan de Acción orientado a detectar los riesgos detectados
A un plazo de dos años, se identificaron riesgos a corto, medio y largo plazo.
4. Desarrollo de política de seguridad y definición del Plan de Acción
La política de Seguridad contemplaba el marco de actuación del Plan de Acción.
En este marco se analizaba la desviación en el cumplimiento de la norma ISO 27002,
estableciendo el nivel de madurez como „definido‟ (categorías inexistente/ inicial/
gestionado/ definido/ cuantitativamente gestionado/ optimizado…).
Por otro lado, se pretendía que la organización en su conjunto participase del
proceso ya que se había desarrollado un módulo específico de concienciación de
usuarios sobre la seguridad de la información, de forma que los procedimientos fueron
implantados, documentados y comunicados mediante formación.
Por último, se instaba al desarrollo de una serie de proyectos que
complementarían este Plan de Acción: gestión de identidades, usuarios y permisos, el
NAC (securización de acceso a redes de comunicaciones) y cortafuegos de
aplicaciones, y la adaptación al ENS (Esquema Nacional de Seguridad).
Este último es el marco normativo en materia de seguridad de las Tecnologías de
la Información que, al amparo del RD 3/2010, de 8 de enero, crea las condiciones
necesarias de confianza en el uso de los medios electrónicos, a través de medidas para
garantizar la seguridad, de forma que se permita a los ciudadanos y a las
Administraciones públicas ejercer el ejercicio de derechos y el cumplimiento de deberes a
través de estos medios.
Una de sus principales características es que aporta un lenguaje común para
facilitar la interacción de las Administraciones públicas, así como la comunicación de los
requisitos de seguridad de la información a la industria.
El ENS establece que todos los órganos superiores de las AA.PP. deberán disponer
de su política de seguridad en base a los principios básicos y aplicando los requisitos
mínimos para una protección adecuada de la información.
En este sentido, para hacer que un SGSI esté adaptado al ENS no es necesario que
disponga de la certificación ISO 27001 o ISO 27002, pero sí está especialmente indicado
en los sistemas de nivel alto (satisfacción de principios de seguridad integral, gestión de
10
riesgos, reevaluación periódica y mejora continua del proceso de seguridad) y en sistemas
de información orientados inicialmente a comercio electrónico.
El proceso realizado para implantar el PDSI, en comparación con el proceso de
implantación de una norma de calidad es el que refleja la Tabla 1:
PDSI- CSIC ENS
Política de seguridad de la
información
1 Organización e implantación del proceso
de seguridad
Organización de seguridad de la
información
2 Análisis y gestión de riesgos
Gestión de activos 3 Gestión de personal
Seguridad relacionada con los RRHH 4 Profesionalidad
Seguridad física y del entorno 5 Autorización y control de los accesos
Gestión de comunicaciones y
operaciones
6 Protección de las instalaciones
Control de acceso 7 Adquisición de productos
Adquisición, desarrollo y
mantenimiento de los sistemas de
información
8 Seguridad por defecto
Gestión de incidentes de seguridad
de la información
9 Integridad y actualización del sistema
Gestión de la continuidad de negocio 10 Protección de la información
almacenada y en tránsito
Cumplimiento 11 Prevención ante otros sistemas de
información interconectados
12 Registro de actividad
13 Incidentes de seguridad
14 Continuidad de la actividad
15 Mejora continua del proceso de
seguridad
Tabla 1 - Comparación proceso PDSI/ CSIC y ENS. (Fuente: Dolores de la Guía Martínez, 2010)
4. Plan de Acción del Proyecto
En cualquier proyecto de consultoría cuyo propósito sea la obtención de una
certificación, los pasos a seguir son:
1. Definir Alcance
2. Definir Visión y Objetivos
3. Elegir esquema de certificación
4. Elegir entidad certificadora
5. Definir Auditor/ validar alcance
6. Definir formación personal implicado
7. Realizar evaluación inicial del SGSTI
8. Dar evidencias de Políticas/ procesos/ procedimientos
9. Crear un Plan de Mejora de Servicio/ Implementar mejora continua
11
10. Re- evaluación/ Manejo de las observaciones
11. Auditoría de certificación
12. Mantener la certificación/ métricas
En este proyecto, teniendo en cuenta que los pasos 1 a 8 ya se han realizado, el
esquema contempla las fases del siguiente cronograma:
5. Costes del proyecto
BSK Nombre Inicio Fin Tiem
po
Coste
1 Presentación proyecto y personal involucrado Sep 20 Sep 20
2 Jornada presentación proyecto Sep 20 Sep 20 4h 6,732
3 Recopilación información y documentación Sep 20 Sep 29 5d
3.1 Recopilación información SGSTI del Plan Director de
Seguridad Informática (análisis situación actual,
reflejada en el PDSI, riesgos, vulnerabilidades...)
Sep 20 Sep 24 2d 10,400
3.2 Elaboración documentación ISO 27002 Sep 24 Sep 29 2d 13,728
3.3 Revisión documentación ISO 27002 Sep 29 Sep 29 1d 20,000
12
4 Plan de Mejora de Servicio Sep 30 Oct 11 9d
4.1 Creación de un Plan de Mejora de Servicio Sep 30 Oct 4 3d 31,200
4.2 Presentación Plan de Mejora de Servicio Oct 4 Oct 5 4h 10,000
4.3 Implementación Plan de Mejora de Servicio Oct 5 Oct 8 4d 41,600
4.4 Evaluación Implementación Plan de Mejora de
Servicio
Oct 8 Oct 11 1d 10,400
4.5 Revisión Evaluación Implementación Oct 11 Oct 11 4h 10,000
5 Auditoría Interna Oct 11 Oct 15 4d 41,600
6 Re- evaluación/ Manejo de las observaciones Oct 15 Oct 15 1d 20,000
7 Auditoría de certificación Oct 15 Oct 15
Total 215,660
6. Riesgos y vulnerabilidades de la Seguridad de la Información en el CSIC
En el “Pliego de Prescripciones Técnicas para la Contratación de Servicios de
Consultoría para la Definición de un Plan Director de Seguridad de la Información en los
Servicios Centrales de la SGAI (Secretaría General Adjunta de Informática) del CSIC” se
fijaba como punto de partida en la elaboración del PDSI tres hitos.
En primer lugar se definía una primera etapa, el „Análisis de la Situación Actual‟, que
tenía como objetivo recopilar la información necesaria a nivel físico y lógico de los
sistemas, comunicaciones, servicios y medidas de seguridad existentes.
La segunda y tercera etapa eran el análisis de riesgos y el de vulnerabilidades. Esta
última consistía en la obtención de una visión global a partir de la realización de una serie
de pruebas que no originasen denegación y degradación del servicio.
El siguiente cuadro muestra la documentación que se elaboró tanto en el análisis
de riesgos como en el de vulnerabilidades. Se entienden como una fuente de información
actualizada de la que parte este proyecto:
13
Riesgos:
•Identificación y valoración de activos
•Identificación y descripción de amenazas a las que se someten los activos
•Identificación y descripción de vulnerabilidades a las que se someten los activos
•Identificación y valoración de impactos
•Identificación de las salvaguardas establecidas actualmente y las planificadas a futuro, así como la necesidad de implantar nuevas salvaguardas.
•Plan de tratamiento de riesgo para los activos
•Evaluación de los riesgos especificando los intrínsecos y los efectivos tras la modificación/ implantación de salvaguardas
•Evaluación del riesgo global
•Nivel de cumplimeinto de la norma iso 27001 en el CSIC
•Comparativa de niveles de riesgos con empresas del sector.
Vulnerabilidades:
•Informe técnico en el que especifica el detalle de todas las pruebas y trabajos realizados, resultados, vulnerabilidades encontradas y planes de mitigación para cada una de ellas, y recomendaciones.
•Informe ejecutivo donde se detallará el resumen de los hallazgos principales y las recomendaciones.
14
8. RRHH asignados
Los recursos asignados a este proyecto se agrupan en dos categorías, que se
describen a continuación de acuerdo con las definidas en el MRFI-C3
1 auditor estratégico con funciones de jefe de proyecto. Este perfil
corresponde al de un auditor senior con cinco años de experiencia
contrastada como auditor estratégico o siete años acumulando experiencia
como consultor estratégico o consultor senior. La experiencia adquirida está
relacionada con la dirección de planes directores de seguridad y/ o
estratégicos de seguridad.
Las tareas que deberá desarrollar están relacionadas con la auditoría de
Sistemas de Información, o de Calidad Informática, la coordinación del
proyecto (con las correspondientes pautas de supervisión de objetivos a
alcanzar y el tiempo disponible, y la vigilancia de los puntos fuertes y débiles
del mismo).
Posee conocimientos sobre organización y planificación del área tecnológica,
y la evaluación de riesgos.
2 auditores, con un mínimo de dos años de experiencia como auditores.
Tendrán los conocimientos suficientes en metodologías, herramientas y
técnicas de auditoría, y aspectos legales de la Auditoría Informática.
A lo largo del proyecto aplicarán controles de prevención, detección y
corrección de errores, participarán en la obtención de información
colaborando con el auditor senior, revisarán la documentación, y verificarán la
existencia de controles adecuados que garanticen en todo momento la
fiabilidad, seguridad e integridad de la información.
En todo momento mantendrán relación con el auditor estratégico del
proyecto y acudirán a reuniones ocasionalmente.
El precio/ hora de los diferentes recursos se incluye en la siguiente tabla:
Name Cost
Auditor 1 1300
Auditor 2 1300
Auditor estratégico 2500
9. Comunicación de los resultados
3 Modelo de Referencia de Funciones Informáticas para la Contratación (MRFI-C), definido por la Comisión
Interministerial de Adquisición de Bienes y Servicios Informáticos.
15
La comunicación de los resultados se hará de diferentes formas. En primer lugar se
procederá a incluir en la „Carta de Servicios Electrónicos‟ una modificación que añadirá
los datos de la obtención de la certificación (entidad certificadora, fecha de obtención
del certificado, servicios cubiertos por esta certificación…).
La aprobación de esta certificación será remitida por el titular del CSIC al
Subsecretario del Ministerio de Ciencia e Innovación, quien la someterá a informe de la
Secretaría General para la Administración Pública (Dirección General de Inspección,
Evaluación y Calidad de los Servicios).
El Subsecretario aprobará la Carta mediante Resolución.
En el “Boletín Oficial del Estado” se publicará exclusivamente el texto de dicha
Resolución, indicándose asimismo los lugares y formas en que se encuentra disponible
para el público.
Por otro lado, la memoria del CSIC del año 2010 incluirá un epígrafe dedicado a la
certificación de la norma. En sucesivos años se incluirán las actualizaciones
correspondientes a la mejora continua aplicada, es decir, el tratamiento de las no-
conformidades.
En el sitio web del CSIC se incluirá una referencia a la Carta de Servicios
Electrónicos.
Por último, en la parte de la carta de servicios electrónicos, la práctica común era
la „petición de disculpas‟, ahora será la definición de un incumplimiento que deberá ser
revisado y solventado de acuerdo con el proceso de mejora continua.
10. Documentación de los trabajos entregables
Para la conformidad con la ejecución del proyecto, se deberán hacer entrega de los
siguientes documentos:
Un documento que contenga el informe del análisis de la situación actual
Un documento que defina la política y organización de la seguridad (Política
de Seguridad de la Información para el CSIC/ Plan Director de Seguridad
Informática actualizado, estructura organizativa de la seguridad)
Un documento que contenga el informe del análisis de riesgos y amenazas
actualizado
Un documento que contenga el informe del análisis de vulnerabilidades
técnicas actualizado
Un documento resumen que contenga las medidas empleadas para controlar
las vulnerabilidades, los riesgos y las amenazas: el plan de mejora de servicio
16
Todos los ficheros de trabajo y los informes extraídos de la herramienta
empleada para realizar el análisis actualizado de riesgos.
Todos los informes definidos en la metodología de análisis de riesgos para cada
una de las unidades evaluadas (salvaguardas, estado del riesgo, informe de
insuficiencias…)
Un documento resumen con los resultados del análisis del riesgo
Un documento que describa las líneas de contenga el compromiso de la
gerencia del organismo (formulación, revisión y aprobación de la política de
Seguridad Informática, revisión permanente de la eficacia de la
implementación de la política de Seguridad Informática, aprobación de
funciones y responsabilidades específicas para la Seguridad Informática en
toda la organización, supervisión de la coordinación de la implementación de
los controles de Seguridad Informática en toda la organización, mantenimiento
de la cultura de la Seguridad Informática a través de foros, jornadas…)
Un documento que contenga la documentación base para el tratamiento
normativo
11. Adquisiciones
Tanto el auditor estratégico como los auditores requieren como herramienta de
trabajo ordenadores portátiles de perfil alto (altas prestaciones como capacidad
de disco duro, memoria, procesador, tarjeta gráfica..) con las licencias de sw
correspondiente (incluido Microsoft Office Enterprise, VISIO, MS Project), cuyo uso
vendrá imputado contra la hora del auditor.
11. Bibliografía
Las Administraciones Públicas y la certificación de los Servicios Públicos
Electrónicos. Elena Casarrubios. Revista. Auditoría y Seguridad, nº 23, junio 2008.
Estrategias para la implantación de la Administración Electrónica en el Consejo
Superior de Investigaciones Científicas. El Plan de Sistemas Informáticos. Clara Cala
Rivero y Ángel L. Rodríguez Alcalde (num. 197). TECNIMAP 2006 (Sevilla)
El Framework de Desarrollo del Consejo Superior de Investigaciones Científicas.
Clara Cala Rivero y Ángel L. Rodríguez Alcalde (num. 202). TECNIMAP 2006 (Sevilla)
Memoria Anual CSIC, 2009. Centro Superior de Investigaciones Científicas, Madrid.
2010.
Pliego de Prescripciones Técnicas para la Contratación de Servicios de Consultoría
para la definición de un Plan Director de Seguridad de la Información en los
17
Servicios Centrales de la Secretaría General adjunta de Informática del Consejo
Superior de Investigaciones Científicas. CSIC, 2007.
El largo camino de un Plan Director de Seguridad de la Información. Dolores de la
Guía Martínez. VII Foro de Seguridad de RedIris/ UAM. 22- 23 de Abril 2010.
El Esquema Nacional de Seguridad. Miguel A. Amutio. Jornadas PREPARATIC, 10 de
julio de 2010.
Guía para el desarrollo de Cartas de Servicios. Ministerio de Administraciones
Públicas. Madrid, 2006.
12. Legislación
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios Públicos. ( BOE, 23-junio-2007 )
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente
la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
servicios públicos. ( BOE, 18-noviembre-2009 )
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el ámbito de la Administración Electrónica
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica
Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común (Ley 30/1992, de 26 noviembre)
Normas sobre los servicios de información administrativa y atención al ciudadano
(RD 208/1996, de 9 febrero)
Ley 28/2006, de 18 julio, de Agencias estatales para la mejora de los servicios
públicos
Real Decreto 1317/2001 de 30 de Noviembre, por el que se desarrolla el artículo 81
de la Ley 66/1997 de 30 de Diciembre, de Medidas fiscales, administrativas y de
orden social, en materia de prestación de servicios de seguridad, por la Fábrica
Nacional de Moneda y Timbre/ Real Casa de la Moneda, en las comunicaciones a
través de medios electrónicos, informáticos y telemáticos con las Administraciones
Públicas.
Real Decreto 772/1999 de 7 de Mayo. Solicitudes, escritos y comunicaciones ante
la Administración General del Estado. Expedición de copias de documentos y
devolución de originales. Oficinas de registro. Régimen.
Ley 34/2002 de 11 de Julio, de servicios de la Sociedad de la Información y de
Comercio Electrónico.
18
Ley 32/2003 de 3 de Noviembre, General de Telecomunicaciones (Disposición final
primera por la que se modifica la Ley 34/2002 de 11 de Julio, de Servicios de la
Sociedad de la Información y Comercio Electrónico).
Resolución de creación de la Sede Electrónica del CSIC (BOE 2-abril-2010)
Resolución de creación del Registro Electrónico del CSIC (BOE 2-abril-2010