Proyecto de ejecución de adecuación al
Esquema Nacional de Seguridad (ENS)
Explicación del proyecto que consiste en la elaboración de un Plan de
Adecuación y posterior Ejecución de dicho plan para adecuarse a las
exigencias organizativas, operativas y técnicas que ambas regulaciones
introducen (ENS y MSPLATEA)
Se realiza una adecuación tanto al ENS como al MS PLATEA en el Gobierno
Vasco, abordando el proyecto desde el cumplimiento de las medidas de
nivel básico hasta las medidas de nivel alto.
Área: Soluciones de seguridad de Administración Electrónica
Contenido
DESCRIPCIÓN DEL PROYECTO......................................................................... 2
Introducción .............................................................................................. 2
Manual de Seguridad PLATEA ....................................................................... 3
Fases del proyecto...................................................................................... 3
Primera Fase .......................................................................................... 4
Segunda Fase ......................................................................................... 6
REPERCUSIÓN PARA LA CIUDADANÍA Y EMPRESAS........................................... 14
EQUIPO DE DESARROLLO Y PROVEEDORES ..................................................... 14
VALORACIÓN ECONÓMICA ............................................................................. 15
PLAZOS DE CUMPLIMIENTO ........................................................................... 15
Pág. 1
DESCRIPCIÓN DEL PROYECTO
Introducción
La preocupación del Gobierno Vasco por la seguridad de los servicios electrónicos
prestados a los ciudadanos no es nueva. Ya en el Decreto 232/2007 1, de 18 de
diciembre, por el que se regulaba la utilización de medios electrónicos, informáticos
y telemáticos en los procedimientos administrativos, se establecía la necesidad de
adoptar las medidas necesarias para garantizar la autenticidad, integridad,
disponibilidad, confidencialidad y conservación de la información y los documentos
electrónicos (incluye una garantía más, que es la trazabilidad), e incluso se
determinaba la elaboración de un Manual de Seguridad (del que hablamos más
adelante) que contuviera las medidas de seguridad de carácter general, de índole
técnica y organizativa, necesarias para asegurar el cumplimiento de dichas
garantías. Una vez publicada la Orden de 26 de febrero de 2010, de la Consejera de
Justicia y Administración Pública, aprobando dicho Manual de Seguridad para el
mantenimiento de la seguridad de la información de la Administración General de la
CAPV y sus Organismos Autónomos en el entorno de las aplicaciones informáticas
que sirven de soporte a la tramitación telemática, esto es, la PLAtaforma
Tecnológica para la E-Administración –PLATEA–, y estando dicho Manual disponible
en euskadi.net (www.euskadi.net/informatica), y habiéndose publicado también el
Esquema Nacional de Seguridad, regulado en el Real Decreto 3/2010, de 8 de
enero, cuyo objeto es establecer la política de seguridad en la utilización de medios
electrónicos, constituido por principios básicos y requisitos mínimos que permitan
una protección adecuada de la información, en definitiva, crear las condiciones
necesarias de confianza para con la ciudadanía aplicables a la utilización por parte
de esta de los medios electrónicos a los que se refiere la Ley 11/2007, el Gobierno
Vasco disponía de todos los elementos necesarios para adentrarse en el proyecto
de Adecuación a ambas exigencias, por un lado, al Manual de Seguridad
PLATEA, y , por otro, al Esquema nacional de Seguridad (ENS), que tal y
como explica en su disposición transitoria, exige una adecuación de los sistemas de
las administraciones públicas con unos plazos determinados.
Este Decreto ha sido derogado por el Decreto 21/2012, de 21 de febrero, de
Administración Electrónica.
1
Pág. 2
Manual de Seguridad PLATEA
Antes de continuar vamos a explicar qué es el Manual de Seguridad PLATEA:
sustentado sobre los Servicios Comunes de Tramitación Telemática, pilares básicos
de la infraestructura técnica común para el desarrollo de la administración
electrónica (e-Administración), de utilización obligatoria para todas las aplicaciones
informáticas que sirvan de base a la tramitación telemática aparece este manual,
MS PLATEA. Este Manual de Seguridad dota a dicha infraestructura de una
adecuada homogeneidad al establecer las medidas de seguridad de carácter
general, así como de índole técnica y organizativa, dirigidas a asegurar el
cumplimiento de las garantías de autenticidad, integridad, confidencialidad,
disponibilidad, conservación de la información y trazabilidad. El MS PLATEA queda
dividido en dos apartados:
•
Política de seguridad. Declaración de alto nivel de objetivos,
directrices y compromiso de la Administración General de la Comunidad Autónoma
del País Vasco y sus Organismos Autónomos para acometer la gestión de seguridad
de la información en los medios electrónicos, informáticos y telemáticos utilizados
en la prestación de servicios públicos.
•
Normativa de seguridad. Medidas de seguridad de obligado
cumplimiento. Es un compendio del conjunto de normas que soportan los objetivos
recogidos en la política de seguridad de la información. En este nivel se describen
los objetivos de seguridad y se anticipan las reglas generales de obligada adopción.
Este Manual de Seguridad trata la seguridad desde un punto de vista
general, contemplando, además de la propia información, aspectos tales como el
hardware, el software, las redes, los datos y el personal que manipula o da soporte
a esta Infraestructura de Tramitación Telemática.
Fases del proyecto
Volviendo al proyecto de Adecuación al Esquema Nacional de Seguridad (ENS) y al
Manual de Seguridad de PLATEA, este se dividió en dos fases: la primera de ellas
tuvo como objeto el análisis detallado de los servicios electrónicos prestados por el
Gobierno Vasco y el estudio de las necesidades específicas que en materia de
seguridad existen en torno a la plataforma tecnológica sobre la que el Gobierno
Vasco presta sus servicios de E-Administración.
Pág. 3
Primera Fase
El objetivo de esta primera fase fue la elaboración de un Plan de Adecuación
detallado
(análisis
y
planificación),
correspondiendo
el
mismo
con
la
adecuación y cumplimiento simultáneo de dos regulaciones, por un lado, la que se
refiere al Esquema Nacional de Seguridad, y por otro lado, la del Documento de
Seguridad para aplicaciones de tramitación telemática de la Administración General
de la Comunidad Autónoma del País Vasco (Manual de Seguridad PLATEA), es decir,
se desarrolló un proyecto de adecuación tomando las directrices generales del ENS
como partida, teniendo en cuenta su adecuación en el MS PLATEA, y que
considerando los resultados del estudio inicial y las exigencias del ENS y el Manual
de Seguridad de PLATEA y se determinasen los pasos a dar por el Gobierno Vasco
para adecuarse a las exigencias organizativas, operativas y técnicas que ambas
regulaciones introducían. Uno de los grandes retos de la primera fase del proyecto
fue la catalogación de los sistemas, necesaria para cumplir con las exigencias del
Esquema Nacional de Seguridad.
La plataforma tecnológica sobre la que se centra el proyecto proporciona servicios
transversales a todos los Departamentos y Organismos Autónomos del Gobierno
Vasco, y sobre ella se desarrollan servicios de muy diversa índole en función de las
necesidades específicas de cada dirección; también se efectuó un análisis de riesgos
de seguridad a los que estaba expuesta la infraestructura de tramitación telemática
del Gobierno Vasco, con el fin de disponer de una visión completa del estado de la
seguridad en relación a dicha plataforma tecnológica, desarrollando, de acuerdo a
las directrices del Manual de Seguridad de PLATEA, una herramienta de trabajo que
permitiese identificar, cuantificar y priorizar los riesgos de acuerdo a las
necesidades del Gobierno Vasco en aquellas áreas de seguridad en las que sea
necesario su uso. También se describió en un documento la declaración de
aplicabilidad tanto en relación al Esquema Nacional de Seguridad como en
relación al Manual de Seguridad de PLATEA, y que recogía todas las medidas de
seguridad aplicables e incluso detallaba su nivel de implantación en el momento de
llevar a cabo el análisis, identificándose los niveles de cumplimiento en relación a
cada una de las regulaciones aplicables en materia de seguridad, al tiempo que se
detallaban los aspectos más significativos identificados en cada caso. Asimismo, se
presentaban las principales conclusiones extraídas en torno al análisis realizado, y
se anexaban los informes detallados de cumplimiento que se habían elaborado, el
Pág. 4
modelo de valor de PLATEA en el que se basaba ese análisis y el cruce de las
medidas de seguridad definidas tanto por el ENS como por el MSPLATEA con los
principios básicos y requisitos mínimos de seguridad que establecía el primero.
Previo a realizar la presentación de los resultados del análisis que se realizó
debemos indicar algunas puntualizaciones, cuyas implicaciones es necesario tener
en cuenta para poder realizar una correcta valoración de los resultados obtenidos:
la prestación de servicios de e-Administración mediante el uso de la infraestructura
PLATEA obliga a que en la prestación de estos servicios intervenga tanto personal
perteneciente a los departamentos de Gobierno Vasco y a sus organismos
autónomos, como intervinientes directos en la prestación de cada uno de los
servicios analizados, como personal de la sociedad pública Eusko Jaurlaritzaren
Informatika Elkartea -Sociedad Informática del Gobierno Vasco, S.A., (EJIE) en su
papel de participantes en el desarrollo y administración técnica de los servicios y los
sistemas que integran la infraestructura PLATEA.
El hecho de que participe personal de distintas organizaciones en la prestación de
los servicios provoca que la regulación vigente pueda ser diferente en cada caso, y
que no sólo haya que regular las actividades específicamente en cada caso sino que
también haya que regular la interacción entre ellas; por otro lado, no sólo existen
servicios de e-Administración prestados desde infraestructuras ajenas a PLATEA,
sino que existen ciertos servicios y ciertas actividades llevadas a cabo en
departamentos y organismos autónomos de Gobierno Vasco que no van a verse
afectadas por la regulación aplicable a este proyecto, y que del mismo modo
pueden disponer de regulaciones que no sean aplicables en el entorno analizado; y
por último, en EJIE existe una gran cantidad de sistemas e infraestructuras que no
intervienen en la prestación de los servicios de e-Administración de PLATEA, y que
por tanto su regulación está fuera de este proyecto de adecuación. Este documento
de aplicabilidad también nos indicó la categorización del sistema: en función del
estudio realizado en torno a la infraestructura PLATEA y los servicios de eAdministración que se prestan sobre dicha infraestructura, se realizó una
modelización de los activos que componen dichos servicios y sus dependencias con
los distintos elementos que componen PLATEA, recogido en un Informe de Análisis
de Riesgos, partiendo del modelo de activos, de la valoración dada por los
departamentos a los activos de la capa superior (servicios) y de las dependencias
entre activos se ha procedió a la categorización del sistema PLATEA, considerando
que cualquier componente del sistema hereda el valor máximo de los componentes
de capas superiores a los que soporta, valorándose de manera independiente cada
Pág. 5
una de las dimensiones de seguridad, por lo que teniendo en cuenta que existía al
menos un servicio soportado por PLATEA cuya valoración para cada dimensión de
seguridad era de nivel ALTO, el sistema PLATEA, junto con todos sus componentes,
se categorizó
como de nivel ALTO para todas las dimensiones de seguridad,
siendo este el punto de partida para la consideración de medidas de seguridad
tanto de cara al ENS como de cara al MSPLATEA.
Segunda Fase
La segunda fase del proyecto suponía la aplicación efectiva del Plan de Adecuación
que se desarrolló (ejecución del plan), llevando a cabo la implantación y ajuste de
todas las medidas de seguridad que este determinó, para ello se publicó la
Resolución de 18 de noviembre de 2010, del Director de Informática y
Telecomunicaciones,
Nacional
de
aprobando
Seguridad
y
el
Plan
Manual
de
de
Adecuación
Seguridad
al
Esquema
PLATEA
para
el
mantenimiento de la seguridad de la información de la Administración
General de la CAPV y sus Organismos Autónomos en el entorno de las
aplicaciones informáticas que sirven de soporte a la tramitación telemática
(e-Administración); pasamos a continuación a hablar de esta segunda fase: la
ejecución del plan de adecuación: en primer lugar, debe quedar claro el ámbito de
aplicación de la adecuación al ENS y al Manual de Seguridad de PLATEA, esto es,
los servicios de e-Administración proporcionados por el Gobierno Vasco sobre la
infraestructura tecnológica PLATEA, y contempla tanto la gestión de la seguridad de
la
propia
infraestructura
(aplicaciones,
redes,
física
sistemas,
y
tecnológica
equipos,
que
sedes)
soporta
como
la
dichos
gestión
servicios
operativa
desarrollada en torno a ellos, así como las condiciones en las que se prestan dichos
servicios, que es el mismo que el determinado por el ámbito de aplicación definido
en el Manual de Seguridad de PLATEA. En esta fase se llevarán a cabo el desarrollo
de las medidas de seguridad exigidas por el Esquema Nacional de Seguridad y el
Manual de Seguridad de PLATEA en materia de seguridad, tanto a nivel
organizativo, operativo y contractual como a nivel técnico. Aquí se desarrollaron las
siguientes tareas: definición de la estructura organizativa de la seguridad (roles y
perfiles), indicar que a fecha de hoy (septiembre de 2014) se está tramitando
un Acuerdo de Consejo de Gobierno por el que se aprueba la estructura
organizativa y asignación de roles de seguridad para la Administración
Electrónica del Gobierno Vasco; desarrollo de las medidas de nivel básico;
desarrollo de las medidas de nivel medio; y, por último, desarrollo de la medidas de
nivel alto.
Pág. 6
Definición
de
la
estructura
organizativa:
se
regulan
los
roles
y
responsabilidades de seguridad, y se establece el comité de seguridad; también se
completa la Política de Seguridad (descripción formal del marco legal y regulatorio,
e integración apropiada de la gestión de la LOPD desarrollada por Gobierno Vasco
en torno a los servicios de e-Administración prestados sobre PLATEA dentro de esta
Política de Seguridad), se completa la normativa de seguridad y se regulan los
ámbitos de interrelación.
Medida de seguridad (ENS)
Grado de adecuación
(sobre 5) (marzo 2014)
Medida de Seguridad org.1 (Política de Seguridad)
5
Medida de Seguridad org.2 (Normativa de Seguridad)
5
Desarrollo de las medidas de nivel básico: incluye los siguientes puntos: la
gestión básica de la seguridad (gestión operativa del análisis de riesgos); la
planificación de la seguridad técnica (se garantiza una aplicación básica de la
seguridad
en
todos
los
servicios
de
e-administración
soportados
por
la
infraestructura PLATEA); la autorización de accesos (se regulariza el proceso de
gestión de accesos a los servicios de la e-administración prestados sobre nuestra
infraestructura
tecnológica
PLATEA);
la
explotación
básica
(actividades
encaminadas a garantizar la seguridad básica de la infraestructura de PLATEA,
incluyendo,
entre otros, procedimientos de seguridad, procesos de autorización,
inventario de activos y protección de claves criptográficas); la seguridad en el
exterior (esto es, seguridad en el exterior de las instalaciones e infraestructuras, la
seguridad patrimonial); el personal (tanto en lo que respecta a la participación
directa en los servicios como en el acceso a la infraestructura); el uso de equipos
de
usuario
(utilizados
para
gestionar
los
servicios
de
la
e-administración
proporcionados por PLATEA);las comunicaciones (respecto a las redes y sistemas
de comunicación dispuestos en torno a PLATEA), en donde se formaliza el mapa de
red en el cual se integran los distintos equipos de la infraestructura tecnológica de
la e-administración; el uso de los soportes de información (adecuar dicho uso a la
legislación vigente, tanto del ENS y del MS PLATEA, como de la Ley Orgánica de
Protección de Datos y de su Reglamento asociado); la clasificación y tratamiento de
la información (medidas de seguridad sobre la propia información); los servicios
base (define una normativa que debe seguir el personal en su actividad diaria a la
hora de utilizar los servicios base) y un soporte al desarrollo de las medidas
Pág. 7
técnicas de nivel básico (se distingue qué activos de la base de datos de la
configuración, CMDB; pertenecen a la infraestructura PLATEA).
Medida de seguridad de nivel básico (ENS)
Grado de adecuación
(sobre 5) (marzo 2014)
Medida de Seguridad op.pl.1 (Análisis de riesgos)
4
Medida de Seguridad op.pl.2 (Arquitectura de seguridad)
4
Medida de Seguridad op.pl.3 (Adquisición de nuevos
componentes)
Medida de Seguridad op.acc.1 (Identificación)
5
Medida de Seguridad op.acc.2 (Requisitos de acceso)
5
Medida de Seguridad op.acc.4 (Proceso de gestión de
5
5
derechos de acceso)
Medida de Seguridad op.acc.5 (Mecanismo de
autenticación)
Medida de Seguridad op.acc.6 (Acceso local)
4
Medida de Seguridad op.acc.7 (Acceso remoto)
4
Medida
de
Seguridad
org.3
(Procedimientos
4
de
3
seguridad)
Medida de Seguridad org.4 (Proceso de autorización)
3
Medida de Seguridad op.exp.1 (Inventario de activos)
5
Medida de Seguridad op.exp.2 (Configuración de
4
seguridad)
Medida de Seguridad op.exp.4 (Mantenimiento)
4
Medida de Seguridad op.exp.6 (Protección frente a
5
código dañino)
Medida de Seguridad op.exp.11 (Protección de claves
5
criptográficas)
Pág. 8
Medida de Seguridad mp.if.1 (Áreas separadas y con
5
control de acceso)
Medida de Seguridad mp.if.2 (Identificación de las
5
personas)
Medida de Seguridad mp.if.3 (Acondicionamiento de los
5
locales)
Medida de Seguridad mp.if.4 (Energía eléctrica)
5
Medida de Seguridad mp.if.5 (Protección frente a
5
incendios)
Medida de Seguridad mp.if.6 (Protección frente a
5
inundaciones)
Medida de Seguridad mp.if.7 (Registro de entrada y
4
salida de equipamiento)
Medida de Seguridad mp.if.9 (Instalaciones alternativas)
5
Medida de Seguridad mp.per.2 (Deberes y obligaciones)
3
Medida de Seguridad mp.per.3 (Concienciación)
2
Medida de Seguridad mp.per.4 (Formación)
2
Medida de Seguridad mp.eq.1 (Puesto de trabajo
3
despejado)
Medida de Seguridad mp.eq.2 (Bloqueo de puesto de
5
trabajo)
Medida de Seguridad mp.eq.3 (Protección de equipos
4
portátiles)
Medida de Seguridad mp.eq.9 (Medios alternativos)
5
Pág. 9
Medida de Seguridad mp.com.1 (Perímetro seguro)
5
Medida de Seguridad mp.com.2 (Protección de la
5
confidencialidad)
Medida de Seguridad mp.com.3 (Protección de la
5
autenticidad y de la integridad)
Medida de Seguridad mp.com.4 (segregación de redes)
5
Medida de Seguridad mp.com.9 (Medios alternativos)
5
Medida de Seguridad mp.si.1 (Etiquetado)
5
Medida de Seguridad mp.si.2 (Criptografía)
5
Medida de Seguridad mp.si.3 (Custodia)
5
Medida de Seguridad mp.si.4 (Transporte)
5
Medida de Seguridad mp.si.5 (Borrado y Destrucción)
5
Medida de Seguridad mp.info.1 (Datos de carácter
4
personal)
Medida de Seguridad mp.info.2 (Calificación de la
3
información)
de
1
Medida de Seguridad mp.info.9 (Copias de seguridad –
5
Medida
de
Seguridad
mp.info.6
(Limpieza
documentos)
Backup)
Medida de Seguridad mp.s.1 (Protección del correo
5
electrónico)
Medida de Seguridad mp.s.2 (Protección de servicios y
5
aplicaciones web)
Pág. 10
Medida de Seguridad mp.s.8 (Protección frente a la
5
denegación de servicio)
5
Medida de Seguridad mp.s.9 (Medios alternativos)
Desarrollo de las medidas de nivel medio: se aborda una vez estén
implantadas las medidas de seguridad de nivel básico, e incluye los siguientes
puntos: el desarrollo del proceso de gestión de la seguridad (sistema gestión de
mejora continua, incluye la gestión de las incidencias de seguridad); la gestión de
la capacidad (su objetivo es garantizar una adecuada planificación de la
disponibilidad en todos los servicios soportados por PLATEA); la regularización de
los roles técnicos (documentar formalmente los roles técnicos de seguridad y definir
funciones asociadas); la explotación avanzada (encaminada a garantizar la
seguridad avanzada de las infraestructuras de PLATEA durante su explotación, esto
es, gestión de configuración, gestión de cambios y trazabilidad); la gestión de
servicios externos (subcontrataciones relacionadas con la infraestructura PLATEA);
la continuidad del servicio; las aplicaciones (incluir los aspectos de seguridad
necesarios en las metodología de desarrollo y la gestión de cambios); la firma
electrónica (se publicó en el Boletín Oficial del País Vasco la Orden de 27 de junio
de 2012, de la Consejera de Justicia y Administración Pública, por la que se
aprueba la política de firma electrónica y de certificados de la Administración
Pública de la Comunidad Autónoma de Euskadi); y un soporte al desarrollo de estas
medidas de nivel medio.
Medida de seguridad de nivel medio (ENS)
Grado de adecuación
(sobre 5) (marzo 2014)
Medida de Seguridad op.exp.7 (Gestión de incidencias)
4
Medida de Seguridad op.exp.9 (Registro de la gestión
4
de incidencias)
Medida de Seguridad op.pl.4 (Dimensionamiento y
Gestión de capacidades)
Medida de Seguridad op.acc.3 (Segregación
5
de
5
Medida de Seguridad mp.per.1 (Caracterización del
4
funciones y tareas)
puesto de trabajo)
Pág. 11
Medida
de
Seguridad
op.exp.3
(Gestión
de
la
5
configuración)
5
Medida de Seguridad op.exp.5 (Gestión de cambios)
Medida
de
Seguridad
op.exp.8
(Registro
de
la
3
Medida de Seguridad op.exp.10 (Protección de los
5
actividad de los usuarios)
registros de actividad)
Medida de Seguridad op.exp.11 (Protección de claves
5
criptográficas)
Medida
de
Seguridad
op.ext.1
(Contratación
y
4
acuerdos de nivel de servicio)
Medida de Seguridad op.ext.2 (Gestión diaria)
4
Medida de Seguridad op.ext.9 (Medios alternativos)
4
Medida de Seguridad op.cont.1 (Análisis de impacto)
3
Medida de Seguridad op.cont.2 (Plan de continuidad)
4
Medida de Seguridad op.cont.3 (Pruebas periódicas)
4
Medida de Seguridad mp.sw.1 (Desarrollo)
4
Medida de Seguridad mp.sw.2 (Aceptación y puesta en
3
servicio)
Medida de Seguridad mp.info.3 (Cifrado)
3
Medida de Seguridad mp.info.4 (Firma electrónica)
5
Medida de Seguridad mp.info.5 (Sellos de tiempo)
3
Desarrollo de las medidas de nivel alto: se aborda una vez estén implantadas
las medidas de seguridad de nivel básico, y medio, e incluye los siguientes puntos:
cuadro de mando (cuadro de mando de la seguridad basado en métricas);
adquisición de componentes certificados (reforzando la seguridad en el proceso de
compras); seguimiento técnico (regularizar los sistemas de detección de intrusos
Pág. 12
así como las auditorías de seguridad técnica); personal de contingencia (tanto para
el acceso a los servicios como a las infraestructuras); despliegues seguros
(relacionado con la gestión de cambios); junto con un soporte al desarrollo de las
medidas de nivel alto.
Medida de seguridad de nivel alto (ENS)
Grado de adecuación
(sobre 5) (marzo 2014)
Medida de Seguridad op.pl.5 (Componentes certificados)
5
Medida de Seguridad op.mon.1 (Detección de intrusión)
4
Medida de Seguridad mp.per.9 (Personal alternativo)
3
Medida de Seguridad mp.sw.2 (Aceptación y puesta en
3
servicio)
Medida
de
Seguridad
op.acc.5
(Mecanismo
de
4
autenticación)
Medida de Seguridad op.acc.6 (Acceso local)
4
Medida de Seguridad mp.eq.3 (Protección de portátiles)
4
El grado de adecuación total a fecha marzo de 2014 es de 3,4 sobre 5.
Durante la realización de este proyecto, en el Gobierno Vasco se ha constituido la
sede electrónica (era uno de los puntos de ampliación del proceso de la seguridad).
A fecha de septiembre de 2014, y como ya hemos indicado anteriormente, está en
trámite la
RESOLUCIÓN de 10
de
mayo
de 2013, del
Viceconsejero de
Administración y Servicios Generales, por la que se aprueba la asignación de roles
de seguridad para la Administración Electrónica del Gobierno Vasco, que sirve para
dar una adecuada respuesta a todas las exigencias en materia de seguridad en el
ámbito de la Administración Electrónica, por ello, en la Comunidad Autónoma de
Euskadi se debe establecer formalmente un modelo de funcionamiento que le
permita articular los diferentes roles de seguridad requeridos y establecer los
órganos de coordinación necesarios para una apropiada gestión de la misma, con el
fin de dotarse oficialmente de los órganos exigidos para gestionar adecuadamente
la seguridad en el ámbito de la administración electrónica.
Pág. 13
REPERCUSIÓN PARA LA CIUDADANÍA Y EMPRESAS
Los objetivos principales que se persiguen son, por un lado, el de garantizar el
derecho
de
la
ciudadanía
y
de
las
empresas
a
la
Administración
Electrónica, y, por otro lado, el de modernizar la administración pública.
Para conseguir el primer objetivo, garantizar el derecho de la ciudadanía y de las
empresas a la Administración Electrónica, se debe de garantizar, tal y como se dice
en el Esquema Nacional de Seguridad, el derecho a comunicarse con las
administraciones públicas a través de medios electrónicos, lo cual comporta el
deber o la obligación de estas últimas de promover unas condiciones para que la
libertad y la igualdad sean reales y efectivas, y la remoción de los obstáculos que
impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que
exigen una aplicación segura de estas tecnologías, por lo que la propia aplicación
del ENS (cuyo objeto es el establecimiento de los principios y requisitos de una
política de seguridad en la utilización de medios electrónicos que permita la
adecuada protección de la información), que da respuesta a la Ley 11/2007, de 22
de junio, de acceso electrónico de los ciudadanos a los servicios públicos, consigue
el primer objetivo citado.
EQUIPO DE DESARROLLO Y PROVEEDORES
Ambas fases, la fase de adecuación y la fase de ejecución, se han realizado con la
empresa NEXTEL, S.A. junto con el personal de la sociedad pública Eusko
Jaurlaritzaren Informatika Elkartea-Sociedad Informática del Gobierno Vasco, S.A.,
(EJIE) en su papel de participantes en el desarrollo y administración técnica de los
servicios y los sistemas que integran la infraestructura PLATEA, tal y como se ha
comentado anteriormente.
Pág. 14
VALORACIÓN ECONÓMICA
La valoración económica indica el coste de la contratación de la empresa externa,
no estando incluido en el mismo el coste del personal del Gobierno Vasco ni el coste
del personal de EJIE.
Primera fase: 16.704 €
Segunda Fase: 166.000 €
PLAZOS DE CUMPLIMIENTO
Primera Fase: 7 meses (marzo de 2010 a noviembre de 2010)
Segunda Fase: 16 meses (junio de 2011 a octubre de 2012)
Vitoria-Gasteiz, a 22 de septiembre de 2014
Firmado
digitalmente
por JAIME JOSE
DOMINGUEZMACAYA
LAURNAGA
Fecha:
2014.09.24
'09:50:51 +02'00
Fdo.: Jaime Domínguez-Macaya Laurnaga
Pág. 15