Desarrollo del Esquema Nacional de Seguridad en la GISS.

Premios TIC Administración General del Estado 2014
Proyecto TIC en Seguridad Informática
2014
Gerencia Informática de la Seguridad Social
“Esquema Nacional de Seguridad en la Gerencia
de Informática de la Seguridad Social”
1.1. DESCRIPCIÓN DEL PROYECTO
La seguridad de la información es un medio para garantizar la fiabilidad de los servicios que la Seguridad
Social presta a ciudadanos y empresas y el Esquema Nacional de Seguridad (ENS) ha supuesto la oportunidad de iniciar un camino de mejora continua en esos servicios, que arrancó hace tiempo y que continúa
hoy en día.
Todas las administraciones públicas en España se han enfrentado con el reto del Esquema Nacional
1
de Seguridad . Desde el año 2010, en que se aprobó, comenzó un camino que ha durado 4 años y que ha
finalizado hace pocos meses.
La parte más dura abarca desde el tercer trimestre de 2012, momento en el que se formó el grupo de trabajo que sería el germen del futuro comité de seguridad, hasta inicios de 2014, coincidiendo con la fecha límite
de adecuación al ENS.
Hay que tener en cuenta que la Seguridad Social es una de las administraciones más grandes en España. En ella trabajan unas 30.000 personas distribuidas en todas las provincias del país y a nivel organizativo está constituida por siete organismos con formas de trabajo propias. Los más amplios son la Tesorería
General de la Seguridad Social, el Instituto Nacional de la Seguridad Social, el Instituto Social de la Marina y
la Intervención General de la Seguridad Social.
Así, a comienzos de 2013 se identificaron más de 130 sistemas de información bajo el ENS, es decir,
se identificaron aquellos sistemas que tenían relación con la transmisión de información a ciudadanos a
través de la Sede Electrónica o con transmisiones telemáticas a organismos externos a la Seguridad Social:
todas las comunidades autónomas, la gran mayoría de los ayuntamientos, las empresas de soporte técnico
y otros.
Después se plantearon las tareas a realizar, así como sus entregables, costes e indicadores de seguimiento. Desde el primer momento se contó con la colaboración de las direcciones de todos los organismos de la
Seguridad Social y también con el apoyo del Ministerio de Empleo y Seguridad Social, quien así mismo
canalizaba las directrices procedentes del Ministerio de Hacienda y Administraciones Públicas y del Centro
Criptológico Nacional.
De este modo, durante 2013:





Se implantaron, entre otras medidas, más de 40 normativas de seguridad (normas, procedimientos y guías)
Se mejoraron los controles de acceso generales a las aplicaciones informática
Se actualizó la estrategia de seguridad en el entorno de producción
Se actualizaron los pliegos de los contratos para dar cabida a la certificación de componentes de
seguridad
Se inició un plan de formación y concienciación en materia de seguridad.
Dos aspectos merecen una mención especial. El primero es la revisión de las medidas de seguridad de
unos 60 procedimientos internos en la administración y de operación del entorno de producción en la Gerencia -que han comenzado a cuantificarse con unas 15 métricas, pero que llegarán a más de 40 en 2014-;
también en el desarrollo de programas para toda la seguridad Social y en la seguridad física de las oficinas
y centros de procesos de datos (principal y de respaldo).
El segundo hace referencia a la implantación y publicación de las políticas de uso seguro de los sistemas de información, que abarcan aspectos como el uso de los ordenadores personales y dispositivos portátiles (tablets y teléfonos inteligentes), el uso de internet y del correo electrónico. Estas políticas conllevan la
definición de unos procedimientos de revisión de esos usos y de gestión de evidencias electrónicas en caso
de que un trabajador esté actuando en contra de las políticas establecidas.
1
Recogido en el RD 3 / 2010.
Esquema Nacional de Seguridad en la Gerencia de Informática de la Seguridad Social
Junto a los organismos señalados anteriormente, se encuentra también la Gerencia de Informática de la
Seguridad Social (GISS) que se ocupa de la administración y operación de los sistemas informáticos y que,
por este motivo, ha sido la encargada de impulsar el proyecto de implantación del ENS en la Seguridad Social.
2
1.2. VALORACIÓN ECONÓMICA
El coste del proyecto en el año 2013 ha sido inferior a 200.000€ gracias a que muchas de las tareas requeridas ya se estaban realizando, por ejemplo, los sistemas informáticos se monitorizaban de forma regular y
su capacidad se analizaba periódicamente, además la Gerencia ya tenía establecidos acuerdos de respuesta ante incidentes de seguridad con los organismos encargados de coordinarlas (el Centro de Alerta Temprana del Centro Criptológico Nacional). Este coste se ha derivado principalmente de las tareas de coordinación interna en la Gerencia Informática, así como de las tareas de coordinación con el resto de organismos.
1.3. EQUIPO DE DESARROLLO Y PROVEEDORES
A pesar de la envergadura del proyecto y de que muchos departamentos han colaborado, el equipo de trabajo que ha impulsado este proyecto ha sido muy reducido y ha estado formado por cuatro personas que,
además, no han contado con dedicación exclusiva.
1.4. PLAZOS DE CUMPLIMIENTO
Aunque esto no signifique que todo el trabajo esté hecho. Las líneas de trabajo a seguir se han comenzado en 2014 y fundamentalmente tienen que ver con la concreción de los planes de formación y concienciación en seguridad, el crecimiento de los indicadores de seguridad, la aplicación concreta del ENS en
las oficinas de atención al público o la preparación ante la futura actualización del Esquema mediante la
publicación de un nuevo texto, más restrictivo.
Independientemente de las medidas concretas en el texto del Esquema, no se debe perder la visión final
que se resume en sus principios y se podrían agrupar en cuatro líneas estratégicas:




La agilidad de respuesta ante los problemas de seguridad. Se debe conseguir una respuesta
rápida, adecuada y precisa ante las incidencias de seguridad que surjan en el trabajo diario.
Los objetivos de seguridad deben ser concretos, basados en los riesgos detectados y en la
estrategia de seguridad establecida.
Los procedimientos de trabajo deben estar aprobados, publicados, revisados y cuantificados.
La mejora continua de lo anterior, actuando para ser más eficaces y eficientes.
Por otra parte, en la Sede Electrónica de la Seguridad Social puede verse un estado de conformidad, tal
como lo exigen el Esquema, que se actualiza cada tres meses.
1.5. REPERCUSIÓN PARA EL CIUDADANO Y LAS ADMINISTRACIONES
El objetivo final del ENS es ofrecer condiciones de confianza a los ciudadanos que acceden a los servicios electrónicos y la seguridad de la información es, por ello, una garantía de que esos servicios son
adecuados y fiables para prestar esos servicios.
Todo reto es, a su vez, una oportunidad de mejora. Ahora es el momento de seguir por el camino iniciado
y el tiempo dirá si la Seguridad Social lo ha conseguido.
Esquema Nacional de Seguridad en la Gerencia de Informática de la Seguridad Social
El resultado a inicios de 2014, fecha oficial de la entrada en funcionamiento del ENS, ha sido satisfactorio y
la Seguridad Social era la cuarta administración de la AGE mejor posicionada en el cumplimiento del
Esquema.
3