Objectiu:

Compliment de l’Ajuntament de Llinars del Vallès amb la normativa vigent de seguretat segons l’ENS.

Ajuntament Llinars del Vallès

Adequació al Esquema Nacional de Seguretat (ENS) de l’Ajuntament de Llinars del Vallès

L’Ajuntament de Llinars del Vallès és una entitat pública local que té molt clar que les noves tecnologies són una eina del present, d’eficiència i eficàcia, complementàries als serveis presencials que presta l’administració, per això l’Ajuntament de Llinars ha apostat per les polítiques digitals amb una administració oberta les 24 hores al dia, els 365 dies de l’any. Aquesta aposta ha suposat tenir diversos reconeixements en aquest sentit en els últims anys.

La seva necessitat

L’Ajuntament de Llinars del Vallès volia normalitzar la situació per al compliment de les seves obligacions per establir la política de seguretat en la utilització de mitjans electrònics seguint uns principis bàsics i requisits mínims que permetin una protecció adequada de la informació segons les directrius marcades per l’ENS.

Els ciutadans confien en que els serveis disponibles per mitjans electrònics es prestin en unes condicions de seguretat equivalents a les que es realitzen en persona. Tant la informació com els serveis oferts estan sotmesos a amenaces i riscos provinents d’accions malintencionades o il·lícites, errades o fallides i accidents o desastres. La llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als Serveis Públics, estableix els principis i drets dels ciutadans a comunicar-se amb les Administracions Públiques per mitjans electrònics creant l’Esquema Nacional de Seguretat (ENS).

L’ENS és d’obligat compliment per totes les entitats del sector públic espanyol a nivell estatal, autonòmic i local. Això inclou:

  • Organismes de l’Administració General de l’Estat
  • Entitats gestores i serveis comuns de la Seguretat Social
  • Agències estatals i organismes autònoms
  • Entitats de Dret Públic amb personalitat jurídica pròpia vinculades o dependents de l’Administració General de l’Estat, de les comunitats autònomes i les entitats locals.
  • Universitats públiques i altres organismes públics vinculats a aquestes.
  • Entitats públiques empresarials i altres organismes públics.

També estaran obligats a complir-ho els proveïdors de l’Administració Pública.

Complir amb l’ENS no només és una obligació legal, sinó que també ajuda a preservar la reputació i la confiança de les organitzacions públiques.

La nostra solució

L’any 2010 es va iniciar la relació comercial entre l’Ajuntament de Llinars i NexTReT per definir un pla d’adequació a l’Esquema Nacional de Seguretat. NexTReT proposà les accions, així com una planificació i una valoració dels recursos necessaris per dur-ho a terme.

El servei que es va iniciar en aquell moment i que encara està vigent, consisteix en assessorament i consultoria en relació a l’adequació al ENS, així com, auditories de seguretat externes i internes, revisions de les polítiques de seguretat i normatives existents, reunions de seguiment del Comitè de Seguretat, entre d’altres.

Les diferents fases del projecte d’adequació es van enfrontar en tres nivells:

Marc Organitzatiu:

  • Constitució del comitè de seguretat de la informació
  • Nomenar DPD/DPO – Delegat de Protecció de Dades
  • Entrevistes i auditories amb els diferents departaments o àrees per identificar els actius i valorar les dimensions de seguretat per categoritzar el sistema
  • Definir una Política de Seguretat i una Normativa de Seguretat
  • Desenvolupar el cos normatiu de seguretat en l’operativa (CNSO)
  • Desenvolupar Procediments Operatius de Seguretat (POS)

Marc Operacional

  • Anàlisi de riscos
  • Realització d’auditories de Hacking Ètic
  • Mesures de detecció i prevenció d’intrusions mitjançant el filtre IPS del FW
  • Aplicació de polítiques de seguretat
  • Implementació del doble factor d’autenticació 2FA
  • Mesures de continuïtat de negoci

Mesures de Protecció

  • Formació i Conscienciació Contínua als usuaris.
  • Mesures de protecció – Seguretat perimetral.
  • Monitorització de la xarxa.
  • Traçabilitat navegació per internet.
  • Traçabilitat servidor de fitxers.

L’ENS estableix una sèrie de mesures de seguretat per garantir la protecció de la informació en l’àmbit de l’administració pública a Espanya. Aquestes mesures cobreixen diverses àrees, algunes de les més importants són:

  • Gestió de riscos: L’ENS obliga a fer que les entitats públiques realitzin avaluacions de riscs periòdiques per identificar les amenaces i vulnerabilitats que existeixen i establir mesures per mitigar el risc.
  • Política de seguretat: Les entitats públiques hauran de definir i documentar una política de seguretat de la informació que estableixi uns principis i objectius a seguir en l’organització.
  • Seguretat física: S’hauran d’implementar mesures de seguretat física per protegir els actiusd’informació, com per exemple: sistemes de vigilància, controls d’accés físic a les instal·lacions o protecció contra incendis i desastres naturals.
  • Seguretat dels sistemes d’informació: S’han d’establir requisits per protegir els sistemesd’informació, com per exemple: l’autenticació i autorització d’usuaris, la gestió de contrasenyes, el xifratge de dades, la gestió de “pegats” i actualitzacions i la protecció contra malware i altres ciberatacs.
  • Seguretat en la gestió d’incidències: Hauran de comptar amb procediments i recursos per detectar, gestionar i respondre a incidents de seguretat de la informació de manera efectiva, minimitzant l’impacte i restaurant l’operativitat com més aviat possible.
  • Protecció de dades: S’hauran d’establir mesures per protegir la confidencialitat, integritat i disponibilitat de les dades, incloent-hi les polítiques de classificació i etiquetat de la informació, el control d’accés a les dades, la realització de còpies de seguretat i la gestió de registres.
  • Formació i conscienciació: Hauran de proporcionar formació i conscienciació en seguretat de la informació al personal amb tal de promoure una cultura de seguretat i garantir el compliment d’aquestes polítiques.

Resultat

L’Ajuntament de Llinars ha experimentat una millora molt significativa, tangible, i una evolució amb la implantació dels controls de seguretat realitzats i iniciats a partir de l’any 2010 conjuntament amb NexTReT fins a l’actualitat.

Es pot llegir la Implementació de la Política de Seguretat de la Informació i la Declaració de Conformitat a l’ENS de l’Ajuntament de Llinars del Vallès a la seva web:

“Hem experimentat una millora molt significativa, tangible, i una evolució amb la implantació dels controls de seguretat realitzats”

Albert Pagès