Objetivo:

Cumplimiento del Ayuntamiento de Llinars del Vallès con la normativa vigente de seguridad según el ENS.

Ayuntamiento Llinars del Vallès

Adecuación al Esquema Nacional de Seguridad (ENS) del Ayuntamiento de Llinars del Vallès

El Ayuntamiento de Llinars del Vallès es una entidad pública local que tiene muy claro que las nuevas tecnologías son una herramienta del presente, de eficiencia y eficacia, complementarias a los servicios presenciales que presta la administración, por eso el Ayuntamiento de Llinars ha apostado por las políticas digitales con una administración abierta las 24 horas al el día, los 365 días del año. Esta apuesta ha supuesto tener varios reconocimientos en este sentido en los últimos años.

Su necesidad

El Ayuntamiento de Llinars del Vallès quería normalizar la situación para el cumplimiento de sus obligaciones para establecer la política de seguridad en la utilización de medios electrónicos siguiendo unos principios básicos y requisitos mínimos que permitan una protección adecuada de la información según las directrices marcadas por el ENS.

Los ciudadanos confían en que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se realizan en persona. Tanto la información como los servicios ofrecidos están sometidos a amenazas y riesgos provenientes de acciones malintencionadas o ilícitas, errores o quiebras y accidentes o desastres. La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece los principios y derechos de los ciudadanos a comunicarse con las Administraciones Públicas por medios electrónicos creando el Esquema Nacional de Seguridad (ENS).

El ENS es de obligado cumplimiento por todas las entidades del sector público español a nivel estatal, autonómico y local. Esto incluye:

  • Organismos de la Administración General del Estado
  • Entidades gestoras y servicios comunes de la Seguridad Social
  • Agencias estatales y organismos autónomos
  • Entidades de Derecho Público con personalidad jurídica propia vinculadas o dependientes de la Administración General del Estado, de las comunidades autónomas y las entidades locales.
  • Universidades públicas y otros organismos públicos vinculados a estas.
  • Entidades públicas empresariales y otros organismos públicos.

También estarán obligados a cumplirlo los proveedores de la Administración Pública.

Cumplir con el ENS no solo es una obligación legal, sino que también ayuda a preservar la reputación y la confianza de las organizaciones públicas.

Nuestra solución

El año 2010 se inició la relación comercial entre el Ayuntamiento de Llinars y NexTReT para definir un plan de adecuación al Esquema Nacional de Seguridad. NexTReT propuso las acciones, así como una planificación y una valoración de los recursos necesarios para llevarlo a cabo.

El servicio que se inició en aquel momento y que todavía está vigente, consiste en asesoramiento y consultoría en relación a la adecuación al ENS, así como, auditorías de seguridad externas e internas, revisiones de las políticas de seguridad y normativas existentes, reuniones de seguimiento del Comité de Seguridad, entre otros.

Las diferentes fases del proyecto de adecuación se enfrentaron en tres niveles:

Marco Organizativo

  • Constitución del comité de seguridad de la información
  • Nombrar DPD/DPO – Delegado de Protección de Datos
  • Entrevistas y auditorías con los diferentes departamentos o áreas para identificar los activos y valorar las dimensiones de seguridad para categorizar el sistema
  • Definir una Política de Seguridad y una Normativa de Seguridad
  • Desarrollar el cuerpo normativo de seguridad en la operativa (CNSO)
  • Desarrollar Procedimientos Operativos de Seguridad (POS)

Marco Operacional

  • Análisis de riesgos
  • Realización de auditorías de Hacking Ético
  • Medidas de detección y prevención de intrusiones mediante el filtro IPS del FW
  • Aplicación de políticas de seguridad
  • Implementación del doble factor de autenticación 2FA
  • Medidas de continuidad de negocio

Medidas de Protección

  • Formación y Concienciación Continua a los usuarios
  • Medidas de protección – Seguridad perimetral
  • Monitorización de la red
  • Trazabilidad navegación por internet
  • Trazabilidad servidor de ficheros

El ENS establece una serie de medidas de seguridad para garantizar la protección de la información en el ámbito de la administración pública en España. Estas medidas cubren varias áreas, algunas de las más importantes son:

  • Gestión de riesgos: El ENS obliga a hacer que las entidades públicas realicen evaluaciones de riesgos periódicas para identificar las amenazas y vulnerabilidades que existen y establecer medidas para mitigar el riesgo.
  • Política de seguridad: Las entidades públicas tendrán que definir y documentar una política de seguridad de la información que establezca unos principios y objetivos a seguir en la organización.
  • Seguridad física: Se tendrán que implementar medidas de seguridad física para proteger los activos de información, como por ejemplo: sistemas de vigilancia, controles de acceso físico a las instalaciones o protección contraincendios y desastres naturales.
  • Seguridad de los sistemas de información: Se tienen que establecer requisitos para proteger los sistemas de información, como por ejemplo: la autenticación y autorización de usuarios, la gestión de contraseñas, el cifrado de datos, la gestión de “parches” y actualizaciones y la protección contra malware y otros ciberataques.
  • Seguridad en la gestión de incidencias: Tendrán que contar con procedimientos y recursos para detectar, gestionar y responder a incidentes de seguridad de la información de manera efectiva, minimizando el impacto y restaurando la operatividad cuanto antes sea posible.
  • Protección de datos: Se tendrán que establecer medidas para proteger la confidencialidad, integridad y disponibilidad de los datos, incluyendo las políticas de clasificación y etiquetado de la información, el control de acceso a los datos, la realización de copias de seguridad y la gestión de registros.
  • Formación y concienciación: Tendrán que proporcionar formación y concienciación en seguridad de la información al personal con tal de promover una cultura de seguridad y garantizar el cumplimiento de estas políticas.

Resultado

El Ayuntamiento de Llinars ha experimentado una mejora muy significativa, tangible, y una evolución con la implantación de los controles de seguridad realizados e iniciados a partir del año 2010 conjuntamente con NexTReT hasta la actualidad.

Se puede leer la Implementación de la Política de Seguridad de la Información y la Declaración de Conformidad al ENS del Ayuntamiento de Llinars del Vallès a su web:

“Hemos experimentado una mejora muy significativa, tangible, y una evolución con la implantación de los controles de seguridad realizados”

Albert Pagès