Plan Director de Seguridad en la Administración Local bajo la perspectiva de la Calidad del Dato

Abstract

Trabajo práctico para implantar un Plan Director de Seguridad en una Administración Pública Local española bajo el amparo de estándares como el Esquema Nacional de Seguridad (ENS) e ISO/IEC 27001 pero sin olvidar la calidad del dato ni su interoperabilidad. Se crea una nueva metodología sencilla de aplicación sobre ISO 25012 con el fin de encontrar ese equilibrio que nos permita tener sistemas de información seguros y también útiles. Se aborda una implantación del ENS condicionada por ISO 25012 para posteriormente ir acercándonos a ISO/IEC 27001 y conseguir las ventajas de los tres estándares. Se desarrolla toda la documentación principal necesaria, se realiza un análisis de riesgos con metodología MAGERIT, proponemos proyectos de mejora de la seguridad sobre el sistema de información sustituyendo aquellas partes que no cumplan con los objetivos de calidad del dato y realizamos una auditoría para evaluar el cumplimiento de las normativas. Nuestra aproximación desde el ENS hacia ISO/IEC 27001 nos ha permitido priorizar aquellos proyectos de elevado riesgo contando siempre con la aprobación de la dirección de la administración, hemos conseguido mejorar la seguridad en ambos estándares si bien es cierto que se ha avanzado más en ENS que en ISO/IEC 27001 es debido al tipo de aproximación realizada por tratarse de un ente público. El cribado de proyectos ISO/IEC 25012 nos ha permitido no invertir recursos en la parte del sistema que es mejor sustituir antes que securizar y ha conseguido poner al ciudadano en el centro de la administración electrónica.

Practical work to implement a Security Master Plan in a Spanish Local Public Administration under the protection of standards such as the National Security Scheme (ENS) and ISO/IEC 27001, while considering the quality of the data and its interoperability. A new simple application methodology on ISO 25012 is created to find a balance that allows us to have secure and applicable information systems. An implementation of the ENS conditioned by ISO 25012 is approached to later move closer to ISO/IEC 27001 and obtain the advantages of the three standards. We develop all the necessary main documentation, a risk analysis is carried out using MAGERIT methodology, we propose projects to improve the security of the information system by substituting those parts that do not meet the data quality objectives and we carry out an audit to evaluate the compliance with regulations. Our approach from ENS to ISO/IEC 27001 has allowed us to prioritize those high risk projects, always assuming the approval of the administration's high direction, we have managed to improve security in both standards although more progress has been made in ENS than in ISO/IEC 27001, due to the type of approach made for a public entity. The screening of ISO 25012 projects has enabled us to not invest resources in parts of the system that are better replaced than secured, and has managed to put the citizen at the center of electronic administration.

Treball pràctic per a implantar un Pla Director de Seguretat en una Administració Pública Local espanyola sota l'empara d'estàndards com l'Esquema Nacional de Seguretat (ENS) i ISO/IEC 27001 però sense oblidar la qualitat de la dada ni la seva interoperabilitat. Es crea una nova metodologia senzilla d'aplicació sobre ISO 25012 amb la finalitat de trobar aquest equilibri que ens permeti tenir sistemes d'informació segurs i també útils. S'aborda una implantació del ENS condicionada per ISO 25012 per a posteriorment anar acostant-nos a ISO/IEC 27001 i aconseguir els avantatges dels tres estàndards. Es desenvolupa tota la documentació principal necessària, es realitza una anàlisi de riscos amb metodologia MAGERIT, proposem projectes de millora de la seguretat sobre el sistema d'informació substituint aquelles parts que no compleixin amb els objectius de qualitat de la dada i realitzem una auditoria per a avaluar el compliment de les normatives. La nostra aproximació des del ENS cap a ISO/IEC 27001 ens ha permès prioritzar aquells projectes d'elevat risc comptant sempre amb l'aprovació de la direcció de l'administració, hem aconseguit millorar la seguretat en tots dos estàndards si bé és cert que s'ha avançat més en ENS que en ISO/IEC 27001 és degut a la mena d'aproximació realitzada per tractar-se d'un ens públic. El garbellat de projectes ISO/IEC 25012 ens ha permès no invertir recursos en la part del sistema que és millor substituir abans que securitzar i ha aconseguit posar al ciutadà en el centre de l'administració electrònica.