El blog de Carlos Díaz-Pache » Esquema Nacional de Seguridad

Entradas etiquetadas: Esquema Nacional de Seguridad

Aprobados los Esquemas Nacionales de Seguridad e Interoperabilidad

El Esquema Nacional de Seguridad define parámetros de seguridad a las AAPP

El Esquema Nacional de Seguridad define parámetros de seguridad a las AAPP

El inicio del nuevo año nos ha traído las esperadas normas que regulan los Esquemas Nacionales de Seguridad e Interoperabilidad. Estos Reales Decretos constituyen un paso muy importante en el desarrollo de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos de 2007 (Ley 11/2007 o LAECSP).

Según se indica en la web de la Moncloa, «Estos Esquemas establecen los requisitos mínimos que cada Administración deberá aplicar para poder ofrecer al ciudadano un servicio unificado. Es decir, un ciudadano podrá realizar su gestión sin necesidad de conocer la administración competente.»

El Esquema Nacional de Interoperabilidad tiene como misión establecer «las condiciones necesarias para asegurar un adecuado nivel de interacción tecnológica entre administraciones». Para ello, establece una serie de criterios y recomendaciones tecnológicas a las distintas Administraciones Públicas.

Por su parte, el Esquema Nacional de Seguridad «supone los principios básicos y requisitos mínimos que permiten una protección adecuada de la información a través de medidas para garantizar la seguridad de los sistemas, de los datos, de las comunicaciones y de los servicios electrónicos». Este esquema define, entre otras cosas, la metodología para afrontar la respuesta a incidentes que afecten a la seguridad así como la política de seguridad en la utilización de medios electrónicos.

Por otra parte, he leído en Unblogenred que se ha firmado un acuerdo para promover el uso del software libre en las Administraciones Locales. Es una buena noticia que busca «poder trasladar a las administraciones locales los beneficios que el uso de tecnologías libres y de fuentes abiertas les pueden aportar en lo referente a la liberación de aplicaciones, el uso y la compartición de las mismas”, en palabras de Miguel Jaque, Director Gerente de CENATIC.

Publicado el R.D. que desarrolla la ley 11/2007

Boletín Oficial del Estado

Boletín Oficial del Estado

Este miércoles se publicó en el BOE, y por tanto ayer entró en vigor, el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

Esta norma, largamente esperada, llega tan solo un mes antes de que finalice el plazo de la Administración General del Estado para haber puesto todos sus trámites administrativos a disposición de los ciudadanos a través de Internet.

El mes pasado, el Consejo de Estado emitió un dictamen en el que expresaba que:

El proyecto de Real Decreto es adecuado a la consecución de su objetivo y merece una valoración global positiva al hacer posible el uso de las nuevas tecnologías en las relaciones entre la Administración y los ciudadanos, facilitando el ejercicio de sus derechos y favoreciendo la modernización, transparencia y rapidez en la actuación administrativa.

Este R.D. merece un estudio detallado pero leemos ya en su preámbulo que la norma pretende ser «ese complemento necesario en la Administración General del Estado para facilitar la efectiva realización de los derechos reconocidos en la Ley 11/2007». Además, considera como principios estratégicos:

  • Procurar la más plena realización de los derechos reconocidos en la Ley 11/2007
  • Establecer un marco flexible en la implantación de los medios de comunicación (para evitar imposiciones de comunicacióna los ciudadanos, facilitar la actividad de implantación y adaptación a las distintas organizaciones, funciones y procedimientos e impedir que se dificulte la incorporación de nuevas soluciones y servicios)

El propio Real Decreto reconoce, de todas maneras, que en este puzle normativo faltan todavía dos piezas fundamentales:

  • Esquema Nacional de Interoperabilidad, encargado de establecer los criterios comunes de gestión de la información que permitan compartir soluciones e información
  • Esquema Nacional de Seguridad, que deberá establecer los criterios y niveles de seguridad necesarios para los procesos de tratamiento de la información que prevé el propio real decreto.

A lo largo de todo el texto son numerosas las referencias a estos dos esquemas a los que ya nos hemos referido en alguna ocasión y que vendrán a completar el conjunto normativo planteado para regular la administración electrónica en España.

La norma se desarrolla en seis títulos:

  • TÍTULO I: Disposiciones generales
  • TÍTULO II: Sedes electrónicas y punto de acceso general a la Administración General del Estado
  • TÍTULO III: Identificación y autenticación
  • TÍTULO IV: Registros electrónicos
  • TÍTULO V: De las comunicaciones y las notificaciones
  • TÍTULO VI: Los documentos electrónicos y sus copias

Merecen mención aparte los plazos marcados por el R.D. en sus disposiciones finales, que cuentan a partir de ayer y que repasamos a continuación:

  • 3 meses (19 de febrero de 2010): el Ministro de la Presidencia dictará las disposiciones necesarias para la constitución del punto de acceso general de la Administración General del Estado.
  • 4 meses (19 de marzo de 2010): Adaptación de los puntos de acceso electrónico pertenecientes a la AGE o sus organismos púlicos dependientes o vinculados.
  • 6 meses (19 de mayo de 2010): Ajuste a lo dispuesto en el R.D. de los registros telemáticos existentes a la entrada en vigor de la Ley 11/2007 afectados por el apartado 2 de la disposición transitoria única de la citada ley.

Esta norma es de obligado estudio para quienes trabajamos en las áreas tecnológicas y de procedimientos dentro de las Administraciones Públicas, y más si cabe, para quienes lo hacemos en la Administración General del Estado, ya que el texto, en este caso, no aplica a las administraciones regionales o locales.

Esquema Nacional de Seguridad

Leyendo sobre seguridad en la administración pública he dado con una entrada en el blog de Javier Cao, donde hace referencia a la publicación del borrador del Real Decreto sobre el Esquema Nacional de Seguridad (PDF).

Seguridad

Seguridad

La famosa ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42, crea el Esquema Nacional de Seguridad (ENS) y señala que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos. Sin embargo, no es hasta el pasado mes de julio cuando aparece publicado el primer borrador del proyecto de Real Decreto que lo regula. Según este borrador, la finalidad del Esquema Nacional de Seguridad es «el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información«.

No es un secreto que el marco normativo que regula la administración electrónica en España se desarrolla con una llamativa lentitud, habida cuenta de que la propia ley 11/2007 establece plazos muy claros para su cumplimiento (31 de diciembre de este mismo año 2009 para la AGE). En ese sentido, Bartolomé Borrego recuerda las normas pendientes, que no son pocas.

El ENS pretende asegurar una serie de cuestiones que vienen recogidas en el documento, y que constituyen las palabras clave en cualquier proyecto de seguridad:

  • Acceso
  • Integridad
  • Disponibilidad
  • Autenticidad
  • Confidencialidad
  • Trazabilidad
  • Conservación de datos, informaciones y servicios.

Esta norma obliga a las administraciones a disponer de una política formal de seguridad, que debe incluír, entre otros, los siguientes puntos:

  • Formar e informar de sus obligaciones a todo el personal relacionado con los sistemas de información
  • Proteger el aceso al sistema de información
  • Proteger las instalaciones
  • Registrar la actividad de los usuarios
  • Disponer de un sistema de detección y reacción ante incidentes de seguridad
  • Ajustar los mecanismos de firma electrónica a lo establecido en el ENS
  • Ajustar las notificaciones y resoluciones para asegurar la autenticidad del organismo, la integridad y la autenticidad del destinatario.
  • Pasar una auditoría periódica que garantice el ajuste de los sistemas al ENS

No deja de ser sorprendente que estas normas se encuentren todavía en fase de proyecto cuando a finales de este mismo año la Administración General del Estado ha tenido que cumplir con lo establecido en la ley. Sabiendo además que el tiempo de reacción de las administraciones públicas para acometer una reforma es necesariamente mayor que el de los organismos privados (concursos, publicidad, licitaciones, adjudicaciones, etc.), hace tiempo que el marco legal debía haber quedado establecido.

De momento, y hasta que los proyectos se confirmen, habrá que orientar a las administraciones en el sentido de los borradores, para intentar no implementar ningún sistema que en unos meses no cumpla con lo establecido en la ley, con el consiguiente gasto extraordinario que supondrá su adaptación.

Y es que la hucha de la administración y el bolsillo del ciudadano no están ahora mismo para gastos evitables.

Panorama Theme by Themocracy