ISO 27002/ 2007 en el CSIC: certificación de

la calidad en los servicios electrónicos

Proyecto Curso de Consultoría del Sector Público

Elena Casarrubios Blanco

1

Contenido

1. Introducción ......................................................................................................................................... 2

2. El CSIC y la implantación de la Administración Electrónica ...................................................... 4

3. Descripción y alcance del Proyecto .............................................................................................. 5

4. Plan de Acción del Proyecto ......................................................................................................... 10

5. Costes del proyecto ......................................................................................................................... 11

6. Riesgos y vulnerabilidades de la Seguridad de la Información en el CSIC .......................... 12

8. RRHH asignados ................................................................................................................................ 14

9. Comunicación de los resultados ................................................................................................... 14

10. Documentación de los trabajos entregables ........................................................................... 15

11. Adquisiciones ................................................................................................................................... 16

11. Bibliografía ........................................................................................................................................ 16

12. Legislación ........................................................................................................................................ 17

2

1. Introducción

Hasta el momento, la estrategia de implantación de la calidad que han seguido

las Administraciones Públicas ha tenido como referencia principalmente la certificación

de la prestación de servicios de atención al ciudadano y la protección legal de sus datos.

Sin embargo, la evolución de la Administración Electrónica está haciendo que las normas

técnicas se encuentren también al amparo de las fórmulas de certificación de calidad, ya

que las normas administrativas han de contemplar tanto la garantía de calidad tanto

desde la óptica del procedimiento administrativo, como desde la del punto de vista del

medio tecnológico sobre el que se realiza.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los

Servicios Públicos (Ley de Administración Electrónica) puso fecha a la convergencia de

medios tradicionales y medios electrónicos en el tratamiento del acto administrativo.

En materia tecnológica, el vacío existente entre la emisión de esta Ley y la

actualidad se ha ido llenando con la práctica de dos tipos de normas. Por un lado se

distinguen las que se enmarcan en el contexto del plan Moderniza y el Plan de Medidas

de promoción de la transparencia y la participación en la Administración General del

Estado (Programa del Observatorio de la Calidad de los Servicios Públicos y Agencia

Estatal de Evaluación de las Políticas Públicas y de la Calidad de los Servicios), y por otro

las normas técnicas emitidas por las entidades de certificación (ITIL, COBIT, ISO 20000, ISO

27000…).

La consideración del factor tecnológico en las primeras alcanza en mayor

medida el aspecto de control y auditoría. Se distinguen el cuestionario de la „Guía de

Autoevaluación de la Administración Pública‟, que intenta responder a la adaptación del

modelo EFQM para su utilización por todas las unidades administrativas, y las „Cartas de

Servicios Electrónicos‟.

Estos últimos son documentos que pretenden informar a los ciudadanos acerca

de los servicios de carácter electrónico que se encuentran a su disposición. Contienen los

compromisos de calidad asumidos por los departamentos y los organismos públicos (Real

Decreto 951/2005, de 29 de julio, capítulo 3, art. 13, por el que se establece el marco

general para la mejora de la calidad en la Administración General del Estado), que

ofertan los servicios electrónicos.

El problema que plantean estas Cartas de Servicios Electrónicos es que son un

breve catálogo de los servicios informáticos que se prestan. Teniendo en cuenta que la

extensión de estos documentos (contienen el enunciado de los servicios, las

especificaciones de uso, y los compromisos de calidad que el organismo público

3

adquiere) es de no más de dos páginas, es difícil que un ciudadano que las lea interprete

que existe una voluntad por proteger las comunicaciones con esta unidad organizativa a

partir de medios como la firma electrónica, o que esta unidad dispone de un sistema de

salvaguardas para unidades de almacenamiento, de forma que la información

confidencial alojada en ellos no termine circulando por Internet como ha sucedido en

algún país.

La casuística de estos servicios electrónicos es diversa. En el documento „Guía

para el desarrollo de Cartas de Servicios1 se especifican las normas que deben tenerse en

consideración para definir una Carta de Servicios Electrónicos. En los apartados

correspondientes (relación de servicios prestados, compromisos concretos en la

prestación, indicadores para el seguimiento, medidas de subsanación…) se debería

incluir la vinculación con la familia de las normas técnicas ITIL/ COBIT/ ISO que amparan la

tecnología, los sistemas de información, la seguridad informática y los servicios de

atención a usuarios.

La Ley de Contratos de la Administración del Estado (Disposición adicional

decimonovena. Uso de medios electrónicos, informáticos y telemáticos en los

procedimientos regulados en la Ley) dice que “…Los sistemas de comunicaciones y para

el intercambio y almacenamiento de información deberán poder garantizar de forma

razonable, según el estado de la técnica, la integridad de los datos transmitidos y que sólo

los órganos competentes, en la fecha señalada para ello, puedan tener acceso a los

mismos, o que en caso de quebrantamiento de esta prohibición de acceso, la violación

pueda detectarse con claridad. Estos sistemas deberán asimismo ofrecer suficiente

seguridad, de acuerdo con el estado de la técnica, frente a los virus informáticos y otro

tipo de programas o códigos nocivos, pudiendo establecerse reglamentariamente otras

medidas que, respetando los principios de confidencialidad e integridad de las ofertas e

igualdad entre los licitadores, se dirijan a minimizar su incidencia en los procedimientos”.

Respecto a las normas técnicas emitidas por las entidades de certificación (ITIL,

COBIT, ISO 20000, ISO 27000…), ofrecen diferentes marcos de gestión de la información en

infraestructuras, seguridad, procesos y procedimientos… Su consideración es importante

ya que a través de estos certificados se pueden vincular los servicios ofrecidos por

empresas privadas en servicios especializados como el alojamiento de la información (que

efectivamente tiene que garantizar un servicio durante 24 horas 7 días a la semana y

1 Guía para el desarrollo de Cartas de Servicios. Ministerio de Administraciones Públicas. Madrid, 2006.

4

tender a minimizar las incidencias producidas), la protección física de los datos y el control

del nivel de acceso por personal previamente autorizado, la aplicación de las medidas de

salvaguarda de los recursos de los proyectos, el establecimiento de políticas de backup

de la información, o la elaboración de un plan de contingencia para prever la

disponibilidad de los servicios en caso de fallos de disponibilidad.

El capítulo V, artículo 20 del Real Decreto 951/2005, que regula el “Programa de

Evaluación de la Calidad de las Organizaciones” especifica que “…El Ministerio de

Administraciones Públicas determinará los modelos de gestión de calidad reconocidos

conforme a los que se realizará la evaluación de los órganos u organismos de la

Administración General del Estado, sin perjuicio de otros modelos que ya se vengan

aplicando o puedan aplicarse en distintos departamentos ministeriales. La evaluación se

articulará en dos niveles: autoevaluación y evaluación externa”.

En éstas se encuentran organismos como la Agencia Estatal del CSIC, que incluye

entre las normas que amparan los servicios electrónicos que ofrece la adecuación a la

ISO 27000 en seguridad de la información, a COBIT en cuanto a infraestructuras, e ITIL y

COBIT en cuanto a servicios.

El objetivo de este proyecto de consultoría es fijar las bases para asociar los

estándares técnicos de calidad de estas certificaciones al conjunto de normas

procedimentales con las que trabaja la Administración General en este momento,

principalmente la „Carta de Servicios Electrónicos‟.

2. El CSIC y la implantación de la Administración Electrónica

El CSIC es el mayor Organismo Público de investigación en España. Está constituido

por una sede central (donde se definen y coordinan las líneas estratégicas y la gestión

económica y administrativa) y por 126 centros de investigación. Su presupuesto supera los

quinientos millones de euros anuales y su plantilla supera las 12000 personas, entre personal

administrativo, científico e investigador.

En 2007 (RD 1730/2007, de 21 de diciembre) ha pasado a ser Agencia Pública, y se

dedica principalmente a difundir las publicaciones y a las patentes de los resultados de

sus investigaciones, es decir, a la transferencia del conocimiento que realizan sus

organismos. Es el organismo responsable del 50% de las publicaciones científicas

internacionales españolas, del 50% de las del sector público español, de la aportación del

30% de las patentes europeas de este sector.

La Agencia Estatal del CSIC ha acometido a partir de 2005 una importante tarea

transformarse y modernizarse de poner en orden sus infraestructura tecnológica y de

seguridad de la información con el objetivo de implantar con las máximas garantías la

5

Administración Electrónica. Uno de los instrumentos para acometer este proceso es el Plan

de Sistemas, en un plazo de tres años (junio 2005 a mayo 2008).

Por otro lado se ha planteado un Plan Director de Seguridad de la Información,

que ha sido presentado en la primera mitad del 2010.

Estos dos documentos son los ejes principales para la obtención de dos

certificaciones que, de incluirse en la Carta de Servicios Electrónicos del CSIC pueden

sentar un precedente importante en cuanto a la forma de gestionar el factor tecnológico

en cualquier organismo público.

El entorno tecnológico con el que trabaja la Agencia del CSIC –el back- end del

cliente- se caracteriza por su elevado grado de complejidad, y por una decidida apuesta

por el Software de Fuentes Abiertas. En cuanto a la primera característica, la complejidad

incluye la dispersión geográfica de los centros de investigación, la variedad de

herramientas que cada uno de estos centros ha venido utilizando, y la existencia de

diferentes formas de soporte a los usuarios.

Para paliar estos problemas se ha hecho hincapié en la mejora de infraestructura

de Comunicaciones (que se encuentra avalada por el Plan Director de Seguridad de la

Información), la certificación del Framework de desarrollo del CSIC, la creación de la

Oficina Técnica de Proyectos y Consultoría del Plan, y la reestructuración del Centro

Técnico de Informática.

3. Descripción y alcance del Proyecto

El objetivo del proyecto es certificar el conjunto de medios tecnológicos con los

que el CSIC presta sus servicios electrónicos, para su posterior consideración en la Carta

de Servicios Electrónicos a efectos de garantía de calidad.

Estos servicios electrónicos son:

Tipo de registro Nombre procedimiento Dedicado a….

Registro

Electrónico:

Procedimiento

Genérico

Registro Genérico dirigido a la

Agencia Estatal del CSIC (con

DNIe/certificado)

Registro de propósito general dirigido

al Consejo Superior de

Investigaciones Científicas.

Registro Electrónico Común del

060 (con DNIe/certificado)

Registro

Electrónico:

Procedimientos

E·specíficos

Reclamaciones previas (con

DNIe/certificado)

Reclamaciones previas que el

ciudadano puede interponer a través

del Registro Electrónico del Consejo

Superior de Investigaciones

Científicas.

Recursos Administrativos (con

DNIe/certificado)

Recursos administrativos que el

ciudadano puede interponer a través

del Registro Electrónico del Consejo

Superior de Investigaciones

6

Científicas.

Finalización de la prolongación

de la permanencia en el servicio

activo (con DNIe/certificado)

Presentación de solicitudes para la

finalización de la prolongación de la

permanencia en el servicio activo.

La recopilación de la información relativa al análisis de la situación de las TIC en el

CSIC se ha venido realizando desde que el Plan de Sistemas fuera aprobado en 2006. Esta

información se encuentra recogida y actualizada en los siguientes documentos:

•Red de accesos acentros

•Mejora de infraestructura de comunicaciones

•Red Wi-fi

•Gestor de servicios DNS, DHCP y NTP

•Infraetructura ToIP

•Equipamiento

•Licencias corporativas SW

•Correo Electrónico

Infraestructuras TIC (Plan Director de Seguridad de la

Informacion Plan de Sistemas)

•Sistemas de Gestión Económica

•Sistemas de Inventario

•Sistemas de Recursos Humanos:

•Bolsa trabajo

•Sistema de formalización de contratos de obra y servicio

•Cuota patronal

•Gestión de vacaciones

•Sistema integrado de gestión de la productividad

•Sistema definición de puestos de trabajo

Sistemas de Infomación (Framework de Desarrollo del

CSIC)

•Plan de Sistemas de Actividad Científica

•Convocatorias vigentes…

•Ayudas de Movilidad

•Formación Personal Investigador: becas

•Imputación de horas

Sistemas de actividad científica (Plan Director de Seguridad de la Informacion Plan de Sistemas)

•Web del CSIC

•Intranet del CSIC

•Cálculo científico

•Acceso a clusters TRUENO, HADES, IMAFF y CFMAC.

Otras aplicaciones (Framework de Desarrollo del CSIC)

•Secretaría General Adjunta de Informática

Servicios de Atención a usuarios (Otros estándares previos a la

certificación: ITIL, ISO 20000...)

7

De todos ellos, el más importante es el Plan Director de Seguridad de la

Información.

Existen diferentes motivos por los que se ha escogido el esquema de certificación

ISO 27000. En primer lugar, en el Plan Director de Seguridad de la Información ya se tuvo

esta norma en consideración. Cuando se redactó el Pliego de Condiciones de realización

del Plan Director todavía no existía el Esquema Nacional de Seguridad2, y se hizo especial

hincapié en las herramientas Magerit v2 (métrica de las AAPP que incluye ) y PILAR

(acrónimo…) como propias de las AAPP.

En segundo lugar, la ISO 20000 (y por extensión la norma ITIL, que es la base de la

ISO 20000), está orientada exclusivamente a Gestionar Servicios. En este caso, los

„procesos de negocio‟ de un organismo público ya están representados en la Carta de

Servicios del organismo correspondiente.

Por otro lado, si lo importante es la relación con la seguridad (datos sensibles,

financieros, policiales, I+D, estratégicos, etc.), y no la certificación de los parámetros con

los que se establecen relaciones con los proveedores, la mejor opción es la ISO 27002.

La norma ISO 27000 tiene en común con la ISO 20000 el planteamiento del

esquema PDCA:

Ilustración 1 - Modelo PDCA aplicado a los procesos del Sistema de Gestión de Seguridad de Información SGSI.

(Fuente “Implantación de la ISO 27001: 2005, Sistema de Gestión de Seguridad de Información. Alberto G.

Alexander, www.docstoc.com)

La forma en que estos documentos fueron elaborados ya contó en su momento

con un procedimiento de análisis consensuado entre empleados públicos, participantes

2 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y en el Real

Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad.

8

en el proyecto a nivel interno, y consultores. En este procedimiento se tuvieron en cuenta

los siguientes hitos:

1. Auditoría estado de seguridad en Secretaría General Adjunta del CSIC (organismo

encargado de la gestión de las TIC en el CSIC)

En ella se realizaron las siguientes tareas:

Recopilación de la documentación existente

Recopilación de los usuarios finales y los responsables de unidades

Revisión de plataformas tanto a nivel hardware como software

Revisión de la estructura de comunicaciones

Revisión de la política de seguridad previa

Identificación y valoración de activos. Se realizaron las siguientes tareas:

o Análisis de la documentación existente.

o Propuesta de reuniones con usuarios finales y/ o responsables de las

unidades.

o Análisis de las plataformas (niveles Hw y Sw)

o Análisis de la estructura de comunicaciones

o Análisis de la política de seguridad y modelo organizativo de la seguridad

informática.

o Análisis de la adecuación y cumplimiento en materia legislativa

relacionada con la seguridad y la protección de datos.

identificación y descripción de amenazas

Identificación y evaluación de vulnerabilidades. Se realizaron las siguientes tareas:

o Escaneo de puertos y vulnerabilidades (ya sea en forma automática y/ o

manual)

o Descubrimiento de protocolos, servicios y servidores

o Pruebas de filtrado de acceso, tanto en la red interna como externa

o Estado de credenciales, permisos y escalado de privilegios

o Acceso a ficheros y bases de datos

o Comprobación de niveles de acceso físico.

o Comprobación de backups y su funcionamiento.

o Estado de redes Wi-fi y VoIp

Identificación y valoración de impactos

Identificación de salvaguardas (establecidas, planificadas y nuevas)

Evaluación del riesgo

Nivel cumplimiento de la Iso 27002: 2007.

9

2. Proceso consultivo de necesidades de los centros si trascienden servicios prestados por

la SGAI

Se realizaron entrevistas en seis centros de diferentes tipos: propios, mixtos, centros

con ubicaciones especiales, y centros con ubicaciones críticas o con problemas.

3. Elaboración de plan de Acción orientado a detectar los riesgos detectados

A un plazo de dos años, se identificaron riesgos a corto, medio y largo plazo.

4. Desarrollo de política de seguridad y definición del Plan de Acción

La política de Seguridad contemplaba el marco de actuación del Plan de Acción.

En este marco se analizaba la desviación en el cumplimiento de la norma ISO 27002,

estableciendo el nivel de madurez como „definido‟ (categorías inexistente/ inicial/

gestionado/ definido/ cuantitativamente gestionado/ optimizado…).

Por otro lado, se pretendía que la organización en su conjunto participase del

proceso ya que se había desarrollado un módulo específico de concienciación de

usuarios sobre la seguridad de la información, de forma que los procedimientos fueron

implantados, documentados y comunicados mediante formación.

Por último, se instaba al desarrollo de una serie de proyectos que

complementarían este Plan de Acción: gestión de identidades, usuarios y permisos, el

NAC (securización de acceso a redes de comunicaciones) y cortafuegos de

aplicaciones, y la adaptación al ENS (Esquema Nacional de Seguridad).

Este último es el marco normativo en materia de seguridad de las Tecnologías de

la Información que, al amparo del RD 3/2010, de 8 de enero, crea las condiciones

necesarias de confianza en el uso de los medios electrónicos, a través de medidas para

garantizar la seguridad, de forma que se permita a los ciudadanos y a las

Administraciones públicas ejercer el ejercicio de derechos y el cumplimiento de deberes a

través de estos medios.

Una de sus principales características es que aporta un lenguaje común para

facilitar la interacción de las Administraciones públicas, así como la comunicación de los

requisitos de seguridad de la información a la industria.

El ENS establece que todos los órganos superiores de las AA.PP. deberán disponer

de su política de seguridad en base a los principios básicos y aplicando los requisitos

mínimos para una protección adecuada de la información.

En este sentido, para hacer que un SGSI esté adaptado al ENS no es necesario que

disponga de la certificación ISO 27001 o ISO 27002, pero sí está especialmente indicado

en los sistemas de nivel alto (satisfacción de principios de seguridad integral, gestión de

10

riesgos, reevaluación periódica y mejora continua del proceso de seguridad) y en sistemas

de información orientados inicialmente a comercio electrónico.

El proceso realizado para implantar el PDSI, en comparación con el proceso de

implantación de una norma de calidad es el que refleja la Tabla 1:

PDSI- CSIC ENS

Política de seguridad de la

información

1 Organización e implantación del proceso

de seguridad

Organización de seguridad de la

información

2 Análisis y gestión de riesgos

Gestión de activos 3 Gestión de personal

Seguridad relacionada con los RRHH 4 Profesionalidad

Seguridad física y del entorno 5 Autorización y control de los accesos

Gestión de comunicaciones y

operaciones

6 Protección de las instalaciones

Control de acceso 7 Adquisición de productos

Adquisición, desarrollo y

mantenimiento de los sistemas de

información

8 Seguridad por defecto

Gestión de incidentes de seguridad

de la información

9 Integridad y actualización del sistema

Gestión de la continuidad de negocio 10 Protección de la información

almacenada y en tránsito

Cumplimiento 11 Prevención ante otros sistemas de

información interconectados

12 Registro de actividad

13 Incidentes de seguridad

14 Continuidad de la actividad

15 Mejora continua del proceso de

seguridad

Tabla 1 - Comparación proceso PDSI/ CSIC y ENS. (Fuente: Dolores de la Guía Martínez, 2010)

4. Plan de Acción del Proyecto

En cualquier proyecto de consultoría cuyo propósito sea la obtención de una

certificación, los pasos a seguir son:

1. Definir Alcance

2. Definir Visión y Objetivos

3. Elegir esquema de certificación

4. Elegir entidad certificadora

5. Definir Auditor/ validar alcance

6. Definir formación personal implicado

7. Realizar evaluación inicial del SGSTI

8. Dar evidencias de Políticas/ procesos/ procedimientos

9. Crear un Plan de Mejora de Servicio/ Implementar mejora continua

11

10. Re- evaluación/ Manejo de las observaciones

11. Auditoría de certificación

12. Mantener la certificación/ métricas

En este proyecto, teniendo en cuenta que los pasos 1 a 8 ya se han realizado, el

esquema contempla las fases del siguiente cronograma:

5. Costes del proyecto

BSK Nombre Inicio Fin Tiem

po

Coste

1 Presentación proyecto y personal involucrado Sep 20 Sep 20

2 Jornada presentación proyecto Sep 20 Sep 20 4h 6,732

3 Recopilación información y documentación Sep 20 Sep 29 5d

3.1 Recopilación información SGSTI del Plan Director de

Seguridad Informática (análisis situación actual,

reflejada en el PDSI, riesgos, vulnerabilidades...)

Sep 20 Sep 24 2d 10,400

3.2 Elaboración documentación ISO 27002 Sep 24 Sep 29 2d 13,728

3.3 Revisión documentación ISO 27002 Sep 29 Sep 29 1d 20,000

12

4 Plan de Mejora de Servicio Sep 30 Oct 11 9d

4.1 Creación de un Plan de Mejora de Servicio Sep 30 Oct 4 3d 31,200

4.2 Presentación Plan de Mejora de Servicio Oct 4 Oct 5 4h 10,000

4.3 Implementación Plan de Mejora de Servicio Oct 5 Oct 8 4d 41,600

4.4 Evaluación Implementación Plan de Mejora de

Servicio

Oct 8 Oct 11 1d 10,400

4.5 Revisión Evaluación Implementación Oct 11 Oct 11 4h 10,000

5 Auditoría Interna Oct 11 Oct 15 4d 41,600

6 Re- evaluación/ Manejo de las observaciones Oct 15 Oct 15 1d 20,000

7 Auditoría de certificación Oct 15 Oct 15

Total 215,660

6. Riesgos y vulnerabilidades de la Seguridad de la Información en el CSIC

En el “Pliego de Prescripciones Técnicas para la Contratación de Servicios de

Consultoría para la Definición de un Plan Director de Seguridad de la Información en los

Servicios Centrales de la SGAI (Secretaría General Adjunta de Informática) del CSIC” se

fijaba como punto de partida en la elaboración del PDSI tres hitos.

En primer lugar se definía una primera etapa, el „Análisis de la Situación Actual‟, que

tenía como objetivo recopilar la información necesaria a nivel físico y lógico de los

sistemas, comunicaciones, servicios y medidas de seguridad existentes.

La segunda y tercera etapa eran el análisis de riesgos y el de vulnerabilidades. Esta

última consistía en la obtención de una visión global a partir de la realización de una serie

de pruebas que no originasen denegación y degradación del servicio.

El siguiente cuadro muestra la documentación que se elaboró tanto en el análisis

de riesgos como en el de vulnerabilidades. Se entienden como una fuente de información

actualizada de la que parte este proyecto:

13

Riesgos:

•Identificación y valoración de activos

•Identificación y descripción de amenazas a las que se someten los activos

•Identificación y descripción de vulnerabilidades a las que se someten los activos

•Identificación y valoración de impactos

•Identificación de las salvaguardas establecidas actualmente y las planificadas a futuro, así como la necesidad de implantar nuevas salvaguardas.

•Plan de tratamiento de riesgo para los activos

•Evaluación de los riesgos especificando los intrínsecos y los efectivos tras la modificación/ implantación de salvaguardas

•Evaluación del riesgo global

•Nivel de cumplimeinto de la norma iso 27001 en el CSIC

•Comparativa de niveles de riesgos con empresas del sector.

Vulnerabilidades:

•Informe técnico en el que especifica el detalle de todas las pruebas y trabajos realizados, resultados, vulnerabilidades encontradas y planes de mitigación para cada una de ellas, y recomendaciones.

•Informe ejecutivo donde se detallará el resumen de los hallazgos principales y las recomendaciones.

14

8. RRHH asignados

Los recursos asignados a este proyecto se agrupan en dos categorías, que se

describen a continuación de acuerdo con las definidas en el MRFI-C3

1 auditor estratégico con funciones de jefe de proyecto. Este perfil

corresponde al de un auditor senior con cinco años de experiencia

contrastada como auditor estratégico o siete años acumulando experiencia

como consultor estratégico o consultor senior. La experiencia adquirida está

relacionada con la dirección de planes directores de seguridad y/ o

estratégicos de seguridad.

Las tareas que deberá desarrollar están relacionadas con la auditoría de

Sistemas de Información, o de Calidad Informática, la coordinación del

proyecto (con las correspondientes pautas de supervisión de objetivos a

alcanzar y el tiempo disponible, y la vigilancia de los puntos fuertes y débiles

del mismo).

Posee conocimientos sobre organización y planificación del área tecnológica,

y la evaluación de riesgos.

2 auditores, con un mínimo de dos años de experiencia como auditores.

Tendrán los conocimientos suficientes en metodologías, herramientas y

técnicas de auditoría, y aspectos legales de la Auditoría Informática.

A lo largo del proyecto aplicarán controles de prevención, detección y

corrección de errores, participarán en la obtención de información

colaborando con el auditor senior, revisarán la documentación, y verificarán la

existencia de controles adecuados que garanticen en todo momento la

fiabilidad, seguridad e integridad de la información.

En todo momento mantendrán relación con el auditor estratégico del

proyecto y acudirán a reuniones ocasionalmente.

El precio/ hora de los diferentes recursos se incluye en la siguiente tabla:

Name Cost

Auditor 1 1300

Auditor 2 1300

Auditor estratégico 2500

9. Comunicación de los resultados

3 Modelo de Referencia de Funciones Informáticas para la Contratación (MRFI-C), definido por la Comisión

Interministerial de Adquisición de Bienes y Servicios Informáticos.

15

La comunicación de los resultados se hará de diferentes formas. En primer lugar se

procederá a incluir en la „Carta de Servicios Electrónicos‟ una modificación que añadirá

los datos de la obtención de la certificación (entidad certificadora, fecha de obtención

del certificado, servicios cubiertos por esta certificación…).

La aprobación de esta certificación será remitida por el titular del CSIC al

Subsecretario del Ministerio de Ciencia e Innovación, quien la someterá a informe de la

Secretaría General para la Administración Pública (Dirección General de Inspección,

Evaluación y Calidad de los Servicios).

El Subsecretario aprobará la Carta mediante Resolución.

En el “Boletín Oficial del Estado” se publicará exclusivamente el texto de dicha

Resolución, indicándose asimismo los lugares y formas en que se encuentra disponible

para el público.

Por otro lado, la memoria del CSIC del año 2010 incluirá un epígrafe dedicado a la

certificación de la norma. En sucesivos años se incluirán las actualizaciones

correspondientes a la mejora continua aplicada, es decir, el tratamiento de las no-

conformidades.

En el sitio web del CSIC se incluirá una referencia a la Carta de Servicios

Electrónicos.

Por último, en la parte de la carta de servicios electrónicos, la práctica común era

la „petición de disculpas‟, ahora será la definición de un incumplimiento que deberá ser

revisado y solventado de acuerdo con el proceso de mejora continua.

10. Documentación de los trabajos entregables

Para la conformidad con la ejecución del proyecto, se deberán hacer entrega de los

siguientes documentos:

Un documento que contenga el informe del análisis de la situación actual

Un documento que defina la política y organización de la seguridad (Política

de Seguridad de la Información para el CSIC/ Plan Director de Seguridad

Informática actualizado, estructura organizativa de la seguridad)

Un documento que contenga el informe del análisis de riesgos y amenazas

actualizado

Un documento que contenga el informe del análisis de vulnerabilidades

técnicas actualizado

Un documento resumen que contenga las medidas empleadas para controlar

las vulnerabilidades, los riesgos y las amenazas: el plan de mejora de servicio

16

Todos los ficheros de trabajo y los informes extraídos de la herramienta

empleada para realizar el análisis actualizado de riesgos.

Todos los informes definidos en la metodología de análisis de riesgos para cada

una de las unidades evaluadas (salvaguardas, estado del riesgo, informe de

insuficiencias…)

Un documento resumen con los resultados del análisis del riesgo

Un documento que describa las líneas de contenga el compromiso de la

gerencia del organismo (formulación, revisión y aprobación de la política de

Seguridad Informática, revisión permanente de la eficacia de la

implementación de la política de Seguridad Informática, aprobación de

funciones y responsabilidades específicas para la Seguridad Informática en

toda la organización, supervisión de la coordinación de la implementación de

los controles de Seguridad Informática en toda la organización, mantenimiento

de la cultura de la Seguridad Informática a través de foros, jornadas…)

Un documento que contenga la documentación base para el tratamiento

normativo

11. Adquisiciones

Tanto el auditor estratégico como los auditores requieren como herramienta de

trabajo ordenadores portátiles de perfil alto (altas prestaciones como capacidad

de disco duro, memoria, procesador, tarjeta gráfica..) con las licencias de sw

correspondiente (incluido Microsoft Office Enterprise, VISIO, MS Project), cuyo uso

vendrá imputado contra la hora del auditor.

11. Bibliografía

Las Administraciones Públicas y la certificación de los Servicios Públicos

Electrónicos. Elena Casarrubios. Revista. Auditoría y Seguridad, nº 23, junio 2008.

Estrategias para la implantación de la Administración Electrónica en el Consejo

Superior de Investigaciones Científicas. El Plan de Sistemas Informáticos. Clara Cala

Rivero y Ángel L. Rodríguez Alcalde (num. 197). TECNIMAP 2006 (Sevilla)

El Framework de Desarrollo del Consejo Superior de Investigaciones Científicas.

Clara Cala Rivero y Ángel L. Rodríguez Alcalde (num. 202). TECNIMAP 2006 (Sevilla)

Memoria Anual CSIC, 2009. Centro Superior de Investigaciones Científicas, Madrid.

2010.

Pliego de Prescripciones Técnicas para la Contratación de Servicios de Consultoría

para la definición de un Plan Director de Seguridad de la Información en los

17

Servicios Centrales de la Secretaría General adjunta de Informática del Consejo

Superior de Investigaciones Científicas. CSIC, 2007.

El largo camino de un Plan Director de Seguridad de la Información. Dolores de la

Guía Martínez. VII Foro de Seguridad de RedIris/ UAM. 22- 23 de Abril 2010.

El Esquema Nacional de Seguridad. Miguel A. Amutio. Jornadas PREPARATIC, 10 de

julio de 2010.

Guía para el desarrollo de Cartas de Servicios. Ministerio de Administraciones

Públicas. Madrid, 2006.

12. Legislación

Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los

Servicios Públicos. ( BOE, 23-junio-2007 )

Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente

la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los

servicios públicos. ( BOE, 18-noviembre-2009 )

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Seguridad en el ámbito de la Administración Electrónica

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de

Interoperabilidad en el ámbito de la Administración Electrónica

Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento

Administrativo Común (Ley 30/1992, de 26 noviembre)

Normas sobre los servicios de información administrativa y atención al ciudadano

(RD 208/1996, de 9 febrero)

Ley 28/2006, de 18 julio, de Agencias estatales para la mejora de los servicios

públicos

Real Decreto 1317/2001 de 30 de Noviembre, por el que se desarrolla el artículo 81

de la Ley 66/1997 de 30 de Diciembre, de Medidas fiscales, administrativas y de

orden social, en materia de prestación de servicios de seguridad, por la Fábrica

Nacional de Moneda y Timbre/ Real Casa de la Moneda, en las comunicaciones a

través de medios electrónicos, informáticos y telemáticos con las Administraciones

Públicas.

Real Decreto 772/1999 de 7 de Mayo. Solicitudes, escritos y comunicaciones ante

la Administración General del Estado. Expedición de copias de documentos y

devolución de originales. Oficinas de registro. Régimen.

Ley 34/2002 de 11 de Julio, de servicios de la Sociedad de la Información y de

Comercio Electrónico.

18

Ley 32/2003 de 3 de Noviembre, General de Telecomunicaciones (Disposición final

primera por la que se modifica la Ley 34/2002 de 11 de Julio, de Servicios de la

Sociedad de la Información y Comercio Electrónico).

Resolución de creación de la Sede Electrónica del CSIC (BOE 2-abril-2010)

Resolución de creación del Registro Electrónico del CSIC (BOE 2-abril-2010