El Ministerio de la Presidencia del Gobierno ha confiado al Grupo SIA la elaboración de un Plan Director de Seguridad a tres años que persigue analizar sus necesidades en materia de seguridad y asignar las prioridades específicas para gestionar los riesgos a los que están expuestos los activos del citado organismo.
Según Mª Victoria Figueroa Domínguez, subdirectora general adjunta de Sistemas de Información del Ministerio de Presidencia, “por las funciones que tiene asignadas, la seguridad informática es uno de los aspectos de las TI en los que mayor énfasis pone el ministerio. Desde hace tiempo están implantados múltiples herramientas y procedimientos de seguridad, pero se quería dar un salto cualitativo para lo cual no bastaba con seguir implantando tecnologías y procedimientos para necesidades puntuales” . La subdirectora indica que la realización del diagnóstico global tiene un doble objetivo “identificar nuestras principales vulnerabilidades y elaborar un Plan Director con las recomendaciones más ajustadas a las necesidades funcionales, tecnológicas y presupuestarias del Ministerio” .
La red de Presidencia cuenta aproximadamente con 1.000 puestos de usuarios, a los que hay que añadir los accesos realizados desde otros ministerios a aplicaciones mantenidas por ellos.
Según Figueroa, “el análisis se realizó en base a la norma UNE/ISO 17799 sobre las buenas prácticas de seguridad, revisando el cumplimiento de los Sistemas de Información del Ministerio para cada uno de los capítulos de la norma, identificando el grado de cumplimiento de cada uno, y obteniendo las mencionadas recomendaciones”. Sin embargo, por motivos de seguridad, “no podemos desvelar ni las vulnerabilidades detectadas ni las recomendaciones”, indica la directiva, “en general estamos más necesitados de políticas, normas y procedimientos formales de seguridad que de herramientas tecnológicas”. Figueroa añade que el estudio sirvió para identificar una serie de proyectos que, teniendo la seguridad como base, aportan valor a la e-administración.
Hablando del ritmo de la implantación, Figueroa señala “el plan de seguridad consiste en una mejora continua, al no existir la necesidad de acciones extremadamente urgentes, nos va a permitir implantar mejoras de forma priorizada. La implantación de las mejoras ya ha comenzado y el plan establecido es a tres años, estando previsto realizar puntos de control anuales”.
A nivel de recomendaciones, la subdirectora indica que “para cada vulnerabilidad detectada se elaboró una recomendación específica”. Estas abarcan la totalidad de las defensas de seguridad que el ministerio precisa, identificando tanto soluciones basadas en infraestructuras (centralización de la gestión de usuarios, y de dispositivos de seguridad, detección de intrusiones, gestión de eventos de seguridad) como no (formación y concienciación de los usuarios, auditorías de los controles implantados, mejoras de las configuraciones y de los planes de contingencia).
La directiva ha precisado que “las tecnologías utilizadas en cada proyecto serán objeto específico de cada uno y se seleccionarán en su momento”. Será el propio ministerio en cada proyecto que adjudicado quien decidirá cuáles son las soluciones que mejor se adaptan a nuestras necesidades en función de las ofertas que realicen los diferentes integradores y fabricantes”.
En cuanto a la forma de acometer los proyectos, señala que “algunos de ellos se abordarán internamente con el personal del Ministerio, que cuenta con una excelente cualificación técnica en muchas de las áreas. El resto de proyectos donde se requiera colaboración externa está previsto utilizar los mecanismos de contratación de la Administración (concursos públicos o mediante el Catálogo de Bienes de Adquisición Centralizada de la Dirección General del Patrimonio)”.
