Las TIC en la Seguridad y Protección de Datos -...

AS medidas de seguridad quehan puesto en marcha admi-nistraciones y organismos

públicos para proteger la informa-ción de datos electrónicos estáncada vez más consolidadas. Estogarantiza un alto grado de confi-dencialidad, integridad y disponibili-dad de toda la información maneja-da y, más en concreto, de los datosreferidos a las personas físicas.

La Agencia Catalana de Protec-ción de Datos gestiona todas lascuestiones relacionadas con el usode aplicaciones y servicios corpora-tivos a través del Centro de Teleco-municaciones y Tecnologías de laInformación de la Generalitat deCatalunya. Para las soluciones nocorporativas, dispone en sus instala-ciones de un centro de proceso dedatos, en cuanto a dimensión adap-tado a sus necesidades, en el que sedispone de los servidores y dispositi-vos necesarios para dar soporte a lasaplicaciones y servicios propios.

El Principado de Asturias tienevarias líneas de actuación. Una delas principales consiste en una ade-cuación a la LOPD un tanto ambicio-sa, puesto que comprende todas lasconsejerías que forman el gobiernoautonómico. Otro proyecto se centraen el uso de las TIC para la gestiónde identidades, entendiendo poridentidad digital registros electróni-cos que representan ciertos agentesque incluyen personas, aplicaciones,servicios, etc.

En Castilla-La Mancha existe un

servicio dedicado en exclusiva a laseguridad y protección de datos, queda cobertura a todas las consejeríasy a los demás organismos, para quelas acciones llevadas a cabo en estamateria estén plenamente coordina-das. En esta línea, se ha puesto enmarcha un sistema informático quesoporta el ciclo de vida de la ade-cuación de la administración a lalegislación vigente en materia deprotección de datos. Se trata de unaintranet, a la que tienen acceso lasdistintas consejerías y organismosautónomos, que contiene el registrode los ficheros públicos y que imple-menta todos los requisitos necesa-rios para una gestión integral eneste ámbito.

El Gobierno murciano dispone deun centro de back-up, donde sereplican los datos y contra los que

pueden funcionar sus servidores.Además, no sólo cubre contra even-tualidades, sino que facilita el man-tenimiento. Por otra parte, usa lastecnologías en función de las nece-sidades, pero siempre que sea posi-ble una integración entre ellas. Uti-liza software libre pero también tec-nología propietaria.

El Ayuntamiento de Barcelona haimpulsado dos grandes actuaciones.Una es la creación de una Comisiónde Seguridad y Protección de Datos,que tiene por misión establecer lasdirectrices generales en materia deprotección de datos personales parael conjunto de la organizaciónmunicipal. Establece los criterios deaplicación de la normativa, la publi-cación y difusión de los procedi-mientos aprobados, las buenas prác-ticas y los planes de formación para

el cumpli-miento de laLey de Pro-tección deDatos. Laotra es eldesarrollodel MarcoNormativode Seguri-dad delAyunta-miento deBarcelona,en base alestándar deseguridad

ISO/IEC 27001-2.El Ayuntamiento de Vitoria cuen-

ta con un sistema de informacióncompuesto por una extensa red detelecomunicaciones, una serie deaplicaciones desarrolladas para losentornos operativos existentes,diversas tecnologías, servidores, dis-tintas bases de datos y un equipo detécnicos que trabaja en el control detodo el sistema.

El Ayuntamiento de Alcobendaslleva a cabo el programa 'Alco-bend@s protege tus datos', desdemayo de 2008, para adaptar los ser-vicios municipales a la legislaciónvigente sobre protección de datosde carácter personal y garantizar losderechos de los ciudadanos de inti-midad y seguridad.

La Diputación Foral de Guipúzcoaestá realizando una experienciapiloto dirigida a la implantación de

REPORTAJE/ DATOS

L

14 SOCIEDAD DE LA INFORMACION. MARZO 2009

La información es un bien muy preciado en nuestra sociedad. Por eso, lasadministraciones públicas han decidido potenciar el uso de las TIC en laprotección de datos. Las agencias Catalana y Vasca de Protección deDatos, las comunidades de Castilla-La Mancha y Murcia, los ayuntamien-tos de Barcelona, Vitoria y Alcobendas, la Diputación de Guipúzcoa, y laUniversidad Jaume I han intensificado sus actuaciones en este ámbito. PorJavier Labiano.

LLaass TTIICC eenn llaa SSeegguurriiddaaddyy PPrrootteecccciióónn ddee DDaattooss

Web de la Agencia Española de Protección de Datos.

una herramienta de gestión integralde la legislación vigente en materiade protección de datos de carácterpersonal, que posteriormente setrasladará al resto de los departa-mentos. Y la Universidad Jaume I, deCastellón, quiere avanzar en la for-malización e implantación de un sis-tema universitario de gestión de laseguridad de la información. Poreso, ha puesto en marcha un pro-yecto que se desarrollará a lo largode 2009 y que tiene como marco dereferencia a la familia de normas ISO27000.

AGENCIA CATALANADE PROTECCIÓN DE DATOS

El uso que la Agencia Catalana deProtección de Datos hace de las tec-nologías de la información y lacomunicación no difiere demasiadode la que puedan realizar otras ins-tituciones u órganos de la adminis-tración pública. Así lo apunta elcoordinador de Auditoria y Seguri-dad de la Información de la AgenciaCatalana de Protección de Datos,Ramón Martín Miralles López.

Según este directivo, es evidenteque, desde el punto de vista operati-vo, las necesidades son similares. "Lagestión de expedientes administrati-vos, de recursos humanos y del pre-supuesto, así como el resto de fun-ciones que se desarrollan en el día adía de una agencia de protección dedatos nos llevan a implantar solu-ciones que podríamos calificar deuso común".

Sin embargo, una de sus peculia-ridades, en relación a la mayoría deautoridades de control, es que desdesu puesta en marcha en 2003 siem-pre ha contado en su organigramacon un área específicamente dedi-cada a las tecnologías de la infor-mación y que depende de la direc-ción de la Agencia. "Las personasque forman parte de ese grupo detrabajo, todas en plantilla de la ins-titución, se aglutinan alrededor dela figura del coordinador de Audito-ría y Seguridad de la Información dela Agencia".

Miralles distingue dos tipos deactuaciones a nivel tecnológico."Unas derivadas del uso de solucio-nes orientadas a facilitar el ejercicio

de las funciones y competencias quetiene atribuidas la agencia; y otrasrelacionadas con la seguridad de lainformación, que en forma de pro-yectos de seguridad se implantansobre esas tecnologías de servicios yaplicaciones".

En cuanto a tecnologías, se mue-ven en un modelo mixto en cuantoal origen de la solución. "Para todoaquello en que existen solucionescorporativas de la Generalitat deCatalunya, somos usuarios de esasaplicaciones o infraestructuras. Porejemplo, es el caso de las aplicacio-nes para la gestión de recursoshumanos, la gestión presupuestaria,el registro de entrada y salida dedocumentos o, en el caso de servi-cios, el acceso a internet, los servi-cios de correo electrónico o la tele-fonía móvil, entre otros".

Soluciones propiasMiralles destaca que el uso de las

aplicaciones corporativas "nos per-mitió una rápida implantación yahora un importante ahorro econó-mico en cuanto a su uso y manteni-miento". Por otra parte, "cuando noexisten soluciones corporativas quese adapten a nuestras necesidades,implantamos soluciones propias, enel sentido de que se encuentranexclusivamente bajo el control de laagencia y que se diseñan y constru-yen según nuestras especificacionesfuncionales y técnicas".

"A veces, añade, no es la falta dedisponibilidad de la solución corpo-rativa lo que nos lleva a ese tipo deimplantación, sino que, por la fun-ción a la que se pretende dar sopor-te y por la información que se ges-tiona, no resulta adecuado el uso desoluciones compartidas o de tipocorporativo, como podría ser el casode los expedientes sancionadores ola actividad inspectora".

Las cuestiones relacionadas con eluso de aplicaciones y servicios cor-porativos se gestionan a través delCentro de Telecomunicaciones yTecnologías de la Información de laGeneralitat de Catalunya. "Para lassoluciones no corporativas, la agen-cia dispone en sus instalaciones deun centro de proceso de datos, encuanto a dimensión adaptado a susnecesidades, en el que se dispone delos servidores y dispositivos necesa-rios para dar soporte a las aplicacio-nes y servicios propios".

El sistema de información delRegistro de Protección de Datos deCataluña se encuentra ubicado enesa instalación, así como los servido-res ofimáticos, la electrónica de lared de área local de la agencia, cor-tafuegos, sistemas de copias deseguridad, intranet, videoconferen-cia y, en definitiva, todas las infraes-tructuras necesarias de soporte a lasaplicaciones, datos y usuarios".

El uso de tecnologías relacionadascon usuarios externos, sean ciuda-

danos u otrasentidades públi-cas o privadas,también utili-zando las solu-ciones más habi-tuales. "Tenemosun portal eninternet donde,junto con infor-mación de todo

tipo relacionada con la protecciónde datos personales, también se pro-porcionan servicios electrónicos,como la declaración telemática deficheros al registro de protección dedatos".

Cuando lo requiere la funcionali-dad o el servicio, se han incorporadomecanismos de autenticación ycifrado del canal, basados en el usode certificados digitales y, en sucaso, firmas electrónicas. "Por ejem-plo, los envíos de las declaracionesde ficheros se reciben firmados elec-trónicamente o los informes de losplanes de auditoría que realiza laagencia, que también se envían fir-mados electrónicamente por losauditores". Martín Miralles indicaque, en las soluciones relacionadascon la seguridad de la información,"sí se puede encontrar algún matizdiferenciador con lo que podría con-siderarse el estándar medio para unaorganización de las dimensiones yactividad de la agencia".

Modelo de seguridadEl eje sobre el que giran todas las

actuaciones de seguridad de lainformación es un análisis de ries-gos, realizado previamente, de todoslos sistemas de información y acti-vos de la agencia. "Se parte de labase de que no se pueden tomardecisiones de seguridad sin conocerlas amenazas y nivel de riesgo a queestán sometidos los activos".

Se optó por "un modelo de segu-ridad más exigente del que hubierasido necesario, con una intenciónmuy clara, que era la de poder veri-ficar qué impacto real tienen lasmedidas de seguridad en una orga-nización y poder detectar dondeestán las dificultades de implanta-ción, especialmente en lo que serefiere a las medidas de segu-

MARZO 2009. SOCIEDAD DE LA INFORMACIÓN 15

La Agencia Catalana deProtección de Datos disponede un centro de proceso, con

todos los servidores ydispositivos de soporte a las

aplicaciones y servicios propios.

Web de la Agencia Catalana de Protección de Datos.

la Agencia Vasca de Protección

de Datos corresponde el papel de

velar por la aplicación de la legislación

sobre protección de datos dentro del

ámbito de las administraciones públi-

cas de su comunidad autónoma. El

encargado del Registro de Ficheros y

Nuevas Tecnologías de este organismo,

Pedro Alberto González González,

explica que ello implica controlar su

aplicación, requiriendo a los responsa-

bles de los ficheros y a los encargados

de los tratamientos la adopción de las

medidas necesarias. En última instan-

cia, dispone de potestad sancionadora

en los casos en que se produzcan

infracciones tipificadas en la ley.

Pero, por otro lado, la AVPD está

actuando desde una visión en positivo

y con una disposición proactiva para

colaborar con las administraciones

públicas vascas en el objetivo de que

"los ciudadanos, conscientes de sus

derechos, se sientan seguros con unas

instituciones que inspiran confianza

porque tratan los datos de forma leal,

responsable y segura". Para ello, "esta-

mos desarrollando proyectos y actua-

ciones en diversos frentes, unos de

cara a los ciudadanos y otros de cara a

las administraciones".

Como punto de partida, han efec-

tuado dos estudios sobre la percepción

social de la ciudadanía vasca sobre la

protección de datos. El primero, desa-

rrollado a finales de 2007, fue cualita-

tivo y elaborado en base a un panel

reducido, con la finalidad de orientar

la realización del siguiente. El segundo

ha sido cuantitativo, basado en una

muestra representativa de 600 entre-

vistas.

La primera conclusión es que "hay

una baja preocupación (37%) sobre el

uso que se hace de los datos persona-

les, preocupación aún inferior a la

media europea (64%)". La segunda es

que "existe una gran confianza en el

tratamiento de datos por parte de las

instituciones autonómicas, sanitarias,

Hacienda y Seguridad Social, y algo

menor en las administraciones locales,

pero muy por encima de la confianza

en las empresas privadas".

Sólo la mitad de la población sabe

que existe legislación sobre protección

de datos y sólo un tercio que hay una

legislación autonómica sobre la mate-

ria. Menos de la mitad ha oído hablar

de la AEPD y sólo una cuarta parte

sabe de la existencia de la AVPD. Úni-

camente el 15% tiene una idea aproxi-

mada de sus funciones. Ante la con-

tundencia de estos resultados, "se

entiende fácilmente que la AVPD haya

elegido entre sus metas estratégicas el

conseguir que la ciudadanía conozca

sus derechos y sepa cómo ejercerlos".

Redes sociales

González explica que, en los últimos

tiempos, han aparecido instrumentos

como las comunidades virtuales y las

redes sociales, que posibilitan servicios

y prácticas tecnológicas con implica-

ciones desconocidas en las décadas

anteriores. "Estas prácticas han calado

hondo en los jóvenes y suponen gran-

des ventajas en la socialización de las

personas; permiten compartir opinio-

nes, experiencias y conocimientos, así

como segmentar la participación en

los grupos de interés que cada cual eli-

ja". Los riesgos e implicaciones que

estos medios tienen son de sobra

conocidos y hay "trabajos excelentes,

como el reciente estudio de Inteco

sobre la privacidad y la seguridad de

las redes sociales que profundizan

suficientemente en ello".

La contribución de la AVPD en este

ámbito ha sido iniciar una línea de tra-

bajo permanente, mediante la elabora-

ción o adaptación de recursos destina-

dos tanto a los jóvenes como a la

comunidad educativa, proporcionando

documentos y materiales para refle-

xionar sobre cómo proteger la vida

privada, la propia y la de otras perso-

nas, al utilizar medios de comunica-

ción electrónicos. "El vehículo de este

proyecto es la página web www.kon-

tuzdatos.info, donde se recogerán las

sucesivas campañas que sobre esta

cuestión se vayan desarrollando".

Actualmente, el sitio web www.kon-

tuzdatos.info es punto de referencia

para un proyecto conjunto de la AVPD

y el Departamento de Educación del

Gobierno Vasco, donde se recogen

documentos, folletos, posters y vídeos,

que profundizan en reflexiones y casos

prácticos sobre la privacidad en las

franjas de edad de 15 a 17 años. Los

materiales están pensados para ser uti-

lizados por profesores y educadores,

dentro de campañas a desarrollar en

colegios e institutos, así como para la

consulta directa por parte de los jóve-

nes. Los materiales son adaptación de

un proyecto de la Agencia Noruega de

Protección de Datos.

Por otra parte, la AVPD ha colabora-

do en 2007 y 2008 con EUDEL, la Aso-

ciación de Municipios Vascos, en la

preparación de un Manual de Buenas

Prácticas para las Entidades Locales de

Euskadi, que tiene por objetivo facili-

tar a las corporaciones locales su ade-

cuación a la legislación sobre protec-

ción de datos, de acuerdo con sus

peculiaridades. "Contiene un buen

número de modelos prácticos que pue-

den adaptarse a cada caso, así como

supuestos concretos que dan respues-

ta a las situaciones cotidianas con que

se encuentran".

A

La Agencia Vasca de Protección de Datosafronta la baja preocupación del público

Datos

Cuota de suscripciónAnual (11 números): 60 euros.

Forma de pagoTransferencia, mencionando nombre del

suscrito, a favor de: Socinfo SL.Cajamadrid. 2038.2490.06.6000209153.

Tarjeta de crédito Visa o Master Card.Nº _ _ _ _ . _ _ _ _ . _ _ _ _ . _ _ _ _.Fecha caducidad _ _ / _ _.

Información suscripciones Tel.: 916-314-300.

[email protected]. www.socinfo.es.

SUSCRíBASE AHORA a “Sociedad de la Información”Deseo una suscripción Anual (60 euros) a “Sociedad de la Información”.D: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Cargo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Entidad: . . . . . . . . . . . . . . . . . . . . . . Ciudad: . . . . . . . . . . . . . . . . . . . .CIF/DNI: . . . . . . . . . . . . . . . . . . . . . . . . C.P.: . . . . . . . . . . . . . . . . . . . .Domicilio: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .e-mail: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Teléf.: . . . . . . . . . . . . . . .

Firma:

(*) Enviar por e-mail ([email protected]) o fax (916-318-284).De conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Ud. quedainformado de que sus datos de carácter personal van a formar parte de un fichero automatizado del que es responsableSOCINFO. Asimismo, al facilitar los datos solicitados, Ud. presta su consentimiento para poder llevar a cabo el tratamientode los datos personales para las siguientes finalidades: a) Envío de publicidad de actividades promovidas por SOCINFO yde las empresas patrocinadoras. b) Asistencia al evento para el que se envían los datos y otros futuros que puedan organi-zarse. Del mismo modo, le informamos que otorga su consentimiento para la cesión de sus datos a las personas que inter-vengan en los actos organizados por SOCINFO, y a sus patrocinadores, pudiendo ejercitar sus derechos de acceso, recti-ficación o cancelación, así como revocar su consentimiento enviando una comunicación a la dirección arriba indicada.


Para contribuir a la sensibilización

de los empleados públicos, la AVPD ha

dado difusión a un breve video, 'Las

luces funcionan', que puede descar-

garse desde su página web. "Consiste

en una ilustración dramatizada de los

principios de la protección de datos y

está pensado para su utilización den-

tro de los programas de sensibilización

y formación para los trabajadores,

tanto los organizados desde de AVPD

como los que puedan impulsarse en

cada institución o empresa, en el cum-

plimiento de los requerimientos lega-

les y en la adopción de buenas prácti-

cas". También es un material de difu-

sión válido para la ciudadanía.

Inspecciones sectoriales

Uno de los instrumentos con que

cuentan las agencias de protección de

datos para velar por la aplicación de la

legislación y controlar su aplicación,

en especial la adecuación de las medi-

das de seguridad, es la realización de

inspecciones sectoriales. "Tienen una

finalidad diagnóstica y eminentemen-

te preventiva, mediante la verificación

del cumplimiento de unas áreas de

control preestablecidas".

Como resultado, se diagnostican las

deficiencias globales o estructurales

observadas y se formulan unas reco-

mendaciones para que el sector se

adapte plenamente a las exigencias de

la LOPD. "En la AVPD, nos hemos dota-

do de una metodología para la realiza-

ción de las inspecciones sectoriales y

establecido un plan para desarrollar al

menos una inspección sectorial cada

año".

Hasta ahora, se ha acometido una

inspección sectorial en el ámbito edu-

cativo público vasco. "Se ha redactado

un documento de diagnóstico y reco-

mendaciones, acompañado de un plan

de acción con las principales actuacio-

nes necesarias, convenientemente

priorizadas. En la actualidad, el Depar-

tamento de Educación del Gobierno

Vasco está realizando su plan de ade-

cuación para dar cumplimiento a

nuestras recomendaciones. Asimismo,

se ha iniciado la planificación de la

siguiente inspección sectorial a desa-

rrollar en 2009, que abarcará el sector

de los servicios sociales".

Un aspecto que destaca González es

la importancia de los procedimientos y

la necesidad de su verificación perió-

dica; de acuerdo con la medida formal

del Reglamento de Seguridad, han de

verificarse cada seis meses.

En el caso de las administraciones

públicas del País Vasco, "todas las

sociedades públicas que actúan como

encargadas de tratamiento del Gobier-

no Vasco (EJIE) y de las diputaciones

forales (LANTIK, IZFE y CCASA) cuen-

tan con las medidas de seguridad peri-

metral habituales (cortafuegos, acceso

remoto seguro mediante VPN, antivi-

rus y antispam, control de contenidos,

certificados de servidor…). En todos los

casos tienen correctamente procedi-

mentadas las copias de respaldo y su

recuperación, con almacenamiento de

los soportes en lugar diferente de los

equipos de proceso".

Interconexión

González opina que la seguridad, las

TIC y la protección de datos mantienen

una estrecha relación que les hace

coincidir en muchos aspectos. "Lo más

habitual es que, desde una perspectiva

técnica, se haga una aproximación

dentro de esta zona de intersección (la

seguridad en las TIC como exigencia de

la protección de datos), lo que no debe

hacernos perder de vista la importan-

cia que cada una de las tres disciplinas

tiene por sí misma".

Desde la perspectiva de la protec-

ción del derecho a la intimidad perso-

nal y familiar, que es la que a las auto-

ridades de protección de datos les

corresponde, la seguridad juega un

papel instrumental, aunque no por

ello menos importante. "Lo esencial es

que la información concerniente a los

ciudadanos no sea tratada, ni accedida

de forma no autorizada, ni que se

extravíe o se vea alterada ilegítima-

mente en perjuicio de sus titulares.

Para esto, es para lo que deben adop-

tarse las medidas de seguridad que se

establecen en el título VIII del RD-

1720/2007".

Además, estamos siendo testigos en

los últimos años de la aparición de

nuevos instrumentos que posibilitan

servicios y prácticas tecnológicas que,

por las implicaciones novedosas que

suponen, están contribuyendo a des-

pertar una mayor conciencia en las

personas acerca del valor de su priva-

cidad. "Sólo hemos de pensar en los

casos de las redes sociales o la videovi-

gilancia, tanto privada como policial,

para comprender las consecuencias

que pueden suponer para el individuo

un uso indebido o descuidado por par-

te de quienes tienen en sus manos

tanta y tan íntima información".

Esta conciencia acerca del valor

emergente de la privacidad, que ya

está siendo asumida por el individuo,

"debe ser interiorizada por todos quie-

nes controlan datos personales de ter-

ceros, para tratar tales datos de forma

lícita y leal con respecto al interesado;

para utilizar únicamente datos ade-

cuados, pertinentes y no excesivos; y

exclusivamente para objetivos explíci-

tos y legítimos".

Algunas de las medidas de seguri-

dad necesarias tienen una plasmación

eminentemente técnica. "Existen pro-

ductos, herramientas o metodologías

que facilitan su implantación, como

las medidas de seguridad perimetral,

los controles de accesos, la realización

de copias de seguridad o el cifrado de

soportes y comunicaciones". Los

departamentos

de explotación,

comunicaciones

y seguridad de

cualquier organi-

zación "han esta-

do concienciados

acerca de estas

medidas desde

hace mucho

tiempo y no hace

falta que venga

ahora la protec-

ción de datos a

enseñarles a

hacer su trabajo, pues saben muy bien

cómo hacerlo".

“Cuestión diferente es lo referente

a las medidas que podríamos llamar

funcionales, es decir, las que afectan a

la propia concepción y diseño de los

servicios y los aplicativos que les dan

soporte. En consonancia con el valor

en alza de la privacidad, los diseñado-

res de tales servicios deberán tener en

cuenta los principios de la protección

de datos cuando aborden el diseño

conceptual y funcional."

Medidas organizativas

Según González, la adopción de las

medidas estrictamente técnicas no

suele calar en el conjunto de la orga-

nización, pues permanecen circunscri-

tas en el ámbito de los especialistas en

tecnología. "Aquí es donde cobran su

importancia las medidas organizativas,

que deben establecerse, respaldarse y

difundirse por la dirección".

Se trata de medidas que incluyen

desde la propia organización de la

seguridad y el establecimiento de pro-

cedimientos de actuación, hasta la

definición de las funciones de cada

uno de los perfiles del personal; sus

obligaciones en relación con el trata-

miento de los datos de carácter perso-

nal a su cargo y, por supuesto, las con-

secuencias de su incumplimiento.

Especial importancia tiene, en relación

con las medidas organizativas, la ade-

cuada toma de conciencia por todas

las partes involucradas. Para garanti-

zar la privacidad, es necesario asumir

una conciencia de respeto y protec-

ción de los datos personales por parte

de la dirección, "en nuestro caso, los

responsables políticos y los gestores de

las administraciones públicas".

Web de la Agencia Vasca de Protección de Datos.

18 SOCIEDAD DE LA INFORMACIÓN. MARZO 2009

ridad de nivel alto en el trata-miento de datos personales".

De esa manera, se cumple con undoble objetivo. En primer lugar, el de"protección de los servicios, infraes-tructuras y personas de la agencia".Mientras que "a la vez, podemosvalorar, con elementos de juicio sóli-dos, las dificultades y peculiaridadesdel cumplimiento de las medidas deseguridad previstas en la normativaen materia de protección de datospersonales".

Aparte de los proyectos de nor-malización y documentación de laseguridad, se han implantado solu-ciones de acceso físico y lógico a losactivos de la agencia. "Se han basa-do en el uso de tarjetas que incor-poran, tanto elementos criptográfi-cos para soportar certificados digi-tales, como tecnología de accesossin contacto, todo sobre el mismosoporte".

Así, con una sola tarjeta, queidentifica visualmente al personal,"se accede a las diferentes estanciasque forman parte de los locales dela agencia, se realiza el acceso lógi-co a la red, se protegen dispositivosportátiles, se firman documentoselectrónicamente y se lleva a cabo elcontrol de impresión de documentosen todas las impresoras". De formaparalela, se ha implantado un siste-ma de control del archivo de gestiónde expedientes. "Por ahora, sólopara aquellos relacionados con laejecución de los planes de auditoríaque permite, mediante tecnologíaRFID, hacer el seguimiento de losexpedientes en papel".

El coordinador se refiere, tam-bién, a otras iniciativas de seguri-dad. "Aparte de sistemas tradiciona-les de copia de seguridad basados encintas y robots en local, junto con lacustodia externa de las cintas, tene-mos en fase de implantación un sis-tema de copias en línea. Esto permi-tirá disponer de una copia externade información, que facilitará lapuesta en marcha en otras infraes-tructura, en el marco del plan decontinuidad". Además, afirma que seencuentran en fase de estudio ydiseño "soluciones orientadas a laimplantación de un registro deacceso a datos".

En definitiva, hacen un uso inten-sivo de las TIC y utilizan como crite-rio para seleccionar las tecnologías,no sólo que den cobertura a las fun-cionalidades requeridas, sino tam-bién que estén relacionadas coneconomías de escala. "Se tienen encuenta muy especialmente las quepuedan ser más respetuosas con losprincipios de protección de datos,de manera que podamos valorar sueficacia y el impacto o dificultadesde implantación en las entidadesque forman parte del ámbito decompetencias de control de la agen-cia, como autoridad de protecciónde datos".

ENTIDADES LOCALESUn reciente estudio sobre la segu-

ridad de los datos de carácter perso-nal en el ámbito de las entidadeslocales ha puesto de manifiesto elmayor nivel de adaptación a la LOPDy la RDLOPD que, en general, pre-sentan estas administraciones encomparación con el tejido empresa-rial español, y en concreto, con laspequeñas y medianas empresas. Así,el nivel de cumplimiento de una delas principales obligaciones de laLOPD, como es la declaración deficheros ante el Registro de la Agen-cia Española de Protección de Datos(AEPD), es del 46,4% en el caso delas EE.LL., frente a un 16% en el casode las pymes.

El informe ha sido elaborado porel Observatorio de la Seguridad de laInformación del Instituto Nacionalde Tecnologías de la Comunicación(Inteco). Pretende desarrollar el gra-do de adaptación de las medidaslegales y operativas de seguridadque afectan a los datos personalesen las Entidades Públicas Locales,evidenciando las dificultades y lascarencias que se tienen para sucorrecta implantación. Identifica yevalúa, por vez primera, tanto elgrado actual de cumplimiento efec-tivo de la normativa sobre protec-ción de datos en los ayuntamientos,diputaciones, consells y cabildosinsulares, como su preparación paraadecuarse a las exigencias previstasen el nuevo reglamento.

En el estudio han participado másde 600 entidades locales y 25 exper-tos, juristas y profesionales delámbito local. Además, ha contadocon la colaboración de la FederaciónEspañola de Municipios y Provincias(FEMP).

Otra de las conclusiones alcanza-das es que el grado de conocimien-to del recientemente aprobadoRDLOPD (Real Decreto 1720/2007)es de un 28% en los ayuntamientos,frente a un 14% en las pymes espa-ñolas. Analizando en detalle esteaspecto, es del 76% en los ayunta-mientos de grandes municipiosfrente a un 48% en los medianos y

un 20% en los pequeños. En lasdiputaciones, consells y cabildosinsulares es del 66,7%.

Complementariamente, y a pesardel comportamiento heterogéneode los gobiernos locales en funcióndel tamaño del municipio, éstoscumplen un papel fundamental enla difusión de la adaptación en lamateria de protección de datosentre los ciudadanos y sus trabaja-dores. Prueba de ello es que un74,8% de las EE.LL. tienen un nivelelevado de concienciación, paraadecuarse a la planificación que exi-ge la normativa. Este dato se tradu-ce en un 75,9% para los ayunta-mientos con grandes municipios,frente a un 75,6% de los ayunta-mientos de medianos municipios yun 74,5% de los de menor tamaño.

Otros aspectos son los referidos algrado de asignación de recursos, a lalegitimación de los datos y al proce-dimiento para el ejercicio de losderechos ARCO. Respecto al gradode asignación de recursos, más del21% lo ha llevado a cabo. Un 56,5%de los ayuntamientos con grandesmunicipios, un 31,1% de los ayunta-mientos de medianos municipios yun 16,8% de los de menor tamañotienen planificado esta asignación.

Por lo que respecta a la legitima-ción de los datos, el celo en su cum-plimiento queda de manifiesto en elhecho de que, en relación con eldeber de información, un 67,5% delos ayuntamientos y un 72,2% de lasdiputaciones, consells y cabildosinsulares afirman cumplir con estecompromiso de información previoy expreso de la existencia del fiche-ro, de su finalidad y de destinatariosde los datos. Sin embargo, este nivelde cumplimiento se puede ver sola-pado con el deber de recogida delconsentimiento de los interesados,donde esta exigencia varía paracada estrato: 67% ayuntamientoscon grandes municipios, un 43% detamaño medio y un 33% para lospequeños municipios.

Por último la voluntad en el esta-blecimiento de un procedimientopara el ejercicio de los derechos deacceso, rectificación, cancelación yoposición (ARCO) de las EE.LL., esdeterminante. Lo tienen establecido

Datos

Web del Principado de Asturias.

El Principado de Asturiasdesarrolla una herramientainformática a medida, para

adecuar y aplicar correctamentela LOPD.

un 79% de los ayuntamientos congrandes municipios, un 58,1% de losde medianos municipios y un 45,4%de los de menor tamaño. Para elcaso de las diputaciones, consells ycabildos, la cifra es del 52,8%.

Dos capítulos de especial impor-tancia dentro de la normativa hacenreferencia a las medidas de seguri-dad, que el RDLOPD establece comopolíticas específicas de seguridad ygarantía de la privacidad, y a lapotestad inspectora y sancionadoraque se atribuye a las agencias deprotección de datos, tanto estatalcomo autonómicas.

El control de accesos se constitu-ye como la medida de seguridad másextendida e implantada dentro delas EE.LL., alcanzando un 70,4% delos ayuntamientos y el 91,7% de lasdiputaciones, consells y cabildos. Entodo caso, la complejidad de lasmedidas hace que su cumplimientopor las entidades sea diferente enfunción del tamaño, percibiéndosepara el conjunto de las medidas, unmayor grado de implantación en losayuntamientos de mayor tamañofrente al potencial de crecimientofuturo en los de menor dimensión.

El estudio también analiza las ins-pecciones, denuncias y sanciones.Un 32,1% de los ayuntamientosafirma conocer las sanciones, mien-tras que un 95,7% declara no haber-las sufrido. Por lo que respecta a lasactividades de inspección, hastaahora el trabajo de las agencias seha venido centrando en las grandesentidades, de ahí la asimetría que elestudio demuestra respecto a lasinspecciones sufridas entre las EE.LL.de los distintos estratos.

PRINCIPADO DE ASTURIASLa información es uno de los

valores más preciados por la socie-dad actual y, por ello, debe podergarantizarse que esa informaciónestá securizada, en todo momento,de la manera más adecuada. Así opi-na el jefe del área de Seguridad eIntegración de Sistemas de la Direc-ción General de Informática delGobierno del Principado de Asturias,Juan Carlos Rodríguez Rodríguez.Añade que, dado que en su mayorparte esta información está soporta-

da sobre las TIC, la mejor manera desecurizarla es, a su vez, medianteuso de las propias TIC.

Así, en el Principado de Asturiastienen varias líneas de actuación.Una de las más importantes seenmarca en el ámbito legal, la LeyOrgánica de Protección de Datos."Se está realizando una adecuacióna la LOPD un tanto ambiciosa, pues-to que es a nivel de todas las conse-jerías que forman el Gobierno delPrincipado de Asturias". Dentro delproyecto, se ha contemplado "eldesarrollo de una herramienta infor-mática a medida, utilizando nuestropropio FrameWork J2EE de desarro-llo, que será la necesaria para lacorrecta adecuación y aplicación ala LOPD". No sólo se dedicará alinventario de ficheros, sino a todoslos procedimientos relacionados conla misma, así como al control de lasauditorías periódicas.

Otra línea es el uso de las TIC parala gestión de identidades, enten-diendo por identidad digital regis-tros electrónicos que representanciertos agentes que incluyen perso-nas, aplicaciones, servicios, etc. Lagestión de identidades comprendelos procesos e infraestructura desoporte para la creación, manteni-miento y uso de identidades digita-les. "Hemos implantado una solu-ción de metadirectorio, donde secentraliza la información corporati-va en cuanto a usuarios, perfiles,recursos, etc., garantizando una for-ma fácil y eficiente de controlar los

sistemas de identificación, autenti-cación, autorización y auditoría".

Rodríguez apunta también otrotipo de aplicación de las TIC a laseguridad: la infraestructura hard-ware/software antimalware. "Apartede las lógicas protecciones de lospuestos de los usuarios finales, dis-ponemos de varios 'appliances' cuyafuncionalidad incluye filtrado decorreo, así como filtrado de navega-ción web". De manera que se puedaevitar, en lo posible, la entrada desoftware malintencionado o nodeseado vía correo o mientras unusuario navega por internet.

De igual modo, disponen de variosSistemas de Prevención de Intrusión(IPSs) capaces de detectar y frenarataques y/o software malintencio-nado, analizando el tráfico que cir-cula por la red. "Otro dispositivohardware del que disponemos y queconsideramos importante nos ayudaa buscar y priorizar vulnerabilidadese infracciones de directivas en lossistemas conectados a la red".Rodríguez indica que el proyecto deadecuación a la LOPD y el desarrollode la herramienta que lo contemplase ha adjudicado a la empresa Com-puter Sciences Corporation (CSC),que a su vez se apoya en Garriguespara la parte jurídica. "Para estaactuación, utilizarán el FrameWorkde desarrollo J2EE propio del Princi-pado de Asturias".

La solución de Gestión de Identi-dades se basa en productos deNovell. "Alrededor, se han hecho

algunos desarrollos a medida que locomplementan (siempre con nuestroFrameWork J2EE propio), realizadospor un grupo mixto de desarrollado-res pertenecientes a varias empresasasturianas relacionadas con las TIC".La infraestructura de solucionesantimalware está, en su totalidad,basada en productos de McAfee.

Por otra parte, el proyecto deadaptación de la metodología dedesarrollo para contemplar losaspectos de seguridad, en el ciclo devida del software, "lo está ejecutan-do el equipo M45, dentro del Clus-ter de las Tecnologías de la Informa-ción y la Comunicación de Asturias".Finalmente, la plataforma de movili-dad ha sido desarrollada por laempresa Satec, con tecnología J2EE,y el proyecto de wi-fi en espaciospúblicos lo está ejecutando AmbarTelecomunicaciones, utilizando pro-ductos de Fortinet para los temas deseguridad.

CASTILLA-LA MANCHAEn Castilla-La Mancha, saben que

la utilización cada vez más frecuen-te de las nuevas tecnologías haceque los datos que se manejan deforma exclusivamente manual seanmuy escasos. Como señala el direc-tor general para la Sociedad de laInformación y las Telecomunicacio-nes de la Consejería de Industria,Energía y Medio Ambiente, RafaelAriza, lo más normal es que los pro-cedimientos estén automatizados,aunque existan copias en papel. "Lasmedidas de seguridad para protegerla información de datos electrónicosestán cada vez más consolidadas, loque garantiza un alto grado de con-fidencialidad, integridad y disponi-bilidad de toda la informaciónmanejada y, más en concreto, de losdatos referidos a las personas físi-cas".

Ariza explica que en la adminis-tración regional existe un serviciodedicado en exclusiva a la seguridady protección de datos, que da cober-tura a todas las consejerías y a losdemás organismos, para que lasacciones llevadas a cabo en estamateria estén plenamente coordina-das. "En este sentido, desde el año2002, existe el Comité Regio-


En Castilla-La Mancha existeunservicio dedicado en exclusiva a

la seguridad y protección dedatos, que da cobertura a todaslas consejerías y organismos.

Web de la Junta de Comunidades de Castilla-La Mancha.

nal de Protección de Datos,órgano colegiado adscrito a la Con-sejería de Industria, Energía y MedioAmbiente, con representación detodas las consejerías y organismosautónomos, desde donde se impul-san políticas encaminadas a la ade-cuación de nuestra administración ala legislación vigente en esta mate-ria".

Es esta línea, se ha puesto enmarcha un sistema informático quesoporta el ciclo de vida de la ade-cuación de la administración a lalegislación vigente en materia deprotección de datos. "Se trata deuna intranet, a la que tienen accesolas distintas consejerías y OO.AA.,que contiene el registro de los fiche-ros públicos y que implementa todoslos requisitos necesarios para unagestión integral en este ámbito".

También se llevan a cabo proyec-tos para dar soporte a los distintoscolectivos regionales, como ciuda-dan@s, pymes y otras administra-ciones. "Este es el caso de la web deSeguridad y Protección de Datos.Una iniciativa con la que se preten-de dar confianza a los distintos sec-tores, para que utilicen las nuevastecnologías con el grado de protec-ción adecuado. El portal incluyeuna herramienta gratuita parapymes, que gestiona los requisitosexigidos por la LOPD".

La Dirección General tiene com-petencias de infraestructuras bási-cas y coordinación en materia TICpara toda la administración regio-nal. Por eso, "existe una política deseguridad de la información apro-bada en 2007, que recoge una seriede directrices".

Como consecuencia de esta polí-tica, existen normas específicas enla red corporativa, el centro de pro-ceso de datos, el desarrollo de apli-caciones, los servicios internet, etc."Esta última área, que engloba pro-cesos vitales para toda la organiza-ción, está certificada por AENORtras la implantación de un Sistemade Gestión Unificado en las NormasISO 9001 (Calidad) e ISO 27000(Seguridad de la Información) enenero de 2008 y que nos hace ser laprimera administración española entener este reconocimiento".

Por otra parte, se ha puesto enfuncionamiento un gran centro deprocesos de datos en la sede de laConsejería de Industria, Energía yMedio Ambiente, con las medidas deseguridad más punteras. "Este CPDno sólo soporta la infraestructura deesta consejería, sino todos los servi-cios comunes a la administraciónregional, como la red corporativa, elcorreo electrónico, el portal institu-cional, el gestor de expedientes parala administración electrónica, laseguridad perimetral, etc. Además,sirve de centro de back-up a los queasí lo soliciten". El CPD contemplanormas de seguridad adecuadas a laISO 27001 y está en proceso deincorporación al Sistema de GestiónUnificado.

Las tecnologías utilizadas sondiversas. "Desde los entornos Micro-soft, hasta el software libre cada vezmás utilizado con las empresas cola-boradoras en materia de seguridad yprotección de datos". Entre lasempresas colaboradoras, cita aOesía, Accenture, Telefónica, Cisco,GMV y Tecnocom.

MURCIALa Ley 11/2007, de Acceso Elec-

trónico de los Ciudadanos a los Ser-vicios Públicos, convierte a la admi-nistración en digital, como recuerdael director general de Informática yComunicaciones de la Consejería deEconomía y Hacienda de la Comuni-dad Autónoma de la Región de Mur-

cia, Manuel Escudero Sánchez.A juicio de este alto responsable,

el éxito final del proceso vendrádeterminado tanto por la extensiónen el uso de los sistemas dispuestosa tal fin, como por la velocidad depenetración de los mismos. "Ambosfactores están condicionados fuer-temente por la confianza que elusuario final tiene en cómo se tratay protege la información que depo-sita en un medio ‘no controlable'por él".

Señala que el ejemplo anterior esaplicable a cualquier sistema deinformación gestionado por las TIC."Por tanto, al margen de la obliga-toriedad de adoptar las medidaslegales en la protección y seguridadde los datos, apreciamos la seguri-dad en las TIC desde la administra-ción pública como un factor de éxi-to en la aplicación real de los siste-mas dispuestos para el ciudadano".

Escudero recuerda que, en losúltimos años, se han venido desarro-llando actuaciones de forma conti-nua en distintos ámbitos. En primerlugar, "la consolidación de los siste-mas de almacenamiento, recupera-ción y back-up, con la adecuaciónde los RTO y RPO para las aplicacio-nes críticas a valores exigidos por laorganización". En segundo lugar, "laadecuación de las aplicaciones a laarquitectura en tres capas y la intro-ducción de cortafuegos entre ellas(Arquitectura de Seguridad Avanza-da)". Además de "la mejora del nivelde disponibilidad de las infraestruc-turas de los CPD's, así como la distri-bución del almacenamiento dedatos clasificados como de altovalor en diferentes sedes".

También recuerda el estableci-miento y la aplicación de políticassobre los contenidos accesibles eninternet; la distribución a los empe-lados públicos de certificados digi-tales alojados en dispositivos segu-ros; la autenticación de usuarios concertificado digital en aplicacionesen la intranet; y el acceso a servicios

extranet, así como el cifrado en lascomunicaciones accesibles desdeinternet.

Según Manuel Escudero, la for-malización de recomendacionesinternacionalmente reconocidas eneste área les ha permitido contrastarlas medidas adoptadas con unareferencia, la ISO 27002. "Durante2008, se ha procedido a realizar elanálisis diferencial de nuestra orga-nización frente a la ISO 27002, loque nos ha permitido identificar,priorizar y planificar un conjunto depolíticas, proyectos y actuaciones aimplantar y desarrollar para mejoraren este ámbito, con el objetivo demejorar y poder contrastar objetiva-mente la adecuación a las mejoresprácticas y, por tanto, la certifica-ción correspondiente en las áreasidentificadas como críticas".

Por otra parte, Escudero desvelaque disponen de un centro de back-up donde se replican los datos ycontra los que pueden funcionar susservidores. "No sólo nos cubre con-tra eventualidades, sino que nosfacilita el mantenimiento".

Además, a su juicio, los planes decontingencia son paradigma de lanecesaria formalización de los pro-cesos, por lo que "es vital tanto suactualización como su pruebamediante la práctica". Señala que laseguridad de las aplicaciones web esun tema candente debido a las nue-vas técnicas que van apareciendo yque requieren un gran rigor endesarrollos internos y contratos. "Lomismo puede decirse de la movili-dad. En general, es necesaria unaconstante actualización de losconocimientos técnicos y, a conti-nuación, de los procedimientos y

Datos


Murcia dispone de un centro deback-up donde se replican losdatos y contra los que pueden

funcionar sus servidores.

Rafael Ariza (C-La Mancha). Manuel Escudero (Murcia).

medidas de seguridad". En cuanto alas tecnologías, se emplean en fun-ción de las necesidades, pero siem-pre que sea posible una integraciónentre ellas.

"Se utiliza software libre (porejemplo, Nagios y similares paramonitorización), pero también tec-nología propietaria (Juniper, Cisco,Microsoft…)". Las empresas quecolaboran con la comunidad autó-noma para desarrollar todos estosproyectos "lo hacen en áreas deconsultoría, instalación de sistemas,soporte y monitorización, gestión deequipos y resolución de incidencias".

AYUNTAMIENTO DE BARCELONAPara el Ayuntamiento de Barcelo-

na, la seguridad en el ámbito de lasTIC se ha convertido en una partefundamental e integrada en laestrategia y en los planes de los sis-temas de información, que dansoporte a los procesos y serviciosmunicipales. La responsable deSeguridad del Instituto Municipal deInformática, Neus Bellavista, afirmaque la información de los procesosdel ayuntamiento representa uno delos bienes de más valor. "Por ello, esnecesario gestionar los riesgos aso-ciados, así como dar cumplimientoal marco regulatorio".

Por su parte, el director de Tecno-logía, Ramón García Ortega, explicaque, para garantizar e impulsarestos aspectos, se han llevado acabo dos actuaciones. Una es lacreación de una Comisión de Segu-ridad y Protección de Datos, que tie-ne por misión establecer las directri-ces generales en materia de protec-ción de datos personales para elconjunto de la organización munici-pal, y es responsable de las audito-rias de LOPD e incidentes legales."Establece los criterios de aplicaciónde la normativa, la publicación ydifusión de los procedimientosaprobados, las buenas prácticas y losplanes de formación para el cumpli-miento de la Ley de Protección deDatos".

La otra actuación, que se encuen-tra en curso, es "el desarrollo delMarco Normativo de Seguridad delAyuntamiento de Barcelona, en baseal estándar de seguridad ISO/IEC

27001-2". En estos momentos, dis-ponen de un marco normativo comobase para su desarrollo gradual."Aunque no se ha implantado en suglobalidad, progresivamente se vanabordando y aplicando en los distin-tos ámbitos municipales".

La gestión de identidades consti-tuye la tercera línea de actuación.Comprende "diversos proyectos,como el portal de intranet y laadaptación a nuevas formas de tra-bajo (teletrabajo y acceso en remo-to de las empresas externas); asícomo comunicación e interopera-bilidad, que requieren reforzar lagestión del acceso de las personas alos sistemas de información quedan soporte a los servicios munici-pales".

Engloba un producto de Gestiónde Identidades y un sistema únicode identificación (SSO), con el obje-tivo de obtener un repositorio únicoy un único sistema de gestión deusuarios y derechos de acceso,incorporando workflows de autori-zaciones y sincronización con labase de datos de recursos humanos.Incorpora también un single sign-on, para facilitar al usuario el acce-so y permitir aplicar políticas decontraseñas más rigurosas.

Un cuarto ámbito comprende lacriptografía, con la e-identidad, lae-firma, la certificación digital y lacriptografía.

Prevención ante catástrofesEl director de Tecnología opina

que la probabilidad de catástrofesha crecido en los últimos años. "Porotra parte, los sistemas de informa-ción son críticos e imprescindiblespara el funcionamiento de los nego-cios/servicios de cualquier empresau organismo. Por tanto, es impres-cindible disponer de planes de con-tingencia e infraestructuras de res-paldo adecuados a niveles razona-bles de continuidad, que puedanvariar dependiendo de cada nego-cio". En este sentido, destaca "laconstrucción del segundo CPD, basedel plan de contingencia". Por otraparte, señala que los nuevos avancesque supone la movilidad (PDAs, wi-fi, etc.) incrementan los riesgos y,por tanto, suponen nuevos retos enel ámbito de la seguridad. "Es, porello, necesario incorporar en la defi-nición de los proyectos mecanismospara la evaluación de riesgos y unplan de implantación de las medidasnecesarias". El Ayuntamiento deBarcelona se apoya en el soporte yen los servicios desarrollados por laAgencia Catalana de Certificación.

En el ámbito de las tecnologías deproductos específicos de seguridad,se utilizan soluciones de distintosfabricantes: McAfee, Novell, Cisco,Juniper, Chepckpoint, Entrust yTrendmicro. Respecto a las empre-sas, Neus Bellavista afirma que la

política municipal es dar oportuni-dades de forma amplia a las empre-sas del sector. "Nos interesa contarcon colaboradores de primera línea,así como incorporar la innovaciónde las empresas más activas". En elámbito de la seguridad, "actualmen-te las empresas que colaboran másestrechamente son Indra, SistemasAbiertos, S21SEC, Da Vinci-Unitro-nics, Agtic , TB_secutity, Deloitte,PriceWaterhouse y Sopra, conjunta-mente con las empresas de serviciosque mantienen y gestionan los sis-temas y equipos". Los departamen-tos de arquitectura y desarrollo delayuntamiento "se encargan de pro-veer, en base a requerimientos deseguridad, desarrollos completos eintegraciones de productos yproveedores, garantizando así laseguridad de los sistemas de infor-mación".

AYUNTAMIENTO DE VITORIAPara el Ayuntamiento de Vitoria-

Gasteiz, las TIC juegan un papel muyimportante en los planes de seguri-dad. A juicio de la directora deldepartamento de Tecnologías de laInformación, Begoña Orcasitas Lan-da, comparten protagonismo con lasacciones de redefinición y mejora delos procesos, de los sistemas de ges-tión y de la organización. Y con lasacciones de difusión y formacióndirigidas a los trabajadores de lasadministración, así como con lasencaminadas a los ciudadanos.

Según Orcasitas, la adecuadaconjunción de todas ellas con laaplicación de las nuevas tecnologíaspermite lograr la puesta en marchaeficaz de los planes de seguridad."Así se ha tenido en cuenta en eldiseño, desarrollo e implantación deestos planes". Para dar respuesta asus necesidades, el ayuntamientocuenta con un sistema de informa-ción compuesto por una extensa redde telecomunicaciones, aplicacionesdesarrolladas para los entornos ope-rativos existentes, diversas tecnolo-gías, servidores, bases de datos y unequipo de técnicos que trabaja en elcontrol de todo el sistema. Losrecursos considerados más críticoshan sido redundados, para dar másseguridad a los datos ante


Web del Ayuntamiento de Barcelona.

Barcelona ha creado unaComisión de Seguridad y

Protección de Datos para lasdirectrices en materia de LOPD.

Datos


posibles pérdidas de informa-ción. "Se han implantado filtros,firewalls, etc., para evitar accesosindebidos al sistema que afecten ala seguridad e integridad de losdatos y de las infraestructuras".

Con el objeto de salvaguardar losdatos de carácter personal, en 2002se elaboró un plan de acción. Se tra-ta de un "proyecto integral de mejo-ra en el tratamiento de datos decarácter personal". En este marco, eldepartamento de TI trabaja en dosámbitos: Por un lado, en la protec-ción de datos de carácter personal,regulada por diversas normativas, y,por otro, en el estándar internacio-nal ISO/IEC 17799, que establece elconjunto de buenas prácticas nece-sarias para preservar la confidencia-lidad de la información, su integri-dad y disponibilidad".

Medidas organizativas y técnicasEn la implantación y consolida-

ción del plan se han incluido medi-das organizativas y técnicas. De lasprimeras: "normativa y organizaciónde seguridad; principio de informa-ción en la recogida de datos y con-sentimiento del interesado; deber desecreto; acceso por terceros y comu-nicación de datos; ejercicio de losderechos de acceso, rectificación,cancelación y oposición; y difusión yformación".

En cuanto a las medidas técnicas:"la securización de la infraestructu-ra de sistemas y de redes de comu-nicaciones; las políticas de seguri-dad de back-up de datos (TSM);armarios ignífugos repartidos estra-tégicamente en varios centros conback-up periódicos; back-up delpuesto cliente (RSYNC); protector depantalla; y paso a los servidores cen-trales de los datos de, hasta ahora,en puesto (correo electrónico, agen-da corporativa y documentos)".

Además, se ha procedido a ade-cuar, y en su caso crear, los registrosnecesarios para el cumplimiento dela LOPD. "Entre estas actuaciones,destacar la instauración de reglaspara las contraseñas de acceso a lossistemas, adecuación del registro desoportes magnéticos y creación debases de datos de accesos físicos alCPD".

Se han acometido diagnósticosde seguridad y pruebas de vulnera-bilidad, con la realización periódicade diagnósticos sobre protección dedatos de carácter personal y, tam-bién, sobre el estándar ISO/IEC17799, con diversos propósitos. Enprimer lugar, "determinar el gradodel cumplimiento de la normativarelativa a la LOPD; y reconocer yanalizar el estado de vulnerabilidadde la instalación frente a las amena-zas, así como evaluar el grado deexposición atendiendo a la probabi-lidad de materialización de la ame-naza".

En segundo lugar, "determinar elnivel de riesgo asumido en funciónde las medidas de control y conten-ción implantadas por cada amenazadetectada; y valorar la oportunidadde adoptar un conjunto de contra-medidas adecuado a las amenazaspresentes, considerando la relacióncoste-beneficio entre el esfuerzo deadecuación y la situación de controlobtenida".

PrevenciónBegoña Orcasitas se hace eco de

la implantación de medidas preven-tivas de seguridad. Se trata de la"adecuación de las aplicaciones yficheros municipales a la LOPD; laprotección perimetral desde inter-net al ayuntamiento y el filtrado delo enviado desde éste hacia el exte-rior; la protección periférica de losaccesos desde y hacia entes asocia-dos; la protección interna, empe-zando desde el nodo principal; la

protección y política de accesosremotos; y la instauración y exten-sión de las políticas de seguridad".

La responsable vasca cita, asimis-mo, la elaboración del Documentode Instrucciones TICs y la gestión delas incidencias de seguridad paraidentificarlas, registrarlas, tratarlas yresolver sus causas". Entre las accio-nes orientadas a mejorar la seguri-dad en la red municipal, apunta quese realizan trabajos de securización,con mejoras en los firewall, configu-ración de VPNs (red privada virtual),así como en redes periféricas. Ade-más, cita la "red de comunicacionesparalela del entorno de produccióna nivel de transporte; la segregaciónde redes de comunicaciones inter-nas con firewall´s en el backbone; lacaducidad y cambio de contraseñasde los usuarios cada tres meses; y lared wi-fi para uso interno con SSIDparticular y protección de claveWPA".

Por otra parte, se han instaladolíneas ADSL con router y conexiónVPN, con el objeto de establecer unnexo seguro de comunicación entrelos centros municipales. En la apli-cación Seguridad y Control de Acce-sos, se realizaron mejoras para per-mitir trabajar con tarjetas de identi-ficación digital.

La directora del departamento deTIC cree que, para cualquier instala-ción crítica en materia de datos ycobertura de la red de telecomuni-caciones, se debe realizar un plan decontingencias, en el que se recojacomo una de las primeras acciones

el disponer de un centro de back-upante casos de desastre. "Considerototalmente necesario tener un plande contingencias y un centro deback-up, tanto de datos y servido-res, como de equipamiento decomunicaciones".

Sobre los riesgos que puede traerla movilidad (PDA´s, wi-fi, etc.), "enestos momentos, no parece que sealo más aconsejable basar parte de lalógica de negocio de la instalaciónen estas tecnologías aún emergen-tes y sin depurar las vulnerabilidadesde su seguridad". "Puede habercasos en los que, para dar ciertosservicios, puedan ser suficientes lasmedidas de seguridad que propor-cionan estas tecnologías; por ejem-plo, para servicio de hot-spot o decortesía para accesos a internet delos ciudadanos (usuario/contraseña,WPA)".

En cuanto a tecnologías queestán utilizando, para intercambiode información con otras entidades,AXCRIPT (cifrado de los datos) y EDI-TRAN (vía líneas X.25 de formasegura). Para accesos a la red yautenticación, Smart Card Logoncon tarjeta ciudadana, Radius y VPN(conexiones externas), HTTP´s, certi-ficación digital, distintos SSID´s yWPA en wi-fi y virtualización deservidores para su mejor gestión debackup y control de accesos.

Con respecto a equipos comomedidas de seguridad, firewall deCheckpoint, sondas IDS y el estudiode accesos a red (interna y externa),con empresas expertas. Otras medi-das de seguridad, MIMIX, como plande contingencia para replicación online de las aplicaciones y datos degestión, virtualización de ser-

Web del Ayuntamiento de Vitoria.

Vitoria cuenta con una extensared de telecomunicaciones y

aplicaciones desarrolladas paralos entornos operativos.

Begoña Orcasitas (Vitoria).

Datos


vidores y unión de cabinas de discosen remoto a través de fibra óptica.

AYUNTAMIENTO DE ALCOBENDASEl Ayuntamiento de Alcobendas

lleva a cabo el programa 'Alco-bend@s protege tus datos', desdemayo de 2008, para adaptar los ser-vicios municipales a la legislaciónvigente sobre protección de datosde carácter personal y garantizar losderechos de los ciudadanos de inti-midad y seguridad.

Con este programa, se adecúanlos procedimientos municipales alnuevo reglamento de protección dedatos, aprobado en enero de 2008, yse ha reforzado la formación de casi300 empleados municipales enmateria de protección de datos. Através de una campaña de informa-ción, los vecinos conocen sus dere-chos sobre protección de datos decarácter personal y los compromisosdel ayuntamiento al respecto: infor-mar sobre el destino y uso de losdatos que pide al ciudadano; garan-tizar su seguridad; facilitar por múl-tiples canales, incluida la web muni-cipal, el ejercicio de los derechos delos ciudadanos sobre sus datos decarácter personal; y garantizar quese solicitan únicamente los datosnecesarios para prestar y gestionarlos servicios con calidad.

El alcalde de Alcobendas, IgnacioGarcía de Vinuesa, y la concejal dePlanificación, Concha Villalón, reci-bieron recientemente el PremioEuropeo a las Mejores Prácticas enProtección de Datos por este pro-yecto. El galardón consolida la tra-yectoria de modernización eimplantación de una gestión decalidad en los servicios que presta elayuntamiento, que recientementerevalidaba el Sello Europeo de Exce-lencia en su categoría de oro por sugestión y es el único consistorioespañol que cuenta con este reco-nocimiento en la máxima categoría.

El proyecto surgió como unaapuesta del liderazgo de la ciudadde Alcobendas en los aspectos rela-cionados con la calidad de la ges-tión, la innovación y los serviciosque presta a los ciudadanos. SegúnGarcía de Vinuesa, 'Alcobend@sprotege tus datos' “es un paso más

en la calidad de los servicios que seofrece a los vecinos. Esta calidadpasa también por la confianza de losvecinos en su administración local.Que tengan la seguridad de que susdatos sólo se utilizarán para el fincon el que han sido solicitados''.

Para adecuar los procedimientosmunicipales al nuevo reglamento deprotección de datos, aprobado el 19de enero de 2008, y a una mejorpráctica administrativa, el ayunta-miento acometió una serie de accio-nes internas. Se definió y normalizóel proceso municipal de protecciónde datos de carácter personal, con elfin de asegurar la mejora continuade la organización en esta materia.

Asimismo, se han revisado losimpresos y formularios, por mediode los que la administración recogelos datos de carácter personal, y sehan emprendido iniciativas parareforzar la formación de alrededorde 200 empleados municipales enmateria de protección de datos,difundiéndose el proyecto a todo elpersonal a través de los canales decomunicación interna. El consistorioha dado a conocer a los vecinos susderechos sobre protección de datosde carácter personal, así como elesfuerzo que realiza para ser refe-rente en su defensa.

DIPUTACIÓN DE GUIPÚZCOALa Diputación Foral de Guipúzcoa

aprobó en mayo de 2008 el PlanForal de Modernización y Mejora dela Gestión Pública 2008-2011, entrecuyos objetivos está el de elaborar el

plan de actuación dirigido al cum-plimiento de las exigencias de la Leyde Protección de datos. La directorade Modernización de la Administra-ción, Paz Simón Quijeira, explicaque, en el marco de este plan, se hanidentificado una serie de medidas decara a mejorar la seguridad endiversos aspectos. "Respecto alacceso a las aplicaciones y a la red,así como a la configuración de losnavegadores, con el bloqueo auto-mático del ordenador y otra serie demedidas, que implicarán modifica-ciones en el propio documento deseguridad".

Entre las actuaciones del plan, seprevé "el desarrollo de un sistema deidentificación única para las y losempleados, en el que se está valo-rando la posibilidad de extender lafirma electrónica a todo el perso-nal". Actualmente, la DiputaciónForal de Guipúzcoa está siendoauditada en materia de protecciónde datos de carácter personal, lo quepermitirá identificar carencias yáreas de mejora para cuya imple-mentación habrá que definir unplan de actuación.

Por otro lado, se está llevando acabo una experiencia piloto dirigidaa la implantación de una herra-mienta de gestión integral de lalegislación vigente en materia deprotección de datos de carácter per-sonal, que posteriormente se trasla-dará al resto de los departamentosdependientes de la diputación. "Estaaplicación permitirá la optimizaciónde la gestión de la información y

activos, facilitará la ges-tión del documento deseguridad y la notificaciónde ficheros a la AgenciaVasca de Protección deDatos y otra serie de fun-cionalidades dirigidas amejorar la gestión de laseguridad de la informa-ción".

La directora de Moder-nización destaca que la diputaciónva a participar, junto con la AgenciaVasca de Protección de Datos y laAsociación de Municipios Vascos(Eudel), en el desarrollo de un pro-yecto para "facilitar a los ayunta-mientos del territorio histórico deGuipúzcoa con una poblaciónmenor de 20.000 habitantes la rea-lización de planes de implantaciónen materia de protección de datosde carácter personal".

Sin embargo, Paz Simón adviertede que todos estos sistemas, dirigi-dos a garantizar la seguridad de ladocumentación y de los datos quese gestionan en la institución foral,pierden parte de su eficacia si elpersonal carece de sensibilización enesta materia. "Por este motivo, en elplan de formación de 2009 se hanincluido nuevas acciones formativasen materia de seguridad de infor-mación y protección de datos decarácter personal".

Asimismo, desde el blog corpora-tivo Hobekuntza, especializado en elámbito de la mejora y moderniza-ción de la gestión pública, se haincluido una categoría relativa a laseguridad de la información, en laque se publican artículos dirigidos adar a conocer y a sensibilizar en estamateria a través de manuales, guías,videos o el análisis de casos prácti-cos. Finalmente, se está colaborandocon la Agencia Vasca de Protecciónde Datos en la implantación de unaexperiencia piloto con esta finali-dad.

CambiosSimón Quijeira resalta el hecho de

que las tecnologías de la informa-ción y comunicación han dado lugara cambios en el modo en que laspersonas se comunican e interac-túan en todos los ámbitos, "posibili-

Web del Ayuntamiento de Alcobendas.

'Alcobend@s protege tus datos'pretende garantizar los derechosde los ciudadanos a la intimidad

y seguridad.

tando la gestión y difusión de grancantidad de información y facilitan-do el día a día de las personas y lasorganizaciones".

Pero también advierte que losriesgos sobre la privacidad, sobre elacceso no autorizado a la informa-ción sensible y en particular a losdatos de carácter personal hanaumentado considerablemente,pudiendo hacerse desde cualquierpunto del planeta. "Asimismo, el maluso (deliberado o inconsciente) deestas tecnologías puede dar lugar aque se divulgue información confi-dencial, sobre datos de personasusuarias de servicios y beneficiariasde ayudas, sobre clientes y cualquierotro tipo de información relaciona-da con la actividad de una organiza-ción".

Destaca, especialmente, el casode los menores e internet, ya que enmuchos casos éstos no son cons-cientes de las consecuencias deponer información personal a dispo-sición de cualquiera (fundamental-mente a través de las redes sociales)."Desde todos los niveles institucio-nales se conoce esta realidad y, poreste motivo, se están impulsandoprogramas y campañas dirigidas asensibilizar a este colectivo (SaferInternet Programme, KontuzDatos,etc)".

Por otro lado, se está terminandola implantación de un centro deproceso replicado del actual y sin-cronizado en tiempo real con él,como una de las medidas másimportantes establecidas en el plande contingencia. Para entrar en lasaplicaciones de intranet desde unespacio wi-fi, se exigen unas medi-das de control de alta seguridad.

Paz Simón indica que la SociedadForal de Servicios Informáticos(IZFE) es la entidad que presta apo-yo tecnológico a la diputaciónforal. Y nombra algunos de loscomponentes de la plataforma deseguridad: "utilización de certifica-dos digitales; firma electrónicaavanzada; firewalls; IDS (detecciónde intrusos); antispam y antivirus,tanto a la entrada como a la salidade mensajería; metodología de pro-gramación; y aplicación de buenasprácticas ITIL".

Como proyectos generales, desta-ca que IZFE trabaja en la implanta-ción de un sistema de gestión deseguridad de la información (SGSI),"que tendrá una repercusión directaen la mejora de la seguridad en laDiputación Foral de Guipúzcoa".

UNIVERSIDAD JAUME IEn la medida en que son herra-

mientas necesarias para el trata-miento de los datos, las TIC tienenun papel crucial a la hora de prote-ger la información. Así lo creeVicente Andreu Navarro, técnico delgabinete de Planificación y Prospec-tiva Tecnológica de la UniversidadJaime I de Castellón.

Este experto apunta que, durantemuchos años, en el diseño de siste-mas de tratamiento de informaciónha primado la efectividad y la facili-dad de implantación o de uso sobrelas cuestiones relativas a la seguri-dad de los datos. "En los últimostiempos, sin embargo, esta tenden-cia ha cambiado y los sistemas, cadavez más, se ponen en explotacióntras haber valorado adecuadamentelos riesgos a que pueden estarexpuestos y haber implementado lasmedidas de protección y controlnecesarias para garantizar su dispo-nibilidad y, por supuesto, la integri-dad, confidencialidad y autenticidadde la información que tratan".

Desde hace varios años, la Univer-sidad Jaume I ha emprendido dife-rentes actuaciones en materia deprotección de la información. En2005, se llevó a cabo un análisis sis-

temático de los riesgos a que esta-ban expuestos los datos de la uni-versidad desde cuatro perspectivasdiferentes de seguridad: disponibili-dad de los sistemas, disponibilidadde los datos, confidencialidad eintegridad. Para ello, se utilizómetodología CRAMM y se estimó elriesgo de los diferentes activos conque se contaba.

Posteriormente, se pensó en siste-matizar la problemática de la segu-ridad de la información, estable-ciendo un sistema de gestión de lamisma similar a los que se habíanimplantado en el sistema de calidad."Como primer paso, se llevó a caboun análisis diferencial de la gestiónde la seguridad de la información enla universidad respecto de la normaUNE 71502".

La consecuencia fue un plan demejora constituido por diferentesproyectos, que abarcaban actuacio-nes tanto en el ámbito puramentetécnico (mejoras en la protección desistemas y telecomunicaciones),como en el organizativo. "Algunosde ellos, como el proyecto Clauerrelacionado con la firma electrónica,han tenido bastante repercusión enel ámbito de las administracionespúblicas".

Últimamente, "con el fin de avan-zar en la formalización e implanta-ción de un sistema universitario degestión de la seguridad de la infor-mación, se ha puesto en marcha unproyecto que se desarrollará a lo lar-go de 2009 y tiene como referenciala familia de normas ISO 27000".

Por otra parte, Andreu explicaque el uso de centros de respaldoexternos es una cuestión sometida aestudio constante. Sin embargo, noha sido implantada por las especia-les características físicas de una uni-versidad, en la que la infraestructu-ra propia ofrece suficientes garan-tías para alojar uno o varios centrosde respaldo internos. "La elecciónentre una aproximación u otra no esúnicamente cuestión de coste, sinode facilidad y agilidad en el mante-nimiento y de confianza en el pres-tador del servicio".

Aplicaciones webLa seguridad de las aplicaciones

web es también una preocupaciónconstante, dado que la mayor partede servicios académicos o adminis-trativos hacen ya uso de estainfraestructura. "En el caso de laUniversidad Jaume I, la seguridad enel acceso web a las aplicaciones esuna cuestión que se toma en consi-deración desde el inicio de los pro-yectos de desarrollo".

También se han tomado medidaspara minimizar los riesgos derivadosde la movilidad. Los tratamientos dedatos académicos o administrativosse hacen a través de la aplicacionescorporativas y se intentan limitarmediante herramientas ofimáticas."En cualquier caso, apunta, el acce-so a los sistemas corporativos puedehacerse por parte de los miembrosde la comunidad a través de una redprivada virtual; y el acceso a lasredes inalámbricas, gracias a lainciativa Eduroam, usa mecanismosde autenticación y cifrado de lainformación".

Son muchas las empresas y orga-nismos que han participado en pro-yectos corporativos de la universi-dad vinculados a la seguridad de lainformación. Por ejemplo, la Autori-dad de Certificación de la Comuni-dad Valenciana, Siemens, CatCert...

En cuanto a los proyectos actua-les y, atendiendo únicamente a sumarco de referencia, están trabajan-do para "la implantación de un SGSIcon metodología MAGERIT y lafamilia de normas ISO 27000". Enesta actuación, cuentan con la cola-boración de S2grupo.


Web de la Diputación de Gipuzkoa.

La Diputación de Guipúzcoaprevé el desarrollo de un

sistema de identificación únicapara los empleados.

Las TIC en la Seguridad y Protección de Datos -...

Documents

Transcript of Las TIC en la Seguridad y Protección de Datos -...