Investigación
Aragonesa de Servicios Telemáticos renueva su certificación en el Esquema Nacional de Seguridad
Tras superar satisfactoriamente la auditoría, AST revalida su posición como una de las diez entidades públicas certificadas, con categoría alta
La administración autonómica trabaja ya en un Centro de Operaciones de Ciberseguridad, con una inversión de 4,5 millones, para detectar, analizar y corregir incidentes de ciberseguridad
Aragonesa de Servicios Telemáticos (AST) ha revalidado su posición como una de las diez entidades públicas certificadas, con categoría ALTA, en el Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad (ENS) es un Decreto Ley que establece un exigente marco legal en base a principios y requisitos de seguridad de los sistemas de información. El ENS cuenta con tres categorizaciones de los sistemas: baja, media y alta. Siendo esta última la que implica mayor exigencia y requerimientos de seguridad en los sistemas TIC gestionados por la entidad, desde la arquitectura de red hasta el control de acceso a los servidores, pasando por los sistemas de detección de intrusión o los sistemas de gestión de información y eventos de seguridad.
AST se certificó con categoría alta por primera vez en el año 2018, siendo de las primeras entidades en hacerlo. Desde entonces se somete cada dos años a una exhaustiva auditoría de recertificación para demostrar el compromiso del Gobierno con los servicios públicos digitales. Durante la auditoria se evalúa la implantación de 75 medidas de seguridad tanto del marco organizativo, marco operacional, así como medidas de protección específicas para la protección de equipos, comunicaciones, soportes de información, aplicaciones informáticas, entre otras.
El alcance de esta certificación es el alojamiento de aplicaciones de Administración Electrónica, que permite ofrecer al Gobierno de Aragón, y por tanto a los aragoneses, la garantía de los servicios y la información gestionada, y seguir generando confianza en el uso de la Administración Electrónica para convertirla en una realidad que se extienda a todos los procesos de nuestra Administración.
AST ha superado la auditoría sin que se detecte ninguna no conformidad, lo que demuestra el grado de madurez en la implantación de esta ley en el Gobierno de Aragón.
Parte del secreto del éxito y uno de los puntos fuertes detectados ha sido «el nivel de detalle en la documentación del Sistema de Gestión Integrado implantado». Precisamente, AST lleva certificando desde el 2019 dicho sistema de gestión en las normas ISO/IEC 27001 (Seguridad de la información) e ISO 9001 (Gestión de la calidad), sometiéndose anualmente a las correspondientes auditorías externas. Otro de los puntos fuertes identificados ha sido «el análisis de riesgos pormenorizado y la distribución eficiente de las tareas de mitigación del riesgo».
Para continuar avanzando en la gestión de la seguridad de la información en el Gobierno de Aragón existen varias iniciativas en materia de ciberseguridad en el contexto de los fondos NEXTGen, destinadas a reforzar los elementos e infraestructuras de seguridad ya implantados, incorporando nuevos elementos que permitan ejecutar e implantar contramedidas eficaces para minimizar los riesgos a los que una organización como el Gobierno de Aragón se enfrenta en materia de ciberseguridad.
En este sentido, se trabaja ya –con una inversión de 4,5 millones de fondos europeos REACT y MRR- en la creación de un Centro de Operaciones de Ciberseguridad autonómico, Security Operation Center (SOC), cuya misión será detectar, analizar y corregir incidentes de ciberseguridad utilizando soluciones tecnológicas y enfoques diferentes en función del tipo de incidente.
Estos equipos especializados de respuesta ante incidentes son responsables de garantizar la seguridad de la información supervisando y analizando la actividad en redes, servidores, terminales, bases de datos, aplicaciones, sitios web y otros sistemas en busca de señales débiles o comportamientos anormales que puedan indicar un potencial incidente de seguridad. Su objetivo es garantizar que los posibles incidentes de seguridad se identifiquen, analicen, defiendan, investiguen e informen adecuadamente.