Casos de éxito
La seguridad de la información en el Gob. Regional de Atacama (Chile)

La seguridad de la información en el Gobierno Regional de Atacama

Antecedentes

Con la implementación de la ley chilena No 19.553, se iniciaron los llamados “Programas de Mejoramiento de la Gestión (PMG)” en los servicios públicos de la Administración Pública de Chile.

En el año 2010 se particularizó uno de estos programas, el llamado Sistema de Seguridad de la Información (PMG-SSI), donde las instituciones públicas chilenas deben identificar las eventuales amenazas y vulnerabilidades que afectan a los activos de información vinculados a sus procesos de negocio y de soporte, poniendo especial énfasis en disponer de un Plan de Tratamiento de Riesgos para mitigarlas y reducirlas.

Igualmente se les exige la implementación de un Sistema para la Gestión de la Información (SGSI) para lograr unos niveles adecuados de confidencialidad, integridad y disponibilidad para esos activos de información y asegurar así la continuidad operacional de los procesos de soporte y de provisión de cada institución para la entrega efectiva de productos y servicios a sus usuarios o beneficiarios, siguiendo en todo momento la norma chilena NCh-ISO 27001.

Se puede apreciar una similitud en el planteamiento del Gobierno de Chile mediante el PMG-SSI, con el del Gobierno de España mediante el Esquema Nacional de Seguridad (ENS), con algunas matizaciones, como es el caso de que el Gobierno de España decidió realizar unas especificaciones concretas (el RD 3/2010) mientras que el Gobierno de Chile optó por seguir la norma basada en ISO 27001, y que el Gobierno de Chile, para potenciar la aplicación de dicha norma, asocia el cumplimiento de esos objetivos de gestión con un incentivo en las remuneraciones de los funcionarios.

El Gobierno Regional de Atacama y su implementación del PMG-SSI

En el marco de los trabajos para cumplir con el PMG-SSI, el Gobierno Regional de Atacama (Chile) licitó la contratación de una Consultoría Experta en Seguridad de la Información con el objeto de apoyar la implementación de su Sistema de Gestión de la Seguridad de la Información y dar así cumplimiento al Decreto Supremo N° 83 I 2005 – SEGPRES y a la norma NCh-ISO 27001:2009, de la que fue adjudicataria la empresa Ingeniería e Integración Avanzadas (INGENIA), a través de su empresa filial en Chile Ingenia Global.

Los trabajos de la consultoría fueron ejecutadas durante el cuarto trimestre del año 2012, destinando la adjudicataria a personal experto, compuesto por Andrés Méndez y Antonio Villanueva, para su realización in-situ en las instalaciones del Gobierno Regional de Atacama en la ciudad de Copiapó. Para el Gobierno Regional de Atacama era un elemento clave el contar con el personal al cargo de la ejecución de los trabajos en sus propias instalaciones, para que éstos comprendieran adecuadamente sus necesidades y su realidad diaria, así como para realizar una mejor transferencia tecnológica del conocimiento y experiencia de los consultores.

La realización del proyecto de Consultoría se llevó a cabo en tres fases:

  • Fase 1. Levantamiento inicial de Antecedentes y Requerimientos.
  • Fase 2. Análisis y Desarrollo de los Productos Esperados.
  • Fase 3. Entrega y Conclusión de productos Finales.

Como valor añadido al Gobierno Regional, durante el primer semestre de 2013, Ingenia adquirió el compromiso de proporcionar asesoramiento y soporte remoto para aclarar cualquier consulta sobre los resultados, el uso de las herramientas suministradas, aspectos jurídicos, organizativos o técnicos relativos a la ejecución de los resultados, a protocolos de pruebas, a la adquisición de equipamiento y de software, contratación de líneas de comunicaciones, gestión de inventarios, etc.

Fase 1. - Levantamiento inicial de Antecedentes y Requerimientos

Tras la reunión inicial y presentación de los participantes de Ingenia e interlocutores del Gobierno Regional, se presentó un cronograma inicial de trabajo y se identificaron las áreas afectadas por el PMG- SSI y sus interrelaciones.

Para dar a conocer el proyecto entre los implicados a todos los niveles, se llevó a cabo una jornada de sensibilización y difusión de los trabajos que se iban a acometer, para contar así con el apoyo de todas las partes y exponer cuál sería su participación a lo largo del proyecto.

Como hito destacable de la ejecución de esta primera fase se llevó a cabo un análisis de riesgos de los sistemas de información, utilizando la herramienta PILAR y la metodología MAGERIT con objeto de diagnosticar la situación de los sistemas respecto a la norma la NCh-ISO 27001.

Fase 2. - Análisis y Desarrollo de los Productos Esperados

La ejecución de la segunda fase del proyecto implicó la elaboración de políticas, normas y procedimientos relativos a los requisitos de las normas NCh-ISO 27001 y NCh-ISO 27002 reflejando las necesidades del negocio de acuerdo a los requerimientos exigidos en el PMG-SSI.

Se desarrollaron los siguientes documentos:

  • Política de Gestión de las Comunicaciones y Operaciones, procedimientos y normas asociados.
  • Política de Control de Accesos, procedimientos y normas asociados.
  • Política de Adquisición, Desarrollo y Mantenimiento de Sistemas de Información, procedimientos y normas asociados.
  • Política de Gestión de Incidentes en Seguridad de la Información, procedimientos y normas asociados.
  • Procedimientos detallados de Contingencia y Recuperación de servicios informáticos tales como las bases de datos institucionales, el servidor de aplicaciones y el servidor de archivos.

La redacción de esta documentación complementa a la que ya existía en el Gobierno Regional de Atacama respecto al PMG-SSI y da cumplimiento a la necesidad de disponer de textos escritos que garanticen el cumplimiento y la ejecución de los controles y objetivos de control de la norma NCh-ISO 27002.

Por último, se llevó a cabo un Análisis de Impacto en el Negocio (BIA) como base a la hora de establecer una estrategia de Plan de Recuperación ante Desastres (DRP). En la realización del BIA se tuvo en cuenta la alta frecuencia de movimientos sísmicos de la región, así como otros elementos propios de la zona. Posteriormente se elaboró la estrategia más adecuada que el Gobierno Regional de Atacama debe seguir para garantizar la continuidad de las operaciones de sus sistemas de información en caso de desastre.

Fase 3. - Entrega y Conclusión de productos

Por último, y para conseguir una adecuada sensibilización y conocimiento en relación con las principales vulnerabilidades, las políticas definidas e implementadas a lo largo de toda la licitación para proteger la entidad de la plataforma tecnológica del Gobierno Regional, se llevó a cabo una jornada de difusión y capacitación final a todos los funcionarios implicados.

Herramienta ePULPO como apoyo a la Consultoría Estratégica

Como herramienta principal de soporte y seguimiento del PMG-SSI, Ingenia ha proporcionado al Gobierno Regional de Atacama su plataforma ePULPO (Plataforma de Unificación Lógica de los Procesos Organizativos) en su modalidad de Cloud Computing.

Ahora, el Gobierno Regional de Atacama cuenta con la herramienta para reducir el esfuerzo de su departamento de tecnologías de la información para el cumplimiento y mantenimiento del PMG-SSI gracias a que todas las actividades llevadas a cabo en la plataforma se integran unas con otras, multiplicando los resultados con el mínimo esfuerzo, como son la plataforma de teleformación, el cuadro de mandos con métricas e indicadores, o la generación automática de informes a medida.