Seguritecnia 376

160 SEGURITECNIA Junio 2011 riesgos ha de disponer de un análisis y gestión permanentemente actualizado, y el valor de las medidas de seguridad debe ser siempre proporcional a los riesgos”. En el MITyC entienden que si se está familiarizado con normas como la ISO 27001, no es tan difícil la adopción del ENS, ya que estos estándares definen cómo establecer un Sistema de Gestión de la Seguridad de la Información (SGSI), que es lo que en definitiva persigue el esquema. “Hemos adaptado nues- tras tareas y buenas prácticas de ITIL, que nos ayudaban a cumplir con el ENS. Asimismo, las guías del Centro Criptológico Nacional (CCN) nos ayuda- rán en todo momento y nos resolverán un 80 por ciento de los posibles proble- mas”, apuntó Rodríguez. En el turno de preguntas se puso de relieve la cuestión de la responsabilidad de los trabajadores, que es más difícil de determinar cuando se producen pérdi- das de información: “¿Y si es un troyano y no ha sido un robo deliberado?, ¿se con- templa esto en la adaptación al ENS?”, preguntó Victorino Martín, director de Operaciones de AlienVault. Rodríguez “supuso un jarro de agua fría para una Administración en crisis y porque es un documento orientado a técnicos al que se le ha querido dar un formato legal y al leerlo por primera vez no se comprende nada. Después de unas cuantas lecturas piensas en él como un arma a favor de la Seguridad y para presionar a nuestros ‘mayores’ sobre la necesidad de estas medidas”. En este sentido, en lo que concier- ne a Seguridad de la Información: “la Orden Ministerial ITC/657/2011 describe de forma más detallada – según expli- có Rodríguez – cuál es nuestro marco de trabajo en el MITyC, determinando quién es el responsable de cada área y las funciones de cada comité. A su vez, establece el procedimiento para el aná- lisis y la gestión de riesgos”. Para el portavoz gubernamental, el ENS propone un modelo de Seguridad Integral donde la formación y la con- cienciación son fundamentales. “En el caso de la Administración, todavía no hay responsables de Seguridad Integral, pero sí debe haber coordinación entre seguridad física y lógica” –argumentó – . La gestión de la Seguridad basada en Según comentaron Andrés Martín y Emilio Santos, en Novacaixagalicia se emprendieron cuatro líneas de trabajo: el cumplimiento de la Ley (donde se incluyen normativas propias del sector); la identificación y puesta en marcha de mejores prácticas que faciliten el cumplimiento; la integración de las per- sonas de ambas entidades; y, por último y no menos importante, la eficiencia económica. En ambas entidades galle- gas, hasta que se completase operati- vamente la nueva estructura de la caja de ahorros: “había que recortar gastos sin renunciar a la inversión y nuestra misión era hacerlo a toda velocidad”, declaró Martín. “Las cajas no estaban tecnológicamente a la misma altura, pero estamos trabajando para igualar- las en términos máximos. Para ello es muy importante trabajar con aliados, no tenemos proveedores, sino socios que tienen la llave de nuestra casa”, concluyó. El MITyC, adaptado al ENS Miguel Ángel Rodríguez, jefe del Área Informática de la Subdirección General de TIC del Ministerio de Industria, Turismo y Comercio (MITyC), trató en su ponencia la aplicación de la Seguridad Integral desde el Esquema Nacional de Seguridad (ENS). La aprobación de la Ley 11/2007, que garantiza el acceso de los ciudadanos a la Administración por vía telemática, ha supuesto un gran esfuerzo para la Administración, atendiendo a Rodríguez. “Ya tenemos las autopistas, que son las conexiones de banda ancha, que facili- tan las transacciones por vía electrónica en la mayoría de los casos. Sin embar- go, el DNIe sólo alcanza una cuota de utilización del 5 por ciento (sobre un total de 18 millones expedidos). Aporta confianza, pero no ha cuajado su uso y habría que analizar en serio por qué”, se preguntó el representante del MITyC. Por otra parte, Rodríguez defendió el Esquema Nacional de Interoperabilidad (ENI) como un elemento vital para evitar un caos administrativo y como com- plemento del ENS. Porque, para este ingeniero en Informática, el esquema Jacinto Muñoz, de Mapfre, realizó una didáctica exposición en la que dio a conocer cómo se plantea en su organización el concepto de Seguridad de principio a fin. En el MITyC entienden que si la organización está familiarizada con normas como ISO 27001, no es tan difícil la adopción del Esquema Nacional de Seguridad