Ir al contenido principal

Prevención en la Administración Electrónica

El Real Decreto 3/2010, 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto 


El Esquema Nacional de Seguridad está formado por
  • los principios básicos 
  • y requisitos mínimos requeridos para una protección adecuada de la información. 

Será aplicado por las Administraciones públicas para
  • asegurar el acceso, 
  • integridad, 
  • disponibilidad, 
  • autenticidad, 
  • confidencialidad, 
  • trazabilidad 
  • y conservación de 
    • los datos, 
    • informaciones 
    • y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.
El ámbito de aplicación será el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio.

Están excluidos del ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo.

El objeto último de la seguridad de la información es asegurar que una organización administrativa podrá cumplir sus objetivos utilizando sistemas de información.

En las decisiones en materia de seguridad deberán tenerse en cuenta:
  • a) Seguridad integral.
  • b) Gestión de riesgos.
  • c) Prevención, reacción y recuperación.
  • d) Líneas de defensa.
  • e) Reevaluación periódica.
  • f) Función diferenciada.
La seguridad se entenderá como un proceso integral constituido por todos los elementos 
  • técnicos, 
  • humanos, 
  • materiales 
  • y organizativos, relacionados con el sistema. 
Es fundamental la concienciación de las personas que intervienen en el proceso y de sus responsables jerárquicos, para que, 
  • ni la ignorancia, 
  • ni la falta de organización y coordinación, 
  • ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.
La gestión de la seguridad tiene que estar basada en los riesgos, es decir, el análisis y la gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse actualizado permanentemente.

La gestión de riesgos permitirá
  • el mantenimiento de un entorno controlado, 
  • minimizando los riesgos hasta niveles aceptables. 
La reducción de los niveles de riesgo se realizará desplegando medidas de seguridad, que establecerán un equilibrio entre
  • la naturaleza de los datos 
  • y los tratamientos, 
  • los riesgos a los que estén expuestos 
  • y las medidas de seguridad.
Son fundamentales la prevención, reacción y recuperación.  La seguridad del sistema debe contemplar los aspectos de
  • prevención, 
  • detección 
  • y corrección, 
  • para conseguir que las amenazas no se materialicen, ni afecten gravemente a la información o a los servicios que se prestan.
La prevención debe eliminar o, -al menos-, reducir la posibilidad de que lleguen a materializarse las amenazas  con perjuicio para el sistema. Estas medidas de prevención contemplarán, entre otras,
  • la disuasión 
  • y la reducción de la exposición.
Para atajar los incidentes de seguridad a tiempo, las medidas de detección estarán acompañadas de medidas de reacción.

Las medidas de recuperación permitirán restaurar
  • la información 
  • y los servicios, 
de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.

Resultado de imagen de Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

El sistema deberá garantizar la conservación de los datos e informaciones en soporte electrónico; y mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.

Se ha de contar con líneas de defensa. Se trata de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuestas de forma que, cuando una de las capas falle, permita:
  • a) Ganar tiempo para una adecuada reacción frente a los incidentes que no han podido evitarse.
  • b) Reducir la probabilidad de que el sistema en su conjunto sea comprometido.
  • c) Minimizar el impacto final.
Las líneas de defensa han de estar constituidas por medidas de naturaleza
  • organizativa, 
  • física y 
  • lógica.
Se contemplará la reevaluación periódica. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando, -si fuese necesario-, incluso a un replanteamiento de la seguridad.

La seguridad será una función diferenciada. En los sistemas de información se diferenciará
  • el responsable de la información, que determinará los requisitos de la información tratada
  • el responsable del servicio, que determinará los requisitos de los servicios prestados
  • y el responsable de la seguridad, que determinará las decisiones para satisfacer los requisitos de seguridad de 
    • la información 
    • y de los servicios.

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

La política de seguridad de la organización detallará
  • las atribuciones de cada responsable 
  • y los mecanismos de coordinación y resolución de conflictos.

Entradas populares de este blog

¿Qué es la Grafocrítica?

Hablando sobre Pericia Caligráfica: ¿Qué es la Grafocrítica?23 octubre, 2012 Segundo artículo de la serie Hablando sobre Pericia Caligráfica de María del Carmen Calderón Berrocal, Perito Judicial Calígrafo en los tribunales de Sevilla y Huelva.
La grafocrítica es la crítica del grafismo desde el punto de vista de su autenticidad, se trata de determinar la veracidad o dolo que hay en un determinado escrito Hay que tener presente conceptos como Paleografía y Neografía. Mientras que la Paleografía es la ciencia que estudia la grafía hasta el siglo XVI, la Neografía vendría a encargarse de lo propio a partir de esta fecha. Es por esto que la Grafocrítica, Grafística, pericia caligráfica, está vinculada inherentemente a las humanidades y a las Ciencias y Técnicas Historiográficas. El concepto Grafocrítica viene a emplearse cuando se estudian documentos posteriores al siglo XVI y cuando estos estudios se basan en el estudio de los aspectos psic…

Finalidad del archivo

Sobre la ISO 15489

La Norma ISO 15489 trata sobre los principios de la gestión de documentos, estableciendo los basicos requisitos para que las distintas organizaciones puedan poner en marcha un marco de buenas prácticas que sirvan para mejorar sistemática y efectivamente la creación y el mantenimiento de sus documentos,a la vez que se apoye la política y los objetivos de la organización.

Ésta y otras normas que le son complementarias vienen a responder a la evolución del records management, en América; y del recordskeeping, en Australia, sobre la necesidad de integrar la gestión documental enfocada en normas de procesos y normas de gestión de calidad.

Para el desarrollo de un plan de gestión de documentos, se debe establecer la política y responsabilidades conforme a las necesidades de la organización.

La Norma presenta una metodología específica para

- el diseño y la implementación del sistema de gestión documental
- definir los procesos técnicos
- elaborar los instrumentos principales (cuadros de cl…