10/12/07

La Consejería de Agricultura de Murcia, primera entidad pública de la Administración española en conseguir la certificación ISO 27001

Como ya había comentado en un post anterior, Firma, Proyectos y Formación S.L. ha trabajado durante este último año en un proyecto relacionado con la implantación de un sistema de gestión de seguridad de la información certificable con la norma ISO 27001 en una Administración Pública. Evidentemente hemos tenido que esperar a que el citado organismo lo diera a conocer para poder indicar quién y qué ha logrado.

En concreto, ha sido la Consejería de Agricultura y Agua de la Comunidad Autónoma de Murcia la que ha conseguido certificar bajo la norma ISO 27001 el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA.

Para quien no esté familiarizado, los fondos europeos de financiación se gestionan mediante los llamados "Organismos Pagadores". Existen en cada comunidad autónoma y éstos a su vez son coordinados por el Ministerio de Agricultura y Pesca. La Unión Europea establece reglamentos donde define una serie de requisitos a satisfacer, tanto para la concesión de ayudas como para la gestión de los Organismos Pagadores.

Existe desde el año 97, una directriz que exige garantizar la seguridad de la información, en concreto, la Directriz VI/661/97 rev. 2 CE sobre la Seguridad de la Información de los Sistemas de Información de los Organismos Pagadores. Esta directriz establece que los organismos pagadores deberán basar la seguridad de sus sistemas de información en los criterios establecidos en una versión aplicable de una de las normas siguientes, que gozan de aceptación internacional:
  • Organización Internacional de Normalización 17799/Norma británica 7799: Code of practice for Information Security Management (ISO/IEC 27002)

  • Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (IT Protection Manual).

  • Information Systems Audit and Control Foundation: objetivos de control en el ámbito de la información y las tecnologías afines (COBIT).

También se establece en la citada directriz que:
"Las medidas de seguridad deberán estar adaptadas a la estructura administrativa, al personal y al entorno tecnológico de cada uno de los organismos pagadores. El esfuerzo financiero y tecnológico deberá ser proporcional a los riesgos reales existentes."
Dado que esto último implica seleccionar los controles de cualquiera de las normas sugeridas en base al nivel de riesgo, lo más adecuado para la Consejería de Agricultura y Agua de la Comunidad Autónoma de la Región de Murcia ha sido establecer un Sistema de gestión de la seguridad de la información sobre el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA y certificarlo según la norma ISO 27001.

A éste mérito se suma además, el tratarse de la primera Administración Pública que obtiene esta certificación ISO/IEC 27001. La entidad de certificación ha sido SGS acreditado bajo esquema UKAS.

La nota de prensa publicada puede ser consultada en CARM.es - La Consejería de Agricultura es la primera entidad pública de la Administración española que consigue la certificación ISO de seguridad