ISO 27002/ 2007 en el CSIC: certificacin de

la calidad en los servicios electrnicos

Proyecto Curso de Consultora del Sector Pblico


Elena Casarrubios Blanco


1

Contenido
1. Introduccin ......................................................................................................................................... 2
2. El CSIC y la implantacin de la Administracin Electrnica ...................................................... 4
3. Descripcin y alcance del Proyecto .............................................................................................. 5
4. Plan de Accin del Proyecto ......................................................................................................... 10
5. Costes del proyecto ......................................................................................................................... 11
6. Riesgos y vulnerabilidades de la Seguridad de la Informacin en el CSIC .......................... 12
8. RRHH asignados ................................................................................................................................ 14
9. Comunicacin de los resultados ................................................................................................... 14
10. Documentacin de los trabajos entregables ........................................................................... 15
11. Adquisiciones ................................................................................................................................... 16
11. Bibliografa ........................................................................................................................................ 16
12. Legislacin ........................................................................................................................................ 17





2
1. Introduccin
Hasta el momento, la estrategia de implantacin de la calidad que han seguido
las Administraciones Pblicas ha tenido como referencia principalmente la certificacin
de la prestacin de servicios de atencin al ciudadano y la proteccin legal de sus datos.
Sin embargo, la evolucin de la Administracin Electrnica est haciendo que las normas
tcnicas se encuentren tambin al amparo de las frmulas de certificacin de calidad, ya
que las normas administrativas han de contemplar tanto la garanta de calidad tanto
desde la ptica del procedimiento administrativo, como desde la del punto de vista del
medio tecnolgico sobre el que se realiza.
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
Servicios Pblicos (Ley de Administracin Electrnica) puso fecha a la convergencia de
medios tradicionales y medios electrnicos en el tratamiento del acto administrativo.
En materia tecnolgica, el vaco existente entre la emisin de esta Ley y la
actualidad se ha ido llenando con la prctica de dos tipos de normas. Por un lado se
distinguen las que se enmarcan en el contexto del plan Moderniza y el Plan de Medidas
de promocin de la transparencia y la participacin en la Administracin General del
Estado (Programa del Observatorio de la Calidad de los Servicios Pblicos y Agencia
Estatal de Evaluacin de las Polticas Pblicas y de la Calidad de los Servicios), y por otro
las normas tcnicas emitidas por las entidades de certificacin (ITIL, COBIT, ISO 20000, ISO
27000).
La consideracin del factor tecnolgico en las primeras alcanza en mayor
medida el aspecto de control y auditora. Se distinguen el cuestionario de la Gua de
Autoevaluacin de la Administracin Pblica, que intenta responder a la adaptacin del
modelo EFQM para su utilizacin por todas las unidades administrativas, y las Cartas de
Servicios Electrnicos.
Estos ltimos son documentos que pretenden informar a los ciudadanos acerca
de los servicios de carcter electrnico que se encuentran a su disposicin. Contienen los
compromisos de calidad asumidos por los departamentos y los organismos pblicos (Real
Decreto 951/2005, de 29 de julio, captulo 3, art. 13, por el que se establece el marco
general para la mejora de la calidad en la Administracin General del Estado), que
ofertan los servicios electrnicos.
El problema que plantean estas Cartas de Servicios Electrnicos es que son un
breve catlogo de los servicios informticos que se prestan. Teniendo en cuenta que la
extensin de estos documentos (contienen el enunciado de los servicios, las
especificaciones de uso, y los compromisos de calidad que el organismo pblico

3
adquiere) es de no ms de dos pginas, es difcil que un ciudadano que las lea interprete
que existe una voluntad por proteger las comunicaciones con esta unidad organizativa a
partir de medios como la firma electrnica, o que esta unidad dispone de un sistema de
salvaguardas para unidades de almacenamiento, de forma que la informacin
confidencial alojada en ellos no termine circulando por Internet como ha sucedido en
algn pas.
La casustica de estos servicios electrnicos es diversa. En el documento Gua
para el desarrollo de Cartas de Servicios
1
se especifican las normas que deben tenerse en
consideracin para definir una Carta de Servicios Electrnicos. En los apartados
correspondientes (relacin de servicios prestados, compromisos concretos en la
prestacin, indicadores para el seguimiento, medidas de subsanacin) se debera
incluir la vinculacin con la familia de las normas tcnicas ITIL/ COBIT/ ISO que amparan la
tecnologa, los sistemas de informacin, la seguridad informtica y los servicios de
atencin a usuarios.
La Ley de Contratos de la Administracin del Estado (Disposicin adicional
decimonovena. Uso de medios electrnicos, informticos y telemticos en los
procedimientos regulados en la Ley) dice que Los sistemas de comunicaciones y para
el intercambio y almacenamiento de informacin debern poder garantizar de forma
razonable, segn el estado de la tcnica, la integridad de los datos transmitidos y que slo
los rganos competentes, en la fecha sealada para ello, puedan tener acceso a los
mismos, o que en caso de quebrantamiento de esta prohibicin de acceso, la violacin
pueda detectarse con claridad. Estos sistemas debern asimismo ofrecer suficiente
seguridad, de acuerdo con el estado de la tcnica, frente a los virus informticos y otro
tipo de programas o cdigos nocivos, pudiendo establecerse reglamentariamente otras
medidas que, respetando los principios de confidencialidad e integridad de las ofertas e
igualdad entre los licitadores, se dirijan a minimizar su incidencia en los procedimientos.
Respecto a las normas tcnicas emitidas por las entidades de certificacin (ITIL,
COBIT, ISO 20000, ISO 27000), ofrecen diferentes marcos de gestin de la informacin en
infraestructuras, seguridad, procesos y procedimientos Su consideracin es importante
ya que a travs de estos certificados se pueden vincular los servicios ofrecidos por
empresas privadas en servicios especializados como el alojamiento de la informacin (que
efectivamente tiene que garantizar un servicio durante 24 horas 7 das a la semana y

1
Gua para el desarrollo de Cartas de Servicios. Ministerio de Administraciones Pblicas. Madrid, 2006.


4
tender a minimizar las incidencias producidas), la proteccin fsica de los datos y el control
del nivel de acceso por personal previamente autorizado, la aplicacin de las medidas de
salvaguarda de los recursos de los proyectos, el establecimiento de polticas de backup
de la informacin, o la elaboracin de un plan de contingencia para prever la
disponibilidad de los servicios en caso de fallos de disponibilidad.
El captulo V, artculo 20 del Real Decreto 951/2005, que regula el Programa de
Evaluacin de la Calidad de las Organizaciones especifica que El Ministerio de
Administraciones Pblicas determinar los modelos de gestin de calidad reconocidos
conforme a los que se realizar la evaluacin de los rganos u organismos de la
Administracin General del Estado, sin perjuicio de otros modelos que ya se vengan
aplicando o puedan aplicarse en distintos departamentos ministeriales. La evaluacin se
articular en dos niveles: autoevaluacin y evaluacin externa.
En stas se encuentran organismos como la Agencia Estatal del CSIC, que incluye
entre las normas que amparan los servicios electrnicos que ofrece la adecuacin a la
ISO 27000 en seguridad de la informacin, a COBIT en cuanto a infraestructuras, e ITIL y
COBIT en cuanto a servicios.
El objetivo de este proyecto de consultora es fijar las bases para asociar los
estndares tcnicos de calidad de estas certificaciones al conjunto de normas
procedimentales con las que trabaja la Administracin General en este momento,
principalmente la Carta de Servicios Electrnicos.
2. El CSIC y la implantacin de la Administracin Electrnica
El CSIC es el mayor Organismo Pblico de investigacin en Espaa. Est constituido
por una sede central (donde se definen y coordinan las lneas estratgicas y la gestin
econmica y administrativa) y por 126 centros de investigacin. Su presupuesto supera los
quinientos millones de euros anuales y su plantilla supera las 12000 personas, entre personal
administrativo, cientfico e investigador.
En 2007 (RD 1730/2007, de 21 de diciembre) ha pasado a ser Agencia Pblica, y se
dedica principalmente a difundir las publicaciones y a las patentes de los resultados de
sus investigaciones, es decir, a la transferencia del conocimiento que realizan sus
organismos. Es el organismo responsable del 50% de las publicaciones cientficas
internacionales espaolas, del 50% de las del sector pblico espaol, de la aportacin del
30% de las patentes europeas de este sector.
La Agencia Estatal del CSIC ha acometido a partir de 2005 una importante tarea
transformarse y modernizarse de poner en orden sus infraestructura tecnolgica y de
seguridad de la informacin con el objetivo de implantar con las mximas garantas la

5
Administracin Electrnica. Uno de los instrumentos para acometer este proceso es el Plan
de Sistemas, en un plazo de tres aos (junio 2005 a mayo 2008).
Por otro lado se ha planteado un Plan Director de Seguridad de la Informacin,
que ha sido presentado en la primera mitad del 2010.
Estos dos documentos son los ejes principales para la obtencin de dos
certificaciones que, de incluirse en la Carta de Servicios Electrnicos del CSIC pueden
sentar un precedente importante en cuanto a la forma de gestionar el factor tecnolgico
en cualquier organismo pblico.
El entorno tecnolgico con el que trabaja la Agencia del CSIC el back- end del
cliente- se caracteriza por su elevado grado de complejidad, y por una decidida apuesta
por el Software de Fuentes Abiertas. En cuanto a la primera caracterstica, la complejidad
incluye la dispersin geogrfica de los centros de investigacin, la variedad de
herramientas que cada uno de estos centros ha venido utilizando, y la existencia de
diferentes formas de soporte a los usuarios.
Para paliar estos problemas se ha hecho hincapi en la mejora de infraestructura
de Comunicaciones (que se encuentra avalada por el Plan Director de Seguridad de la
Informacin), la certificacin del Framework de desarrollo del CSIC, la creacin de la
Oficina Tcnica de Proyectos y Consultora del Plan, y la reestructuracin del Centro
Tcnico de Informtica.
3. Descripcin y alcance del Proyecto
El objetivo del proyecto es certificar el conjunto de medios tecnolgicos con los
que el CSIC presta sus servicios electrnicos, para su posterior consideracin en la Carta
de Servicios Electrnicos a efectos de garanta de calidad.
Estos servicios electrnicos son:
Tipo de registro
Nombre procedimiento Dedicado a.
Registro
Electrnico:
Procedimiento
Genrico
Registro Genrico dirigido a la
Agencia Estatal del CSIC (con
DNIe/certificado)
Registro de propsito general dirigido
al Consejo Superior de
Investigaciones Cientficas.
Registro Electrnico Comn del
060 (con DNIe/certificado)

Registro
Electrnico:
Procedimientos
Especficos
Reclamaciones previas (con
DNIe/certificado)
Reclamaciones previas que el
ciudadano puede interponer a travs
del Registro Electrnico del Consejo
Superior de Investigaciones
Cientficas.
Recursos Administrativos (con
DNIe/certificado)
Recursos administrativos que el
ciudadano puede interponer a travs
del Registro Electrnico del Consejo
Superior de Investigaciones

6
Cientficas.
Finalizacin de la prolongacin
de la permanencia en el servicio
activo (con DNIe/certificado)
Presentacin de solicitudes para la
finalizacin de la prolongacin de la
permanencia en el servicio activo.
La recopilacin de la informacin relativa al anlisis de la situacin de las TIC en el
CSIC se ha venido realizando desde que el Plan de Sistemas fuera aprobado en 2006. Esta
informacin se encuentra recogida y actualizada en los siguientes documentos:



Red de accesos acentros
Mejora de infraestructura de comunicaciones
Red Wi-fi
Gestor de servicios DNS, DHCP y NTP
Infraetructura ToIP
Equipamiento
Licencias corporativas SW
Correo Electrnico
Infraestructuras TIC (Plan
Director de Seguridad de la
Informacion Plan de Sistemas)
Sistemas de Gestin Econmica
Sistemas de Inventario
Sistemas de Recursos Humanos:
Bolsa trabajo
Sistema de formalizacin de contratos de obra y servicio
Cuota patronal
Gestin de vacaciones
Sistema integrado de gestin de la productividad
Sistema definicin de puestos de trabajo
Sistemas de Infomacin
(Framework de Desarrollo del
CSIC)
Plan de Sistemas de Actividad Cientfica
Convocatorias vigentes
Ayudas de Movilidad
Formacin Personal Investigador: becas
Imputacin de horas
Sistemas de actividad cientfica
(Plan Director de Seguridad de la
Informacion Plan de Sistemas)
Web del CSIC
Intranet del CSIC
Clculo cientfico
Acceso a clusters TRUENO, HADES, IMAFF y CFMAC.
Otras aplicaciones (Framework
de Desarrollo del CSIC)
Secretara General Adjunta de Informtica
Servicios de Atencin a usuarios
(Otros estndares previos a la
certificacin: ITIL, ISO 20000...)

7
De todos ellos, el ms importante es el Plan Director de Seguridad de la
Informacin.
Existen diferentes motivos por los que se ha escogido el esquema de certificacin
ISO 27000. En primer lugar, en el Plan Director de Seguridad de la Informacin ya se tuvo
esta norma en consideracin. Cuando se redact el Pliego de Condiciones de realizacin
del Plan Director todava no exista el Esquema Nacional de Seguridad
2
, y se hizo especial
hincapi en las herramientas Magerit v2 (mtrica de las AAPP que incluye ) y PILAR
(acrnimo) como propias de las AAPP.
En segundo lugar, la ISO 20000 (y por extensin la norma ITIL, que es la base de la
ISO 20000), est orientada exclusivamente a Gestionar Servicios. En este caso, los
procesos de negocio de un organismo pblico ya estn representados en la Carta de
Servicios del organismo correspondiente.
Por otro lado, si lo importante es la relacin con la seguridad (datos sensibles,
financieros, policiales, I+D, estratgicos, etc.), y no la certificacin de los parmetros con
los que se establecen relaciones con los proveedores, la mejor opcin es la ISO 27002.
La norma ISO 27000 tiene en comn con la ISO 20000 el planteamiento del
esquema PDCA:

Ilustracin 1 - Modelo PDCA aplicado a los procesos del Sistema de Gestin de Seguridad de Informacin SGSI.
(Fuente Implantacin de la ISO 27001: 2005, Sistema de Gestin de Seguridad de Informacin. Alberto G.
Alexander, www.docstoc.com)
La forma en que estos documentos fueron elaborados ya cont en su momento
con un procedimiento de anlisis consensuado entre empleados pblicos, participantes

2
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y en el Real
Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad.

8
en el proyecto a nivel interno, y consultores. En este procedimiento se tuvieron en cuenta
los siguientes hitos:
1. Auditora estado de seguridad en Secretara General Adjunta del CSIC (organismo
encargado de la gestin de las TIC en el CSIC)
En ella se realizaron las siguientes tareas:
Recopilacin de la documentacin existente
Recopilacin de los usuarios finales y los responsables de unidades
Revisin de plataformas tanto a nivel hardware como software
Revisin de la estructura de comunicaciones
Revisin de la poltica de seguridad previa
Identificacin y valoracin de activos. Se realizaron las siguientes tareas:
o Anlisis de la documentacin existente.
o Propuesta de reuniones con usuarios finales y/ o responsables de las
unidades.
o Anlisis de las plataformas (niveles Hw y Sw)
o Anlisis de la estructura de comunicaciones
o Anlisis de la poltica de seguridad y modelo organizativo de la seguridad
informtica.
o Anlisis de la adecuacin y cumplimiento en materia legislativa
relacionada con la seguridad y la proteccin de datos.
identificacin y descripcin de amenazas
Identificacin y evaluacin de vulnerabilidades. Se realizaron las siguientes tareas:
o Escaneo de puertos y vulnerabilidades (ya sea en forma automtica y/ o
manual)
o Descubrimiento de protocolos, servicios y servidores
o Pruebas de filtrado de acceso, tanto en la red interna como externa
o Estado de credenciales, permisos y escalado de privilegios
o Acceso a ficheros y bases de datos
o Comprobacin de niveles de acceso fsico.
o Comprobacin de backups y su funcionamiento.
o Estado de redes Wi-fi y VoIp
Identificacin y valoracin de impactos
Identificacin de salvaguardas (establecidas, planificadas y nuevas)
Evaluacin del riesgo
Nivel cumplimiento de la Iso 27002: 2007.

9
2. Proceso consultivo de necesidades de los centros si trascienden servicios prestados por
la SGAI
Se realizaron entrevistas en seis centros de diferentes tipos: propios, mixtos, centros
con ubicaciones especiales, y centros con ubicaciones crticas o con problemas.
3. Elaboracin de plan de Accin orientado a detectar los riesgos detectados
A un plazo de dos aos, se identificaron riesgos a corto, medio y largo plazo.
4. Desarrollo de poltica de seguridad y definicin del Plan de Accin
La poltica de Seguridad contemplaba el marco de actuacin del Plan de Accin.
En este marco se analizaba la desviacin en el cumplimiento de la norma ISO 27002,
estableciendo el nivel de madurez como definido (categoras inexistente/ inicial/
gestionado/ definido/ cuantitativamente gestionado/ optimizado).
Por otro lado, se pretenda que la organizacin en su conjunto participase del
proceso ya que se haba desarrollado un mdulo especfico de concienciacin de
usuarios sobre la seguridad de la informacin, de forma que los procedimientos fueron
implantados, documentados y comunicados mediante formacin.
Por ltimo, se instaba al desarrollo de una serie de proyectos que
complementaran este Plan de Accin: gestin de identidades, usuarios y permisos, el
NAC (securizacin de acceso a redes de comunicaciones) y cortafuegos de
aplicaciones, y la adaptacin al ENS (Esquema Nacional de Seguridad).
Este ltimo es el marco normativo en materia de seguridad de las Tecnologas de
la Informacin que, al amparo del RD 3/2010, de 8 de enero, crea las condiciones
necesarias de confianza en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad, de forma que se permita a los ciudadanos y a las
Administraciones pblicas ejercer el ejercicio de derechos y el cumplimiento de deberes a
travs de estos medios.
Una de sus principales caractersticas es que aporta un lenguaje comn para
facilitar la interaccin de las Administraciones pblicas, as como la comunicacin de los
requisitos de seguridad de la informacin a la industria.
El ENS establece que todos los rganos superiores de las AA.PP. debern disponer
de su poltica de seguridad en base a los principios bsicos y aplicando los requisitos
mnimos para una proteccin adecuada de la informacin.
En este sentido, para hacer que un SGSI est adaptado al ENS no es necesario que
disponga de la certificacin ISO 27001 o ISO 27002, pero s est especialmente indicado
en los sistemas de nivel alto (satisfaccin de principios de seguridad integral, gestin de

10
riesgos, reevaluacin peridica y mejora continua del proceso de seguridad) y en sistemas
de informacin orientados inicialmente a comercio electrnico.
El proceso realizado para implantar el PDSI, en comparacin con el proceso de
implantacin de una norma de calidad es el que refleja la Tabla 1:
PDSI- CSIC ENS
Poltica de seguridad de la
informacin
1 Organizacin e implantacin del proceso
de seguridad
Organizacin de seguridad de la
informacin
2 Anlisis y gestin de riesgos
Gestin de activos 3 Gestin de personal
Seguridad relacionada con los RRHH 4 Profesionalidad
Seguridad fsica y del entorno 5 Autorizacin y control de los accesos
Gestin de comunicaciones y
operaciones
6 Proteccin de las instalaciones
Control de acceso 7 Adquisicin de productos
Adquisicin, desarrollo y
mantenimiento de los sistemas de
informacin
8 Seguridad por defecto
Gestin de incidentes de seguridad
de la informacin
9 Integridad y actualizacin del sistema
Gestin de la continuidad de negocio 10 Proteccin de la informacin
almacenada y en trnsito
Cumplimiento 11 Prevencin ante otros sistemas de
informacin interconectados
12 Registro de actividad
13 Incidentes de seguridad
14 Continuidad de la actividad
15 Mejora continua del proceso de
seguridad
Tabla 1 - Comparacin proceso PDSI/ CSIC y ENS. (Fuente: Dolores de la Gua Martnez, 2010)
4. Plan de Accin del Proyecto
En cualquier proyecto de consultora cuyo propsito sea la obtencin de una
certificacin, los pasos a seguir son:
1. Definir Alcance
2. Definir Visin y Objetivos
3. Elegir esquema de certificacin
4. Elegir entidad certificadora
5. Definir Auditor/ validar alcance
6. Definir formacin personal implicado
7. Realizar evaluacin inicial del SGSTI
8. Dar evidencias de Polticas/ procesos/ procedimientos
9. Crear un Plan de Mejora de Servicio/ Implementar mejora continua

11
10. Re- evaluacin/ Manejo de las observaciones
11. Auditora de certificacin
12. Mantener la certificacin/ mtricas
En este proyecto, teniendo en cuenta que los pasos 1 a 8 ya se han realizado, el
esquema contempla las fases del siguiente cronograma:


5. Costes del proyecto
BSK Nombre Inicio Fin Tiem
po
Coste
1 Presentacin proyecto y personal involucrado Sep 20 Sep 20
2 Jornada presentacin proyecto Sep 20 Sep 20 4h 6,732
3 Recopilacin informacin y documentacin Sep 20 Sep 29 5d
3.1 Recopilacin informacin SGSTI del Plan Director de
Seguridad Informtica (anlisis situacin actual,
reflejada en el PDSI, riesgos, vulnerabilidades...)
Sep 20 Sep 24 2d 10,400
3.2 Elaboracin documentacin ISO 27002 Sep 24 Sep 29 2d 13,728
3.3 Revisin documentacin ISO 27002 Sep 29 Sep 29 1d 20,000

12
4 Plan de Mejora de Servicio Sep 30 Oct 11 9d
4.1 Creacin de un Plan de Mejora de Servicio Sep 30 Oct 4 3d 31,200
4.2 Presentacin Plan de Mejora de Servicio Oct 4 Oct 5 4h 10,000
4.3 Implementacin Plan de Mejora de Servicio Oct 5 Oct 8 4d 41,600
4.4 Evaluacin Implementacin Plan de Mejora de
Servicio
Oct 8 Oct 11 1d 10,400
4.5 Revisin Evaluacin Implementacin Oct 11 Oct 11 4h 10,000
5 Auditora Interna Oct 11 Oct 15 4d 41,600
6 Re- evaluacin/ Manejo de las observaciones Oct 15 Oct 15 1d 20,000
7 Auditora de certificacin Oct 15 Oct 15
Total 215,660

6. Riesgos y vulnerabilidades de la Seguridad de la Informacin en el CSIC
En el Pliego de Prescripciones Tcnicas para la Contratacin de Servicios de
Consultora para la Definicin de un Plan Director de Seguridad de la Informacin en los
Servicios Centrales de la SGAI (Secretara General Adjunta de Informtica) del CSIC se
fijaba como punto de partida en la elaboracin del PDSI tres hitos.
En primer lugar se defina una primera etapa, el Anlisis de la Situacin Actual, que
tena como objetivo recopilar la informacin necesaria a nivel fsico y lgico de los
sistemas, comunicaciones, servicios y medidas de seguridad existentes.
La segunda y tercera etapa eran el anlisis de riesgos y el de vulnerabilidades. Esta
ltima consista en la obtencin de una visin global a partir de la realizacin de una serie
de pruebas que no originasen denegacin y degradacin del servicio.
El siguiente cuadro muestra la documentacin que se elabor tanto en el anlisis
de riesgos como en el de vulnerabilidades. Se entienden como una fuente de informacin
actualizada de la que parte este proyecto:

13


Riesgos:
Identificacin y valoracin de activos
Identificacin y descripcin de amenazas a las que se someten los activos
Identificacin y descripcin de vulnerabilidades a las que se someten los activos
Identificacin y valoracin de impactos
Identificacin de las salvaguardas establecidas actualmente y las planificadas a futuro,
as como la necesidad de implantar nuevas salvaguardas.
Plan de tratamiento de riesgo para los activos
Evaluacin de los riesgos especificando los intrnsecos y los efectivos tras la
modificacin/ implantacin de salvaguardas
Evaluacin del riesgo global
Nivel de cumplimeinto de la norma iso 27001 en el CSIC
Comparativa de niveles de riesgos con empresas del sector.
Vulnerabilidades:
Informe tcnico en el que especifica el detalle de todas las pruebas y trabajos
realizados, resultados, vulnerabilidades encontradas y planes de mitigacin
para cada una de ellas, y recomendaciones.
Informe ejecutivo donde se detallar el resumen de los hallazgos principales y
las recomendaciones.

14
8. RRHH asignados
Los recursos asignados a este proyecto se agrupan en dos categoras, que se
describen a continuacin de acuerdo con las definidas en el MRFI-C
3

1 auditor estratgico con funciones de jefe de proyecto. Este perfil
corresponde al de un auditor senior con cinco aos de experiencia
contrastada como auditor estratgico o siete aos acumulando experiencia
como consultor estratgico o consultor senior. La experiencia adquirida est
relacionada con la direccin de planes directores de seguridad y/ o
estratgicos de seguridad.
Las tareas que deber desarrollar estn relacionadas con la auditora de
Sistemas de Informacin, o de Calidad Informtica, la coordinacin del
proyecto (con las correspondientes pautas de supervisin de objetivos a
alcanzar y el tiempo disponible, y la vigilancia de los puntos fuertes y dbiles
del mismo).
Posee conocimientos sobre organizacin y planificacin del rea tecnolgica,
y la evaluacin de riesgos.
2 auditores, con un mnimo de dos aos de experiencia como auditores.
Tendrn los conocimientos suficientes en metodologas, herramientas y
tcnicas de auditora, y aspectos legales de la Auditora Informtica.
A lo largo del proyecto aplicarn controles de prevencin, deteccin y
correccin de errores, participarn en la obtencin de informacin
colaborando con el auditor senior, revisarn la documentacin, y verificarn la
existencia de controles adecuados que garanticen en todo momento la
fiabilidad, seguridad e integridad de la informacin.
En todo momento mantendrn relacin con el auditor estratgico del
proyecto y acudirn a reuniones ocasionalmente.
El precio/ hora de los diferentes recursos se incluye en la siguiente tabla:
Name Cost
Auditor 1 1300
Auditor 2 1300
Auditor estratgico 2500

9. Comunicacin de los resultados

3
Modelo de Referencia de Funciones Informticas para la Contratacin (MRFI-C), definido por la Comisin
Interministerial de Adquisicin de Bienes y Servicios Informticos.

15
La comunicacin de los resultados se har de diferentes formas. En primer lugar se
proceder a incluir en la Carta de Servicios Electrnicos una modificacin que aadir
los datos de la obtencin de la certificacin (entidad certificadora, fecha de obtencin
del certificado, servicios cubiertos por esta certificacin).
La aprobacin de esta certificacin ser remitida por el titular del CSIC al
Subsecretario del Ministerio de Ciencia e Innovacin, quien la someter a informe de la
Secretara General para la Administracin Pblica (Direccin General de Inspeccin,
Evaluacin y Calidad de los Servicios).
El Subsecretario aprobar la Carta mediante Resolucin.
En el Boletn Oficial del Estado se publicar exclusivamente el texto de dicha
Resolucin, indicndose asimismo los lugares y formas en que se encuentra disponible
para el pblico.
Por otro lado, la memoria del CSIC del ao 2010 incluir un epgrafe dedicado a la
certificacin de la norma. En sucesivos aos se incluirn las actualizaciones
correspondientes a la mejora continua aplicada, es decir, el tratamiento de las no-
conformidades.
En el sitio web del CSIC se incluir una referencia a la Carta de Servicios
Electrnicos.
Por ltimo, en la parte de la carta de servicios electrnicos, la prctica comn era
la peticin de disculpas, ahora ser la definicin de un incumplimiento que deber ser
revisado y solventado de acuerdo con el proceso de mejora continua.
10. Documentacin de los trabajos entregables
Para la conformidad con la ejecucin del proyecto, se debern hacer entrega de los
siguientes documentos:
Un documento que contenga el informe del anlisis de la situacin actual
Un documento que defina la poltica y organizacin de la seguridad (Poltica
de Seguridad de la Informacin para el CSIC/ Plan Director de Seguridad
Informtica actualizado, estructura organizativa de la seguridad)
Un documento que contenga el informe del anlisis de riesgos y amenazas
actualizado
Un documento que contenga el informe del anlisis de vulnerabilidades
tcnicas actualizado
Un documento resumen que contenga las medidas empleadas para controlar
las vulnerabilidades, los riesgos y las amenazas: el plan de mejora de servicio

16
Todos los ficheros de trabajo y los informes extrados de la herramienta
empleada para realizar el anlisis actualizado de riesgos.
Todos los informes definidos en la metodologa de anlisis de riesgos para cada
una de las unidades evaluadas (salvaguardas, estado del riesgo, informe de
insuficiencias)
Un documento resumen con los resultados del anlisis del riesgo
Un documento que describa las lneas de contenga el compromiso de la
gerencia del organismo (formulacin, revisin y aprobacin de la poltica de
Seguridad Informtica, revisin permanente de la eficacia de la
implementacin de la poltica de Seguridad Informtica, aprobacin de
funciones y responsabilidades especficas para la Seguridad Informtica en
toda la organizacin, supervisin de la coordinacin de la implementacin de
los controles de Seguridad Informtica en toda la organizacin, mantenimiento
de la cultura de la Seguridad Informtica a travs de foros, jornadas)
Un documento que contenga la documentacin base para el tratamiento
normativo
11. Adquisiciones
Tanto el auditor estratgico como los auditores requieren como herramienta de
trabajo ordenadores porttiles de perfil alto (altas prestaciones como capacidad
de disco duro, memoria, procesador, tarjeta grfica..) con las licencias de sw
correspondiente (incluido Microsoft Office Enterprise, VISIO, MS Project), cuyo uso
vendr imputado contra la hora del auditor.
11. Bibliografa
Las Administraciones Pblicas y la certificacin de los Servicios Pblicos
Electrnicos. Elena Casarrubios. Revista. Auditora y Seguridad, n 23, junio 2008.
Estrategias para la implantacin de la Administracin Electrnica en el Consejo
Superior de Investigaciones Cientficas. El Plan de Sistemas Informticos. Clara Cala
Rivero y ngel L. Rodrguez Alcalde (num. 197). TECNIMAP 2006 (Sevilla)
El Framework de Desarrollo del Consejo Superior de Investigaciones Cientficas.
Clara Cala Rivero y ngel L. Rodrguez Alcalde (num. 202). TECNIMAP 2006 (Sevilla)
Memoria Anual CSIC, 2009. Centro Superior de Investigaciones Cientficas, Madrid.
2010.
Pliego de Prescripciones Tcnicas para la Contratacin de Servicios de Consultora
para la definicin de un Plan Director de Seguridad de la Informacin en los

17
Servicios Centrales de la Secretara General adjunta de Informtica del Consejo
Superior de Investigaciones Cientficas. CSIC, 2007.
El largo camino de un Plan Director de Seguridad de la Informacin. Dolores de la
Gua Martnez. VII Foro de Seguridad de RedIris/ UAM. 22- 23 de Abril 2010.
El Esquema Nacional de Seguridad. Miguel A. Amutio. Jornadas PREPARATIC, 10 de
julio de 2010.
Gua para el desarrollo de Cartas de Servicios. Ministerio de Administraciones
Pblicas. Madrid, 2006.
12. Legislacin
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
Servicios Pblicos. ( BOE, 23-junio-2007 )
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente
la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
servicios pblicos. ( BOE, 18-noviembre-2009 )
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica
Ley de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento
Administrativo Comn (Ley 30/1992, de 26 noviembre)
Normas sobre los servicios de informacin administrativa y atencin al ciudadano
(RD 208/1996, de 9 febrero)
Ley 28/2006, de 18 julio, de Agencias estatales para la mejora de los servicios
pblicos
Real Decreto 1317/2001 de 30 de Noviembre, por el que se desarrolla el artculo 81
de la Ley 66/1997 de 30 de Diciembre, de Medidas fiscales, administrativas y de
orden social, en materia de prestacin de servicios de seguridad, por la Fbrica
Nacional de Moneda y Timbre/ Real Casa de la Moneda, en las comunicaciones a
travs de medios electrnicos, informticos y telemticos con las Administraciones
Pblicas.
Real Decreto 772/1999 de 7 de Mayo. Solicitudes, escritos y comunicaciones ante
la Administracin General del Estado. Expedicin de copias de documentos y
devolucin de originales. Oficinas de registro. Rgimen.
Ley 34/2002 de 11 de Julio, de servicios de la Sociedad de la Informacin y de
Comercio Electrnico.

18
Ley 32/2003 de 3 de Noviembre, General de Telecomunicaciones (Disposicin final
primera por la que se modifica la Ley 34/2002 de 11 de Julio, de Servicios de la
Sociedad de la Informacin y Comercio Electrnico).
Resolucin de creacin de la Sede Electrnica del CSIC (BOE 2-abril-2010)
Resolucin de creacin del Registro Electrnico del CSIC (BOE 2-abril-2010