Caso de Éxito: Adaptación para la certificación ENS en Esycsa

Uno de los mayores casos de éxito de nuestra compañía ha sido la adaptación para certificación en el Esquema Nacional de Seguridad (ENS) realizada a Esycsa. Debido a ello queremos explicaros como ha sido el proceso desde el primero momento.

Esycsa forma parte del Grupo Etra, empresa líder en movilidad, energía, seguridad y servicios tecnológicos. El Grupo Etra proporciona y gestiona la tecnología de más de la mitad del tráfico urbano en España, entre otros múltiples servicios.

Cabe destacar que el contrato de tráfico donde se enmarca el alcance del proyecto llevado a cabo es el primer contrato de este tipo certificado en España. Este contrato abarca los servicios de gestión y mantenimiento de sistemas de regulación y control del tráfico del Concello de Vigo con una duración de 8,5 años y por 35,6 millones de euros.

Su principal novedad es el despliegue de un sistema de comunicación con los vehículos que funcionará como plataforma de servicios cooperativos. La nueva plataforma es un sistema innovador que pretende abrir un canal de comunicación bidireccional y permanente entre la infraestructura de tráfico urbana y los vehículos que circulan, con el propósito de mejorar la seguridad viaria, la fluidez del tráfico y reducir la contaminación.

EL RETO

El Esquema Nacional de Seguridad establece unos principios básicos y requisitos mínimos para una protección adecuada de los sistemas de información. En este caso, Esycsa como proveedor de servicios tecnológicos a una Administración Pública tiene el deber de cumplir con el ENS.

La seguridad de la información es primordial y no contar con un sistema de gestión implica que no se dispone de una protección eficaz ante diferentes riesgos y amenazas, y por tanto, no se tienen los mecanismos para afrontar un incidente de seguridad con garantías.

SOLUCIÓN INPROSEC

El principal objetivo del proyecto era obtener la certificación en nivel medio en el Esquema Nacional de Seguridad vigente en un plazo aproximado de un año. A la par se buscaba aumentar los niveles de madurez en seguridad de la información y protección de datos personales, usando de base las medidas ya existentes previamente en Esycsa.

Inprosec ha colaborado en las siguientes tareas:

• Análisis de la situación inicial: como primer paso, se realizó el análisis de la situación inicial, cuyo objetivo era determinar la situación en ese momento de Esycsa respecto al grado de cumplimiento del ENS, detectando así las carencias del sistema de gestión de seguridad de la información y pudiendo así determinar las acciones necesarias para poder subsanarlas.
• Inventario de activos y análisis de riesgos: Esycsa contaba con un inventario de activos del sistema de información, que además había sido utilizado para la elaboración del Análisis de Riesgos. Sin embargo, existían algunas carencias que fueron solventadas, así como las actualizaciones y el mantenimiento necesario para la correcta gestión de los riesgos.
• Elaboración de la declaración de aplicabilidad: para realizar la declaración de aplicabilidad se tuvo en cuenta la evaluación y categorización realizada en el inventario de activos, para determinar la categoría a asignar al sistema de información, e identificar qué controles son aplicables para dicha categoría.
• Preparación del Plan de Trabajo: Con toda esta información se elaboró el Plan de Trabajo, en el que se indicaban las acciones a llevar a cabo para conseguir solventar las deficiencias existentes para que Esycsa se certificase en el plazo establecido. En el se tuvieron en cuenta tanto los documentos a elaborar, como las medidas técnicas a implementar, estableciendo un orden de prioridades para ello.
• Definición, implantación y mejora de controles de seguridad: Durante esta etapa se desarrollaron las siguientes acciones derivadas del Plan de Trabajo definido previamente:
  • Elaboración de normativas y procedimientos de seguridad: empezando por la Política de Seguridad y la Normativa de Seguridad, se definió todo el cuerpo documental requerido para el nivel de cumplimiento medio.
  • Implantación de procesos y medidas técnicas de seguridad: se realizaron las configuraciones y cambios en sistemas necesarios, a la par que los procesos de Esycsa se vieron modificados para facilitar el cumplimiento del ENS.
  • Aprobación del SGSI por la Dirección y comunicación: como último paso de esta etapa, el SGSI fue aprobado por la Dirección de la compañía y se comunicaron los cambios.
• Informe del Estado de la Seguridad en el ENS y preparación para la certificación: en la última etapa, se guio a Esycsa para cumplimentar e informar sobre el Estado de Seguridad en la plataforma INES. Posteriormente, se realizó una auditoría interna (con un proveedor externo) para determinar puntos de mejora, en los cuales se trabajó previamente a la auditoría externa de certificación. La certificación final se concedió el 20/09/2021, tras las correcciones pertinentes.

RESULTADOS

La adaptación al Esquema Nacional de Seguridad, incluyendo la mejora o implementación de los controles de seguridad, sirvió para conseguir los siguientes beneficios en Esycsa:

1. Certificación ENS conseguida desde 2021 (requisito como proveedor de servicios de gestión y mantenimiento de sistemas de regulación y control del tráfico del Ayuntamiento de Vigo en el contrato de 8,5 años y valor de 35,6 millones de euros). 
2. Aumento de los niveles de madurez en seguridad de la información y protección de datos personales.
3. Mejora en la organización del servicio.
4. Mejora en la concienciación de los proveedores, del personal asociado al contrato y de los propios Responsables municipales.
5. Mejora en los mecanismos, y de los tiempos de recuperación ante fallo de los Sistemas, aportando a una mayor resiliencia de la ciudad.
6. Mayor control en la administración informática de los Sistemas.