Estas auditorías se realizan cada dos años. AST se certificó con categoría ALTA por primera vez en el 2018, siendo de las primeras entidades en hacerlo. Desde entonces se ve sometida cada dos años a una exhaustiva auditoria. Durante la auditoria se evalúa la implantación de 75 medidas de seguridad tanto del marco organizativo, marco operacional, así como medidas de protección específicas para la protección de: equipos, comunicaciones, soportes información, aplicaciones informáticas, información y servicios entre otras.
Durante la auditoria se requiere evidenciar la implantación y control de dichas medidas. Siendo lo normal que al finalizar la auditoria se encuentren no conformidades que la entidad auditada ha de subsanar antes de lograr el certificado. Sin embargo, derivado del grado de madurez en la implantación de esta ley, AST ha superado la auditoria sin que se detecte ninguna no conformidad.
Parte del secreto del éxito en la auditoria, y uno de los puntos fuertes detectados ha sido «el nivel de detalle en la documentación del Sistema de Gestión Integrado implantado.» Precisamente, voluntariamente, AST lleva certificando desde el 2019 dicho sistema de gestión en las normas ISO/IEC 27001 (Seguridad de la información) e ISO 9001 (Gestión de la calidad). Sometiendo anualmente a la entidad a las correspondientes auditorías externas. Este sistema integrado de gestión permite identificar todos los procesos de la entidad, establecer métricas que permiten evaluar el rendimiento de cada proceso y configurar un método de mejora continua de la entidad.
Otro de los puntos fuertes identificados ha sido «el análisis de riesgos pormenorizado y la distribución eficiente de las tareas de mitigación del riesgo». Esto es, AST realiza un considerable esfuerzo en identificar y analizar los riesgos. Afrontando los mismos de manera proporcional a su nivel, priorizando entre ellos y evaluando las relaciones de coste-beneficio en la respuesta a los mismos. Tratando el riesgo y mitigarlo hasta llegar a una situación aceptable. Asumiendo la realidad de que una situación aceptable no es perfecta.
El alcance de la certificación del ENS, el alojamiento de aplicaciones de Administración Electrónica, permite ofrecer al Gobierno de Aragón, y por tanto a los aragoneses, la garantía de los servicios y la información gestionada, y seguir generando confianza en el uso de la Administración Electrónica para convertirla en una realidad que se extienda a todos los procesos de nuestra Administración.
Ignacio Pérez
«Es probable que nos pasemos un mes al año siendo auditados, entre auditorías internas, auditorías de consultoría y auditorías externas de certificación del ENS e ISO 27001. Para el que no lo conozca, una auditoria es un examen oral en el que, en lugar de apuntes, llevas evidencias de como cumples las normas. ¿A cuánta gente le examinan con tanta frecuencia y tan a menudo en su trabajo? Por un lado, es agotador, pero por otro lado es un compromiso con nuestros servicios y una medida de transparencia hacia la ciudadanía.
Si la seguridad 100% no existe y en un mundo en el que el número de amenazas crece exponencialmente, es conveniente que terceras partes puedan evaluar las medidas de seguridad implantadas, objetivando que dentro de un proceso de mejora continua se está dentro de unos umbrales de seguridad razonables.»
Responsable de seguridad de AST
"Construyendo Europa desde Aragón"
Este es un servicio que ha sido desarrollado con el apoyo de la Unión Europea. Se trata de un proyecto integrado en la operación Seguridad y calidad para los servicios de administración electrónica, dentro de la actuación Servicios de adminstración eléctrónica, a través de la cuál Aragonesa de Servicios Telemáticos participa en el Programa Operativo FEDER Aragón 2014-2020.
