e-PULPO: Software libre

para la gestin de LOPD,

SGSI, ENS, ITIL

Autor

Andrs Mndez Barco <amendez @ ingenia.es>

Responsable de la Unidad de Produccin de Estrategias de Seguridad
y Sistemas

Licencia

Creative Commons Reconocimiento-CompartirIgual 3.0 Espaa

<http://creativecommons.org/licenses/by-sa/3.0/es/>

1 Legislacin y sistemas de gestin para IT

Hoy da las organizaciones se apoyan fuertemente en los sistemas de informacin
para realizar o soportar sus actividades. Esto provoca una dependencia de las
organizaciones con los sistemas de informacin.
Esta dependencia de la tecnologa ha conllevado la regulacin de su uso con
legislacin, tenemos ejemplos de ello en Espaa con la Ley Orgnica de
Proteccin de Datos de Carcter Personal (L.O. 15/1999), su Reglamento de
Desarrollo (R.D. 1720/2007), la Ley de Acceso Electrnico de los Ciudadanos
a los Servicios Pblicos (L. 11/2007) o el nuevo Esquema Nacional de
Seguridad (R.D. 3/2010).
Paralelamente al desarrollo de esta legislacin, se han ido creando modelos de
gestin para las tecnologas, de forma que se apliquen las mejores prcticas y se
pueda acreditar frente al cliente la aplicacin de las mismas, como es el caso de un
Sistema de Gestin de Seguridad de la Informacin (certificable bajo la norma
ISO 27001), un Sistema de Gestin de Servicios de Tecnologas de la
Informacin (certificable bajo la norma ISO 20000-1), etc.

Pgina 2 de 9

Si analizamos los requisitos que imponen la legislacin y las mejores prcticas nos
encontramos con muchas similitudes:
Mdulo

SGSI

ENS

LOPD

ITIL (SGTI)
1

Activos

Activos con valor

(desde sistemas hasta
servicios)

Activos con valor

(desde sistemas hasta
servicios)

Ficheros con DCP

Anlisis de
riesgos

Lo proporciona en
funcin del nivel del
DCP

No

Documentacin

Poltica, Normativa,
Procedimientos

Poltica, Normativa,
Procedimientos

Documento de
Seguridad

Procedimientos

Incidencias

Incidencias de
seguridad

Incidencias de
seguridad

Restauracin de
backup, etc.

Incidencias de
sistemas,
solicitudes

Formacin

Difusin SGSI

Formacin del personal

involucrado

Aceptacin de los
responsables

Difusin
procedimientos

Indicadores

Mtricas e indicadores

Sistema de mtricas

Auditora

Anual (ISO 27001)

Bienal

Sistemas (HW y
SW)

SLA
Bienal

Anual (ISO 200001)

2 El reto del cumplimiento

Llegados a este punto tenemos que responder a una serie de preguntas que se
hace cualquier organizacin:
1) Cmo puede abordar una organizacin el cumplimiento de la legislacin y la
aplicacin de las mejores prcticas sin incurrir en una burocratizacin
excesiva o una alta dedicacin al mantenimiento de la misma?
Utilizando herramientas software que alivien y automaticen las labores de su
mantenimiento y control.

DCP: Dato de Carcter Personal (nombre, direccin, telfono, e-mail, creencias religiosas,

estado de salud, afiliacin sindical, etc.).

Pgina 3 de 9

2) Cmo evitamos aumentar el gasto en software?

No desarrollando nuestras propias aplicaciones, sino utilizando las existentes.
3) Cmo evitamos aumentar el gasto en licencias de software?
Empleando software libre!
4) Cmo evitamos la duplicidad y obsolescencia de los datos?
Reaprovechando los datos existentes y mantenindolos actualizados, en la medida
de lo posible, automticamente.

3 Software libre para el cumplimiento de LOPD, ENS, SGSI

y SGTI
Gracias al conocimiento que tenemos en proyectos de consultora y adaptacin
(LOPD, SGSI, etc.), tenamos ya identificados cules eran los procesos que deba
soportar la aplicacin que necesitbamos.
A continuacin buscamos cules eran las herramientas de software libre ms
adecuadas para cubrir cada necesidad, buscando que cumplieran estas premisas:
-

Estuvieran basadas en proyectos de varios aos y con una fuerte comunidad

de desarrolladores

Fueran herramientas conocidas entre los potenciales clientes, para reducir la

curva de aprendizaje

Esta tarea no fue compleja gracias a la experiencia que tenamos en el uso e

implantacin de herramientas de software libre, no obstante nos encontramos con
dos hndicaps:
1.- Las herramientas de software libre necesarias para cubrir cada campo se
encontraban inconexas unas con otras en la mayora de los casos.

Pgina 4 de 9

2.- No existan herramientas de software libre pblicas para todo lo que requera el
cumplimiento de los objetivos que nos habamos propuesto: Poder gestionar los
requisitos de LOPD, ENS, SGSI y SGTI.

Para resolver estos escollos, Ingenia abord este proyecto como una labor tanto de
integracin como de desarrollo.
Finalmente nos encontramos con un conjunto de procesos administrativos (desde el
punto de vista del usuario) y herramientas (desde el punto de vista tecnolgico) a
integrar, lo que dio como resultado el nombre del producto que bamos a liberar:
e-PULPO
Plataforma de Unificacin Lgica de los Procesos Organizativos

3.1 Herramientas de software libre en las que se basa e-PULPO

NOTA: En este apartado se muestran en negrita las aplicaciones empleadas, y

sombreadas en amarillo las etapas de un proyecto de adecuacin.

Se mont la solucin sobre un sistema operativo base, de forma que se pudiera

desplegar en un cliente como una instalacin nica, y no como la instalacin de
mltiples componentes. El elegido fue CentOS.
Para unificar los usuarios se utiliz una nica fuente basada en CentOS Directory
Server.
Para aportar una experiencia nica de usuario, se integraron todos los usuarios
bajo el gestor de contenidos Drupal.

Pgina 5 de 9

Para unificar el inicio de sesin se utiliz Central Authentication Service de

Jasig.
Una vez se han puesto los mimbres de e-PULPO, iremos mostrando cmo, desde el
punto de vista de un usuario final, se han ido integrando las distintas herramientas
de software libre para dar soporte, por ejemplo, a la gestin de los requisitos del
Esquema Nacional de Seguridad, que se asemeja mucho con los de un Sistema de
Gestin de Seguridad de la Informacin.
A continuacin, lo primero que se necesita en un proyecto de adecuacin de este
tipo es un inventario de activos. Para ello se opt por OCS Inventory Next
Generation.
Esta solucin permite inventariar todo el hardware y software de cada equipo,
proporcionando entre otros informacin sobre la capacidad de almacenamiento para
la gestin de la capacidad.
No obstante, OCS Inventory NG simplemente inventara, aunque tambin permite
identificar equipos que no hayan sido inventariados y desplegar paquetes software.
Esto significa que no aporta informacin de gestin. Para cubrir esa carencia se
integr con GLPI (Gestionnaire Libre de Parc Informatique), que aporta:
-

Gestin de responsables tcnicos

Gestin de proveedores y contactos

Gestin de contratos

Gestin de tickets

Gestin de reservas y planificaciones

Gestin de notas y FAQ

Otra carencia de OCS Inventory NG es que se basa en el despliegue de agentes

para realizar el inventario, lo que impide su uso para inventariar dispositivos en los
que no se pueda instalar el agente, como son los switches, routers, firewalls,

Pgina 6 de 9

impresoras de red, SAIs, etc. Para cubrir esa carencia apostamos por el plugin de
GLPI Tracker.
Gracias a ese plugin se pueden inventariar de forma automtica dichos elementos
mediante SNMP, y asociar de forma automtica las conexiones de red entre los
dispositivos, lo que unido al plugin de GLPI Arquitectura de Red nos permite
generar automticamente la arquitectura de seguridad.
Existen otro tipo de activos, fundamentales en un anlisis de riesgos, que no son
automtica o fcilmente inventariables, como los servicios, las personas, los
lugares, etc. Para poder inventariarlos Ingenia desarroll el plugin de GLPI Activo
genrico de forma que se cubriera dicha carencia.
Una vez con el inventario de activos levantado se puede dar el siguiente paso, el
anlisis de riesgos.
Para cubrir este aspecto nos basamos en una integracin con la herramienta PILAR
(Proceso Informtico Lgico de Anlisis y gestin de Riesgos). Dicha herramienta no
es de software libre, pero su desarrollo se encuentra controlado por el Centro
Criptolgico Nacional, lo que le proporciona confiabilidad en el cdigo y gratuidad
para las administraciones pblicas espaolas.
PILAR nos proporciona, entre otros:
-

Valoracin de los activos

Valoracin del grado de madurez de las salvaguardas

Gestin de los riesgos

Anlisis de impacto en la continuidad del negocio

Visin del nivel de madurez con respecto al ENS, LOPD, o ISO 27002 sin
aumentar el esfuerzo

Pgina 7 de 9

Como resultado de la gestin de riesgos, ser necesario poner en marcha distintas

lneas de actuacin, cuyo control y responsabilidad podremos gestionar mediante
dotProject, una herramienta para la gestin de proyectos de toda ndole.
Uno de esos proyectos puede ser el elaborar o gestionar documentos, como la
poltica de seguridad, normativa, procedimientos, etc. Para ello contamos con el
gestor documental Alfresco, que nos permite gestionar versiones de documentos,
su aprobacin y difusin entre otros.
Gracias a su potente motor de workflow, tambin permite la gestin de
expedientes, como es el caso de las solicitudes ARCO 2 .
Para la generacin automtica de informes, como sera el Documento de Seguridad
exigido por la LOPD, nos basamos en nuevos desarrollos generados por Ingenia
para la recoleccin de la informacin requerida especficamente por la LOPD.
Posteriormente, mediante el uso de plantillas de iReport, se generan los informes
mediante JasperReports.
Para la correcta difusin de esos documentos ser necesario proporcionar formacin
y concienciacin a los usuarios, aspecto este que queda cubierto por la herramienta
de tele formacin Moodle.
Para el control de la consecucin de los objetivos, Ingenia ha desarrollado una
solucin de mtrica e indicadores que permite la alimentacin manual o automtica
de los mismos, para la elaboracin posterior de cuadros de mando por los propios
usuarios a la medida de sus necesidades. Este desarrollo se encuentra basado en
Drupal.
Finalmente, para la coordinacin de equipos de trabajo, se utiliza un foro basado en
Drupal.

ARCO: Derechos de las personas al Acceso, Rectificacin, Cancelacin y Oposicin al

tratamiento de sus DCP.

Pgina 8 de 9

4 Futuro de e-PULPO
Desde Ingenia se est trabajando en la integracin de ms herramientas de
software libre que nos van a permitir ampliar el nmero de funcionalidades
cubiertas por e-PULPO.

5 Sobre Ingenia
Ingenia

es

una

empresa

de

servicios

en

Tecnologas

de

la

Informacin,

Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnolgico

de Andaluca, siendo sus socios Unicaja, MP Sistemas y Promlaga.
Actualmente

tiene

presencia

en

Mlaga,

Sevilla,

Madrid

Barcelona,

con

delegaciones comerciales en Mxico, Argentina y Jordania y una marcada

experiencia profesional en proyectos europeos y en el norte de frica.
La experiencia de dieciocho aos que nos avala nos ha permitido diversificar
nuestras soluciones y servicios, consiguiendo de este modo un amplio catlogo que
nos permite acercar la tecnologa, innovacin, experiencia y resultados a las
necesidades de nuestros clientes.
Reconocida por su capacidad e implicacin en sus proyectos, Ingenia ha colaborado
a lo largo de su trayectoria con una lista de ms de mil clientes pertenecientes
tanto al sector pblico como al privado, as como hospitales, universidades,
fundaciones, etc., aportndoles valor con soluciones y servicios a medida. Para ello
cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor
servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia
estudiamos cuidadosamente las soluciones a implementar para conseguir los
mejores resultados.
Ms informacin en www.e-pulpo.es

Pgina 9 de 9