Post on 02-Oct-2018
Madrid, 10 de diciembre de 2014
Adecuación al ENS de la
plataforma e-Administración
del Gobierno Vasco
(Roles de Seguridad)
Modelo Competencial TIC en el GV
2
Emprendimiento,
Innovación y Sociedad
Información
Gobierno
Abierto
Atención a la
Ciudadanía, e
Innovación y
Mejora de la
Admón.
Informática
y
Telecomunicacio
nes
Ámbitos del Sector Público
3
• Entes Públicos (Sanidad)
• Sociedades Públicas
• AGE
• UE
• Euskal Sarea
Red Corporativa
GV
Red Policial
Red Educativa
Red Judicial
Ámbito del Plan: Red Corporativa
4
Departamentos
Presidencia del Gobierno
Administración Pública y Justicia
Desarrollo Económico y Competitividad
Empleo y Políticas Sociales
Hacienda y Finanzas
Educación, Política Lingüística y Cultura
Seguridad
Salud
Medio Ambiente y Política Territorial
Organismos Autónomos
Lanbide
IVAP
HABE
EUSTAT
Emakunde
OSALAN
Kontsumobide
Autoridad V. de la Competencia
Excluidos: otras redes
5
Redes sectoriales
Seguridad
• Policía
• Academia
Educación, Política Lingüística y Cultura
• Centros Públicos
Administración Pública y Justicia
• Centros judiciales
Salud
• Centros sanitarios
Administración institucional
Entes Públicos Derecho Privado
Sociedades Públicas
Agencias
Parlamento
La administración electrónica en el GV
2004 5 lotes: Oficina Técnica, Gestión documental,
Presencia en Internet, Tramitación electrónica
y CRM
6
PIT 2000-2003
PIT 2003-2005
PEAGE 2004-
2006
PIT 2006-2009
PEAGE 2008-
2010
PIP 2011-2013
Antecedentes (Legislación, orden cronológico)
7
Ley 11/2007, de 22 de junio: LAECSP
Decreto 232/2007, de 18 de diciembre: Medios EIT
Real Decreto 3/2010, de 8 de enero: ENS
Real Decreto 4/2010, de 8 de enero: ENI
Orden de 26 de febrero de 2010: Manual de Seguridad PLATEA
Decreto 21/2012, de 21 de febrero,
de Administración Electrónica
Decreto 21/2012
8
Se regula:
• la sede electrónica • el tablón electrónico de
anuncios • la identificación y
autenticación de la ciudadanía y de la Administración,
• el registro electrónico de representantes
• el registro electrónico • las comunicaciones
electrónicas • los documentos electrónicos y
su conservación
1. Administración General de la
CAE (Departamentos) y
Organismos Autónomos
2. Resto de entidades de
derecho público
3. Entes Públicos de Derecho
Privado e integrantes del
Sector Público de la CAE
4. Personas físicas, jurídicas y
entes sin personalidad (en
sus relaciones con el derecho
público)
09 de marzo de 2012
Decreto MEIT, Art. 31
9
El Manual de Seguridad para la
elaboración de las aplicaciones
informáticas que sirvan de
soporte a la tramitación
telemática Orden de 26 de febrero de 2010, de
la Consejera de Justicia y
Administración Pública
MS PLATEA
MS PLATEA
10
MS PLATEA
Política de seguridad
Declaración de alto nivel
de objetivos, directrices y
compromiso de la Administración
General de la CAPV y sus
Organismos Autónomos para
acometer la gestión de seguridad
de la información en los medios
electrónicos, informáticos y
telemáticos utilizados en la
prestación de servicios públicos
Desarrollo normativo
Medidas de seguridad de
obligado cumplimiento. Es un
compendio del conjunto de
normas que soportan los
objetivos recogidos en la política
de seguridad de la información
11
MS PLATEA
12
conjunto
ordenado y
numerado
de medidas
de
seguridad
nivel
con
código
de color
Cumplimiento del ENS
13
Análisis Planificación Ejecución
1ª Fase (año 2010) 2ª Fase
fecha
límite:
enero 2014
Nuestro enfoque de Adecuación
14
• ENS (BOE, 29/01/10)
LAECSP (BOE, 23/06/07)
• MS Platea (BOPV, 21/04/10)
Decreto MEIT (BOPV,
31/01/08)
Elaboración
del Plan de
adecuación
al
ENS y al MS
PLATEA
Ejecución
del Plan de
adecuación
al
ENS y al MS
PLATEA
1ª Fase 2ª Fase
Categorización de PLATEA
(modelo de valor herramienta PILAR)
Dimensiones (garantías)
• D isponibilidad
• I ntegridad de los datos
• C onfidencialidad de los datos
• A utenticidad de los usuarios y de la información
• T razabilidad del servicio y de los datos
Dominios de seguridad
Base (activos)
15
Internet Infraestructuras
Servicios Equipos
Aplicaciones Aplicaciones
Infraestructuras internas
Proceso de Categorización
16
Capa Servicios
Servicios Dptos. y OO.AA.
Servicios de PLATEA
Capa Personal
Funcionarios GV
Personal EJIE
Capa Platea
Presencia en Internet
Tramitación
Integración
Documental
Pasarela de Pagos
Capa Infra-estructuras
Máquinas PLATEA
Infra-estructura
de red
Capa Sedes
Sedes de GV
Sedes de EJIE
P rograma
I nformático y
L ógico para
el
A nálisis de
R iesgos
Activos (información o servicio):
Gestión de Riesgos
17
Capa Servicios •Servicios Dptos. y OO.AA.
Capa Personal
Capa Platea
Capa Infraestructuras
Capa Sedes
[D]isponibilidad
[I]ntegridad
[C]onfidencialidad
[T]razabilidad
Categorizació
n
[A]utenticidad
Activos
V4.4.2
Amenazas y riesgo potencial
18
Riesgo asumido (en %)
19
Inicio
4 9
18
69
CRÍTICO
MUY ALTO
ALTO
MEDIO
BAJO
DESPRECIABLE
Objetivo
0,3
4 9,8
85,8
Plan de Adecuación
20
Resumen 1ª fase
21
Inventario de activos
Categorización del sistema
Aplicación de las medidas de seguridad correspondientes (análisis diferencial)
Declaración de aplicabilidad (en nuestro caso, TODAS)
Establecer el Plan de Adecuación al ENS y al MS Platea
Ejecutar el Plan de Adecuación
Seguimiento del Plan
Autoevaluar y auditar el
sistema (bienal)
Actualizar el Plan de
Adecuación La seguridad considerada
como un proceso integral
2ª fase: Desarrollo de medidas
22
Medidas básico medio alto
Organizativas: estructura de
roles y responsabilidades de
seguridad, establecimiento
del Comité de Seguridad
Operativas y contractuales
Técnicas
Proceso integral: Ciclo de mejora
23
SGSI «GureSek
»
Ejecutar Proceso
de Segurida
d
Seguimiento
Autoevaluar y auditar (bienal)
Actualizar
Situación hoy
Obligación legal
«Los órganos y entidades de derecho público
darán publicidad a la conformidad de sus sistemas
respecto al cumplimiento del ENS mediante
declaraciones escritas publicadas en las
correspondientes sedes electrónicas y situadas en
un lugar de fácil acceso para los usuarios»
24
Acuerdo de Consejo de Gobierno por el que se aprueba la estructura organizativa y asignación de roles de seguridad para la Administración Electrónica del Gobierno Vasco
Responsables
25
De la EXPLOTACIÓN de los Sistemas
De los SISTEMAS
De los SERVICIOS COMUNES
De la SEGURIDAD
De la INFORMACIÓN
Organismos de Coordinación
26
Comité TÉCNICO DE SEGURIDAD
Comité de SEGURIDAD CORPORATIVA
Organismos de Coordinación: funciones
• Comité de SEGURIDAD CORPORATIVA
27
• Resolver conflictos que puedan aparecer en torno a la
seguridad entre los diferentes afectados por la
Administración Electrónica
• Revisar, corregir y aprobar los niveles de seguridad
aplicables
• Crear los órganos de trabajo más apropiados para
impulsar el desarrollo de la seguridad
Organismos de Coordinación: funciones 1/2
• Comité TÉCNICO DE SEGURIDAD
28
• Atender necesidades de Departamentos, OO.AA y EJIE en materia de seguridad Administración Electrónica
• Informar regularmente del estado de la seguridad al comité de SEGURIDAD CORPORATIVA
• Promover la mejora continua del proceso de gestión de la seguridad
• Elaborar la estrategia de evolución de la seguridad en el Gobierno Vasco
• Coordinar esfuerzos
• Revisar y promover la actualización de la Política de Seguridad y las Normativas de Seguridad
• Definir requisitos de formación y cualificación
Organismos de Coordinación: funciones 2/2
• Comité TÉCNICO DE SEGURIDAD
29
• Dirigir el análisis y la gestión de riesgos
• Monitorizar el desempeño de los procesos de gestión de
incidentes de seguridad
• Promover la realización del programa de auditorías de
seguridad
• Priorizar actuaciones en materia de seguridad
• Aplicar medidas de carácter no técnico
• Velar por que la seguridad de la información se tenga en
cuenta en todos los proyectos TIC
• Tratar los conflictos que en materia de seguridad puedan
aparecer
Nivel de progreso (diciembre / 2014)
4,75 / 5
30
Eskerrik asko!
31