Post on 02-Jul-2015
description
Seguridad e Interoperabilidad en la Administración 2.0
Emilio García GarcíaConsejero Técnico
Subdirección General de Coordinación y EstudiosDirección General para el Impulso de la Administración Electrónica
Ministerio de Presidencia
Introducción
Visión panorámica de los Esquemas Nacionales de Interoperabilidad y Seguridad
Ley 11/2007, Artículo 42. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
• El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.
• El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
• Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente.
• En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
ENI = Criterios y recomendaciones para garantizar interoperabilidad
ENS = Política de seguridad de la información de las AAPP
Elaboración de Real Decreto en modo colaborativo
Incluyen instrumentos para su actualización continua
Alineados con recomendaciones internacionales y estándares
Back-office Front-office
Organizativa
Semántica
Técnica
Infraestructuras y serviciosasociados
Modelos eintegración de datos
AccesibilidadMulticanalIntegradaSegura
Integración de sistemas y servicios
Dimensiones de la interoperabilidad
Norma e Instrumentos
Cadena de interoperabilidad
Infraestructuras
Internet
Red SARAsTESTA
...eIDM
DNI-e@Firma
Interoperabilidad en el tiempo
Esquema Nacional de Interoperabilidad
Principios básicosCualidad integral
MultidimensionalidadSoluciones Multilaterales
Política de seguridadPrincipios básicosRequisitos mínimos
Desarrollo eImplementación delEsquema
Servicios
Esquema Nacional de Seguridad
Instrumentos yespecialización
Formación
Series CCN-STIC Normalización STICnacional e internacional
Análisis y gestión de riesgos
Magerit v2, PILAR
Normalización STICnacional e internacional
...
+
Política de firma-e
Esquema Nacional de Seguridad
Los Esquemas Nacionales y la Evolución de la
Administración Electrónica
Seguridad e Interoperabilidad en la Administración 2.0
Papel coadyuvante de la Administración Electrónica
“La Administración electrónica es la aplicación de tecnologías de la información y la comunicación en las administraciones públicas, junto con el cambio organizativo y el desarrollo de nuevas habilidades, para mejorar los servicios públicos, los procesos democráticos y las políticas públicas”
http://europa.eu.int/information_society/soccul/egov/index_en.htm
La Administración
Electrónica sigue los
pasos de la
Administración como
la sombra al cuerpo
… y la Administración está cambiando ...
Cambios demográficos
Retos complejos e interconectados
Información más accesible y reusable
Creación de valor público
Participación ciudadana
Co-diseño y Co-producción
Recesión económica
… y con ella la Administración Electrónica W
eb 1
.0
eAdministración Transaccional
Eficiencia
2000
eAdministración User-centric
Efectividad
2010
Administración 2.0
Empowerment
2020
Web
2.0
Web
2.0
… dan lugar a nuevas arquitecturas ...
Infr
aes
tru
ctu
ra
Ba
ck-
Off
ice
We
b S
erv
ice
s
Ca
nal
Inte
rfaz
Au
ten
tic
aci
ón
e Id
enti
fica
ció
n
Us
ua
rio
s d
e lo
s s
erv
icio
s
Ciudadanía
Administración
Fuente: “Future Technology Needs for Future eGovernment Services”,Comisión Europea
... y modelos de provisión de servicios ...
… con nuevas necesidades de interoperabilidad ...
Integración con proveedores de identificación de redes sociales
Firma Electrónica
Versiones alternativas junto con versiones adaptadas.
Accesibilidad
Servicios transfronterizos, nuevas lenguas
Multilingüismo
Dirigidas por los ciudadanos (demand-driven)
Reutilización aplicaciones y datos
Modelo cloud-computing, integrando nubes de distintos actores
Infraestructuras comunes
Mayor hincapié en los estándares
Interoperabilidad Técnica
Modelos de datos para facilitar la reutilización de la información del sector público
Interoperabilidad Semántica
Integración con Redes y Medios Sociales
Interoperabilidad Organizativa
… y nuevos requisitos de seguridad.
Delimitar marcos legales de aplicación
Protección de la información
Delimitar dominios y responsabilidades
Gestión de incidentes
Establecer SLAs con colaboradores
Continuidad de la actividad
Difuminación en datos, canales y servicios
Perímetro
Obligaciones de conducta en medios sociales, protección de la imagen
Personal
¿Y si no existen?Instalaciones
Aprender a transferir el riesgoGestión de Riesgos
Hacer participes a colaboradoresOrganización y política de seguridad
Referencias
• “The future of Government is no Government”, Abril 2009, Gartner
• “Value for citizens: A vision of public governance in 2020”, Diciembre 2008, Comisión Europea
• “Social Media and the Federal Government: Perceived and real barriers and Potential Solutions”, Diciembre 2008, Federal Web Managers Council
Muchas gracias
Principios básicos:• Seguridad integral
• Gestión de riesgos
• Prevención reacción y
recuperación
• Líneas de defensa
• Reevaluación periódica
• La seguridad como función
diferenciada
Esquema Nacional de Seguridad
Principios y Requisitos
Requisitos mínimos: Política de seguridad en base a losprincipios básicos y satisfaciendo los siguientes requisitos mínimos: • Organización e implantación del proceso de seguridad.
Análisis y gestión de riesgos. Protección de las instalaciones. Gestión de personal. Prevención ante otros SI interconectados. Continuidad de la actividad. Actualización del sistema. Profesionalidad. Seguridad por defecto. Registro y atención de incidentes de seguridad. Protección de información almacenada y
en tránsito. Adquisición de productos. Mejora continua del proceso de seguridad.
a) Marco organizativo- Política de seguridad- Normativa de seguridad- Procedimientos de seguridad- Proceso de autorización- Auditorías de seguridad
b) Marco operacional- Planificación- Control de acceso- Explotación- Servicios externos- Continuidad del servicio- Monitorización del sistema
c) Medidas de protección- Protección de las instalaciones e infraestructuras- Gestión del personal- Protección de los equipos- Protección de las comunicaciones- Protección de los soportes de información- Protección de las aplicaciones informáticas- Protección de la información- Protección de los servicios
Medidas dependientes de categoría:
Esquema Nacional de Seguridad
Medidas