BoletındivulgativodeInnovacionyNuevasTecnologıasPublicadoporelGabineteTecnológico

DireccióndeInformáticayTelecomunicaciones

Todoslosejemplaresestandisponiblesenwww.euskadi.eus/informatica Enviadvuestrassugerenciasa:aurrera@euskadi.eus

L a unica forma que tiene una entidad para mejorar el servicio queofreceasusclientesesanalizandosusprocesos.Paraello,primeroesnecesario saber que procedimientos tiene y como los tieneorganizados.Coneseobjetivo,elGobiernoVascoestaimplantandoen

todos los Departamentos y Organismos Autonomos un Modelo de GestionPublicaavanzada,conocidocomoAurrerabide.

Con esta metodologıa se pretende que las Direcciones y Serviciosdepartamentalesdispongandeunaherramientaquelesayudeaconocercualessu situacion, ydeesta formapuedanoptimizar aquellos aspectos susceptiblesde ser perfeccionados. Gracias a ello, se podra ofrecer unmejor servicio a laciudadanıa.Alolargodelprimertema,portanto,haremosunaintroducciondeestametodologıa.

Dentrodelsegundotema,que llevaportıtulo«FormacióndesdeelpuntodevistadelENS»,osadelantaremosloscontenidosdelaformacionqueenel ambitodelaseguridadinformaticaestapreparandoelGobiernoVasco.Setratadecursosquevandirigidosatodoelpersonalynospermitirareducir lasconsecuenciasdeunataque informatico,asıcomosaberporquees importanteconcienciaratodaslaspersonasdelosDepartamentosyOrganismosAutonomos,etc.

El apartado «Alboan» lo hemos dedicado en esta ocasion a los Estandarestecnologicos del Gobierno Vasco, pieza fundamental para de inir lascaracterısticas tecnicas de la infraestructura horizontal que soporta laAdministracionElectronicavasca,lospuestosdetrabajo,etc.

Porultimo,ytraslosrecientesataqueshabidosporelmalware«WannaCry»,yla gran repercusion que ha tenido tanto para las personas responsables de laciberseguridad y para la ciudadanıa en general, hemos querido dedicar elapartado «Breves» a dos temas directamente relacionados con la seguridadinformatica. En el primero de ellos os presentamos una nueva version de laaplicacion«CONANmobile»y,enelsegundodeellos,oshablamosdeunaspectonovedosodelaciberseguridadysurelacionconlamujer,unanuevaperspectivaque recientemente ha sido analizada en el «IForoInternacionaldeGéneroyCiberseguridad»,organizadoporIncibe.

ÍNDICE 

Inicia va

Aurrerabide

Pág. 2

Formación desde el

punto de vista del

ENS

Pág. 6

Alboan: 

Revisión y

actualización de los

Estándares

tecnológicos del

Gobierno Vasco

Pág. 10

Breves: 

CONAN mobile

Género y

Ciberseguridad

Pág. 12

60 URRERA! junio 2017 

2 junio 2017

bole n AURRERA!   nº 60

Inicia va Aurrerabide 

Todaorganizaciondebeestarconstantementeevolucionandosusprocesosparapoderofrecercadadıaunmejorservicioasuclientelayseguirsiendocompetitiva frentealrestodeempresas.EnelcasodelasAdministracionesPublicas,ocurreexactamentelomismo, ya que tambien ellas deben revisar sus procesos internos para mejorar elservicioqueseofrecealasociedadalaquepertenecen.

E nmuchas ocasiones, a la hora dedescribir el funcionamiento de laAdministracion Publica, se habladefaltadee icaciaye iciencia,de

poca lexibilidadydelentitudparaadaptarsealoscambiosrequeridosporlaciudadanıa.

YaenelPlandeInnovacionPublica(PIP)delGobierno Vasco, elaborado por la Direccionde Atencion a la Ciudadanıa, Innovacion yMejora de la Administracion (DACIMA), seindicaba que «LaAdministraciónPúblicaesuna pieza clave en una sociedad avanzada.Una Administración Pública moderna, ágil ye iciente es determinante para lograr unasociedadconmayorescuotasdebienestarydecalidad de vida. Necesitamos, pues, unaAdministración Pública capaz de respondercon e icacia a las demandas que nuestrasociedad, compleja, cambiante y diversa, leplanteaencadamomento».

Conobjetodemejorar los serviciospublicosqueseofrecena lasociedadvasca,enelPIPse incluyo un Eje cuyo in era implantar unModelo de Gestión Avanzada en elGobiernoVascoysusorganismosautonomos,elcualrecibioelnombrede«Aurrerabide».

Segun laplani icacion inicial,estabaprevisto

queenunperiododetresanos(entrefebrerode 2014 y enero de 2017) todas lasDirecciones del Gobierno realizasen laformacion‐accioncorrespondiente.

Enestosmomentos,todoslosDepartamentosyOrganismosAutonomosdelGobiernoVascoestanparticipando.

Amododereferencia, indicarqueenlastresconvocatorias de 2014, 2015 y 2016 hanparticipado un total de 110 Direcciones,Organismos Autonomos o Delegaciones.Directamente han participado en el proceso685 directores/ as, delegados/as, laspersonas responsables de servicio yresponsables de area, y mas de 1.000personasestanimplicadasdeformaindirecta.

EstainiciativadelaViceconsejerıadeFuncionPublica(incluidaenelPIP2014‐2016),esunproyectoestrategicoparaelGobiernoVasco1,que tiene su continuidad en el nuevo PlanEstrategico de Gobernanza e InnovacionPublica2020.

¿CÓMO FUNCIONA AURRERABIDE? 

Cabe destacar que una de las principalescaracterısticas de Aurrerabide es que es unmodelopropio,disenadoydesarrolladoporpersonasdelGobierno,pensadoparanuestraAdministracion, que se centra mas en lamejora del proceso en sı, que en la parteformaldelmismo.

Al igual que otras muchas Direcciones, laDireccion de Informatica yTelecomunicaciones (DIT) ha participado enla iniciativa Aurrerabide. A lo largo de losproximos apartados, y por si puede ser deutilidad, contaremos la experiencia y tareasllevadas a cabo por la DIT dentro de estainiciativa.

1Proyectoestratégico:ElGobiernoVascohapublicadolasiguientenormativarelacionadaconAurrerabide:

AcuerdodeConsejodeGobiernosobreelPIP2014‐2016(17/junio/2014)

AcuerdodeConsejodeGobiernosobreAurrerabide(14/octubre/2014)

AcuerdodeConsejodeGobiernosobreEvaluaciones,PlanesdeConsolidacionyMejorayReddeColaboradores(7/junio/2016)

ProyectodeLeydeOrganizacionyFuncionamientodelSectorPublicoVasco

nº 60  bole n AURRERA!

junio 2017  3

El primer paso, tal y como ocurre encualquierprocesodemejoracontinuadeltipoPDCA2, ha consistido en realizar una

autoevaluaciónparaconocercualesnuestrasituacion respecto al Modelo de GestionAvanzadaquesirvedebase:identi icandolospuntos fuertes, las debilidades, posiblesoportunidades, ası como las amenazas a lasque tendremos que hacer frente. Asimismo,se ha ido elaborando, entre otrosdocumentos, el Catalogo de Servicios denuestra Direccion. Todo ello para concretarencompromisosespecı icosquedeberanserdesarrolladosposteriormente.

Una vez aprobado, el proyecto se ejecutarıaporfases.

¿PARA QUÉ SIRVE? 

SisellevanacabolostemasexpuestosenlasdistintassesionesqueincluyelaMetodologıa,ello nos permitira transformarnos en unaadministracion tal y como nos quiere laciudadanıa: mas transparentes, cercanos,lexibles, corresponsables, participativos,innovadores, que trabajemos con objetivosqueseevaluen,yqueseamosmase icientes,esto es, que hagamos un mejor uso de losrecursospublicos.

Para ello, el Modelo presta una atencionespecialatemasrelacionadoscon:

1.Estrategia: plani icacion de objetivos,alineados con estrategia global delGobierno.

2.Servicios: gestion de servicios para querespondanaloquelaciudadanıademanda.

3.Personas: gestion de personas encondicionesquepotenciensucompromiso.

4. Innovación: creacion de contexto parainnovar y gestionar las ideas y proyectosinnovadores.

5.Sociedad:promociondelbuengobiernoyla eticapublica,del trabajocolaborativoyasuncion de la responsabilidad con la

2PDCA:elCiclodeDeming(deEdwardsDeming),tambienconocidocomocırculoPDCA(delinglesPlan‐Do‐Check‐Act,esdecir,Plani icar‐Hacer‐Veri icar‐Actuar)oespiraldemejoracontinua,esunaestrategiademejoracontinuadelacalidadencuatropasos,basadaenunconceptoideadoporWalterA.Shewhart.

[fuente:Wikipedia]

4 junio 2017

bole n AURRERA!   nº 60

sostenibilidad, la igualdad y lanormalizaciondelusodeleuskera.

6.Resultados:seguimientoderesultadosenrelacionconcadaunodelosejes.

EGITEN IKASI 

Tal y como hemos comentado, Aurrerabidepretende ser lo mas practico posible. Paraello se basa en un proceso de formacion‐accionyacompanamientocontinuoalahorade implantar los elementos basicos delModelo de Gestion en cada una de lasDirecciones o Servicios participantes, y lohace a traves del proyecto conocido como«Egiten Ikasi» («Aprender haciendo», encastellano).

Esteprocesosecentraenayudarapensaryescribir en grupo sobre buenas formas dehacer que se puedan aplicar con el resto decompaneros y companeras. Con ello, seimpulsaeldisenocolaborativo.

Tal es ası que para trabajar en el diseno de

«EgitenIkasi» se constituyo en su momentounGrupodeTrabajo con la participacion derepresentantesdelaDirecciondeAtencionala Ciudadanıa e Innovacion y Mejora de laAdministracion(DACIMA),delInstitutoVascode Administracion Publica (IVAP), y de laDirecciondeFuncionPublica.EUSKALIT3,porsu parte, aporto su experiencia en laorganizacion y desarrollo de los cursosKnowInndeformacion‐accion.

Posteriormente, se contrasto la estructura yel contenido en sesiones con Direcciones deServicio,ResponsablesdeServicioypersonaltecnico, que hicieron aportaciones quesirvieronparamejorarlapropuestainicial.

En el caso de la Direccion de Informatica yTelecomunicaciones, al igual que el resto deDirecciones participantes, ha participado enuna formacion basada en el aprendizajecompartido y en talleres practicos. Ası,durante un ano se han organizado 10sesiones(de5horasdeduracioncadaunadeellas) con los Directores/as y con laspersonas responsables de cada Servicio,

3Euskalit:eslaFundacionVascaparaelFomentodelaCalidad,quefuecreadael15dediciembrede1992.

Esunafundacion,propiciadaporelGobiernoVasco,cuyoobjetivoespromoverlaGestionAvanzadaenlasorganizacionesvascasycontribuiramejorarsucompetitividad.

http://www.euskalit.net

RED DE COLABORADORES 

Y COLABORADORAS 

Las personas que actúan

como «colaboradoras» son

una de las piezas clave de

este Modelo de Ges ón, ya

que se trata del agente ac vo

que permi rá impulsar el

cambio cultural necesario

para alcanzar el éxito de esta

inicia va.

Es importante destacar que

este colec vo está compuesto por personas

del propio Gobierno Vasco que, coordinadas

por el Equipo Aurrerabide de

la Viceconsejería de Función

Pública, trabajan en red para

apoyar y extender esta nueva

cultura de ges onar los

procesos en sus unidades

organiza vas (Servicios,

Direcciones...) y en el resto

del Gobierno Vasco. Así

mismo, colaboran con otros

compañeros/as en la

realización y contraste de

evaluaciones de ges ón en

otras unidades organiza vas de otros

Departamentos y Organismos Autónomos. 

«Aurrerabide pretende ser un 

modelo o programa para ges onar 

mejor  los servicios que ofrece el 

Gobierno Vasco a la ciudadanía.» 

nº 60  bole n AURRERA!

junio 2017  5

acompanadas por una persona especialista,quehaactuadocomo«entrenadora».

Enesassesiones...

Se ha explicado las caracterısticas delmodelo

Se ha formado en herramientasrelacionadasconlabuenagestion.

Sehancomentadoexperienciasdeexito.

Sehafacilitadoestandares

Se lesha tutorizadoparaqueelaboren,yadentrodesusdireccionesyentresesiones,la documentacion basica que les deberaservir en su trabajo posterior. Comopueden ser, entre otros, los siguientes«entregables»: el Catalogo de servicios, elMapa de procesos, las Fichas de losprocesos operativos y la Plani icacionbasicaadosanos.

Asimismo, la DIT ha hecho uso de unaplataforma informatica (conocida con elnombre de «Txoko de Aurrerabide») para

facilitar la carga y descarga de los distintoscontenidos (documentos), la resolucion de

dudas por parte de la persona queactuado como facilitador/a y larelacion con el resto de personasparticipantes.

FASES Y DESARROLLO  

Dado que se trata de un procesocontinuo, la metodologıa incluye unaseriede fasesy tareasquehayque irrealizando,comosonlassiguientes:

Elaboracion o actualizacion dela Memoria «Eginez Gara» («Haciendosomos»,encastellano),quereunetodoslosdocumentos inalesdeltrabajorealizado.

Autoevaluacion(porpersonaldelaunidadorganizativa)

Cumplimentacion de los cuestionariosdeevaluacion

Priorizacion para concretar areas deconsolidacionymejora

ElaborarelPlandeConsolidacionyMejora

DE CARA A FUTURO 

Con vistas al futuro, Aurrerabide plantea,entreotrosobjetivos,extendersuModelodeGestion a la administracion del sectoreducativo, sanitario y al resto de laadministracion institucional y del sectorpublico, ası como a todas aquellas

administracionespublicasquelosoliciten.

En la actualidad, los responsables deAurrerabide y el equipo de personascolaboradorasestanencontactoconotrasentidades4 (Diputaciones Forales deGipuzkoa y Bizkaia, Asociacion deMunicipios Vascos [EUDEL],Ayuntamiento de Vitoria‐Gasteiz y Q‐epea)paraseguirextendiendoelModelo.

En de initiva, Aurrerabide pretende serun modelo o programa para gestionarmejorlosserviciosqueofreceelGobiernoVasco a la ciudadanıa y, como cualquierotro Modelo de mejora, requiere de unproceso continuo para seguir mejorandonuestrosprocesosinternos.

4Entidades:

DiputacionForaldeGipuzkoa

www.gipuzkoa.eus

DiputacionForaldeBizkaia

www.bizkaia.eus

AsociaciondeMunicipiosVascos(EUDEL)

www.eudel.eus

Ayto.deVitoria‐Gasteiz

www.vitoria‐gasteiz.org

ParamasinformacionpodeisponerosencontactoconelEquipoAurrerabidedelaViceconsejerıadeFuncionPublicaenelsiguientecorreoelectronico:

aurrerabide@euskadi.eus

Oconsultandolainformacionquepublicanenlapaginawebdelproyecto:

http://www.euskadi.eus/gobierno‐vasco/innovacion‐publica‐mejora‐administracion/gestion‐avanzada‐aurrerabide/inicio/

6 junio 2017

bole n AURRERA!   nº 60

E lartıculo15.«Profesionalidad»delENS,ensuapartadosegundo,diceque «el personal de lasAdministracionesPúblicas recibirá

la formación especí ica necesaria paragarantizar la seguridadde las tecnologíasdela información aplicables a los sistemas yserviciosdelaAdministración».

CONCIENCIACIÓN Y FORMACIÓN 

Esta claro que la concienciación yformación del personal que trabaja en lasAdministraciones Publicas es de vitalimportancia para garantizar la seguridad delos sistemas, servicios, yde losdatosque semanejan, y, por ende, crear la con ianzanecesariaparaconlaciudadanıayempresas,de tal modo que se incentive el uso de losmedios telematicos en sus gestiones con lasAdministraciones.

Todaslaspersonasexpertascoincidenenquelasproteccionesenelcampodelaseguridad(cortafuegos, software antivirus, iltrosantiSpam,sistemasdedeteccionyprevencionde intrusiones…) son insu icientes ante loserrores humanos. Como ya se apunto en elanteriorboletınAurrera!(nº59,demarzode2017) «laconcienciación,lautilización debuenas prácticas de uso, y el sentidocomún sonlasmejoresarmasparadefenderseante los ataques que recibimos (las personasdelincuentes cibernéticas utilizan técnicas deingenieríasocialparaperpetrarsusataques)»,a todo esto hay que anadir, junto con las«armas» mencionadas, la formaciónadecuada, y, de este modo, conseguiremosunaprotecciontambienadecuada.

Un caso real: el de la personaque recibe ensu buzonde correo corporativo unmensaje,de un remitente que desconoce, sobre un

asuntoconelquenotienerelacionalguna,yque incluye un enlace (link) o archivosadjuntos, dentro de un mensaje que puedeestarmalredactadooconfaltasdeortografıa,conunasuntocomo,porejemplo, «ustedeselganadordeunpremio…», «tieneunafactura,pincheelsiguienteenlace…», «harecibidounpaquetedecorreos…», etc.; nuestro sentidocomundesaconsejaqueestetipodecorreosseanabiertos,ymuchomenosquevayamosalos enlaces que se indican, o abramos losarchivos adjuntos. Siempre que recibamoseste tipo de correos u otros que seansospechosos, lo mas adecuado es avisar anuestroservicio informatico,oalserviciodeCentro de Atencion a personas Usuarias(CAU5),paraque tomencartasenelasunto,y este sea tratado como un incidente deseguridad. Los ataques de ransomware6suelen iniciarse en las organizaciones atraves de correos electronicos como el quehemosexplicadoenlaslıneasanteriores.

PROGRAMA DE FORMACIÓN PROPIO 

DesdeGureSeK7(GureSegurtasunKudeaketa,proceso de gestion de seguridad de lainformacion del Gobierno Vasco) se estade iniendo y redactando un programa

Formación desde el punto de vista del ENS 

El Esquema Nacional de Seguridad (ENS) es un Real Decreto (RD 3/2010, de 8 deenero) que obliga a que el personal de las Administraciones Publicas reciba unaformacionadecuadadetalmodoquesegaranticelaseguridaddelastecnologıasdelainformacion quemanejan los Sistemas de Informacion, para que estos ultimos estenprotegidos.

5CAU:CentrodeAtencionapersonasUsuariasdelosSistemasdeInformaciondelGobiernoVasco,accesibleatravesdeltelefono440.

6Ransomware:(delinglesransom,«rescate»,yware,porsoftware).Esunsoftwareoprogramainformatico(deltipomalware)quecifradeterminadosarchivosocarpetasimpidiendoquesepuedanvolverausar.El inultimodeestemalwareesconseguirdineroatravesdeunpagoelectronico,gene‐ralmenteenBitcoins(monedavirtual),aunquerealizandoestaaccionnohaygarantıasdequepodamosrecupe‐rardichosarchivos.

7GureSeK:SistemadeGestiondelaSeguridaddelaInformacion(SGSI)delGobiernoVasco.

UnSGSI«esunconjuntodeprocesosquepermitenestablecer,implementar,mantenerymejorardemaneracontinualase‐guridaddelainforma‐ción,tomandocomobaseparaellolosriesgosalosqueseenfrentalaorga‐nización».(«Cómoim‐plantarunSGSIsegúnUNE‐ISO/IEC27001:2014ysuaplicaciónenelEsquemaNacionaldeSeguridad»,AENORediciones)

nº 60  bole n AURRERA!

junio 2017  7

denominado Programa de formación delSistema de Gestión de la Seguridad de laInformación del Gobierno Vasco, a traves deun documento, entroncado con la formacionreglada que se realiza desde el IVAP8, queestablecelasdirectricesaseguirpararegularlasacciones formativasydecapacitaciondelpersonal delGobiernoVasco con respecto alproceso de gestion de la seguridadcorporativa.

Acontinuacion,vamosatratardeexplicarlascaracterısticas principales de esta formacion(las acciones formativas deberán seraprobadas formalmente en los Comitésque sehan creadoen elAcuerdodeConsejode Gobierno sobre la organizacion de laseguridad del Gobierno Vasco9, aprobado el30 de junio de 2015: «Acuerdopor elque seaprueba la estructura organizativa yasignación de roles de seguridad para laadministración electrónica del GobiernoVasco»).

ALCANCE Y OBJETIVOS DE LA 

FORMACIÓN GURESEK 

La formacion que se establece en esteprograma compete a todas las personas quetrabajanenlosDepartamentosyOrganismosAutonomosdelGobiernoVasco.

Losobjetivosespecı icosdeesteprogramadeformacionsonlossiguientes:

Dar a conocer todos los aspectosrelacionadoscon laspolıticasde seguridad

en la utilizacion de medios electronicosrecogidasenelENS.

Dar a conocer y concienciar sobre lasobligaciones generales para las personasusuariasdelGobiernoVasco.

Aprenderaidenti icarlosriesgosalosquepuede estar sometido un sistema deinformacion(yasehanrealizado,porpartede las personas responsables, lasvaloracionesdelosservicioselectronicos)

Reconocer los aspectos basicosrelacionadosconlagestiondelaseguridadylarespuestaaincidentesdeseguridad.

Conocer losrolesdeseguridadasociadosanuestroambitodeactuacion.

MÓDULOS DE FORMACIÓN 

OFERTADOS 

Dispondremosdetresmodulosdeformacion:

Introduccionalaseguridad.

Formacionbasicaenseguridad.

Formacionavanzadaenseguridad.

MÓDULO DE INTRODUCCIÓN A LA 

SEGURIDAD 

Estemodulo de introduccion a la seguridadtienecomoobjetivos:

Conocerelmarcoregulatorioenmateriadeseguridad.

Conocer los principios generales (normas)que se deben respetar y asumir en elpuesto de trabajo como persona usuariarespecto a la seguridad de la informacion.(recogidos en el documento «Obligacionesgenerales para las personas usuarias—Gobierno Vasco», estas normas vienenderivadas de las obligaciones legalesaplicables en materia de proteccion dedatos de caracter personal—RDLOPD—yde seguridad de los servicios electronicos—ENSyMSPLATEA—).

Los contenidos de este curso seran lossiguientes:

Introduccion a la seguridad: seguridad dela informacion, garantıas de seguridad

8IVAP:eselInstitutoVascodeAdministracionPublica,esunorganismoautonomoadscritoalactualDepartamentodeGobernanzaPublicayAutogobiernodelGobiernoVasco,cuyacreacion,estructurayfuncionesseestablecenenlaLeyde16/1983,de27dejulio.UnodelostresgrandesambitosdeactuaciondelInstitutoeslaseleccionyformaciondelpersonaldelaAdministracionvasca.

Masinformacionen:

www.ivap.euskadi.eus

9AcuerdodeConsejodeGobiernosobrelaorganizacióndelaseguridaddelGobiernoVasco:siquereissaberlasobligacionesquetenemoscomoentidadenelambitodelaseguridaddelainformacion,documentacionquedebemosprepararycomoestaorganizadalaseguridadenelGobiernoVasco,entreotrosaspectos,podeisconsultarelboletınAurreranº56(publicadoenjuniode2016),yenconcretoelartıculotitulado«PolíticadeSeguridaddelaInformación(PSI)».

8 junio 2017

bole n AURRERA!   nº 60

DICAT (Disponibilidad, Integridad,

Con idencialidad,AutenticidadyTrazabilidad),Esquema Nacional de Seguridad,legislacion respecto a la proteccion dedatosdecaracterpersonal,amenazas,etc.

Polıticadeseguridaddelainformacion.

Soportes externos de informacion:dispositivos USB, otros dispositivosexternos,utilizaciondelpapel,dispositivosmultifuncion.

El puesto de trabajo: polıtica decontrasenas (SARgune10), polıtica deescritoriolimpio,limpiezademetadatos...

MÓDULO DE FORMACIÓN BÁSICA EN 

SEGURIDAD 

Los objetivos de este modulo, respecto alpersonal,sonlossiguientes:

Dar a conocer unas nociones basicas delmarco regulatorioaplicable enmateriadeSeguridaddelainformacion.

Asumir, por parte del personal, unasmınimas funciones relacionadas con laseguridad como una parte mas de lastareashabituales.

Conocer la estructuray el funcionamientodeGureSeK.

Ser conscientes de las repercusiones deGureSeKenelpuestodetrabajo.

10SARgune:eselsistemadeaccesoalosserviciosdelaRedCorporativa,cuyoobjetivoesmejorarlaseguridadylacalidad,alavezquefacilitarelaccesoalosserviciosdelaRedCorporativa(correoelectronico,aplicaciones,sistemas...).Llevaimplıcitounapolıticadecontrasenasfuertedeaccesoalosequipos.

Módulo de introducción a la seguridad: 

dimensiones de Seguridad DICAT 

Las dimensiones de seguridad, también

llamadas garan as de seguridad, suelen ser

las siguientes:

Disponibilidad: las en dades o procesos

autorizados enen acceso a los mismos

cuando lo requieren.

Integridad: la información no ha sido

alterada de manera no autorizada.

Confidencialidad: la información ni se pone

a disposición, ni se revela a personas,

en dades o procesos no autorizados.

Auten cidad: una en dad es quien dice ser

o garan za la fuente de la que proceden los

datos.

Trazabilidad: Las actuaciones de una

en dad pueden ser imputadas exclusi‐

vamente a dicha en dad.

Para cada servicio se analizan todas las

dimensiones de seguridad que hemos citado,

asignándoles a cada una de estas dimensiones

un nivel BAJO, MEDIO o ALTO.

BAJO. Si el incidente de seguridad ene un

perjuicio LIMITADO (reducción apreciable

de la capacidad opera va para atender las

obligaciones corrientes, daño menor a los

ac vos de la organización, incumplimiento

formal de alguna ley o regulación, que tenga

carácter de subsanable, perjuicio menor a

alguna persona…)

MEDIO. Si el incidente de seguridad ene

un perjuicio GRAVE  (reducción SIGNIFI‐

CATIVA de la capacidad opera va para

atender las obligaciones corrientes, daño

SIGNIFICATIVO a los ac vos de la

organización, incumplimiento MATERIAL de

alguna ley o regulación, o incumplimiento

formal NO SUBSANABLE, perjuicio

SIGNIFICATIVO a alguna persona, de di cil

reparación...)

ALTO. Si el incidente de seguridad ene un

perjuicio  MUY  GRAVE (ANULACIÓN de la

capacidad opera va para atender las

obligaciones FUNDAMENTALES, daño MUY

GRAVE O IRREPARABLE a los ac vos de la

organización, incumplimiento GRAVE de

alguna ley o regulación, perjuicio GRAVE a

alguna persona, de di cil o imposible

reparación…)

«La formación de este programa 

compete a todas las personas que 

trabajan en el Gobierno Vasco.» 

nº 60  bole n AURRERA!

junio 2017  9

Laspersonasdestinatariasdeestemodulodeformacion basica, y del primer modulo deintroduccion,sonTODASlasquetrabajanenel Gobierno Vasco, siendo obligatorio larealizacion de ambos; para ello, el IVAPpondra a disposicion de las personasadscritas a losDepartamentos yOrganismosAutonomos del Gobierno Vasco, a traves desu catalogo general de cursos de formacionanual, y con la periodicidad que dichoOrganismo estime oportuno, una formacionon‐line para que todo el personal delGobierno Vasco tenga la oportunidad yobligacion de realizar. Si este modulo deformacionbasicayasehubiesecursado,yloscontenidos del curso hubiesen cambiadosigni icativamente, se debera volver arealizar.

MÓDULO DE FORMACIÓN AVANZADA 

EN SEGURIDAD 

Los contenidos de este modulo avanzadoseranlossiguientes:

Introduccion. Resumen de los contenidosdelmodulobasicodeseguridad.

GureSeK. El proceso de seguridad delGobierno Vasco: roles, funciones yresponsabilidadesdelproceso;actividadesdelproceso; evaluacion y seguimientodelproceso.

GureSeK.Aplicacionpractica:gestiondelaseguridad (programa de mantenimientoGureSeK,metodologıadeanalisisygestionde riesgos, procedimiento de gestiondocumental, procedimiento de gestion deincidentesdeseguridad,procedimientodeauditorıa, sistematica de mejoracontinua...) y seguridad tecnologica(requisitos mınimos de arquitectura deseguridad, polıtica de actualizacion deinfraestructuras, polıtica de deteccion yprevencion de intrusiones, plan decontinuidad…)

Estemodulodeformacionsedesarrollarademanera presencial, a partir de unaexplicacion teorico‐practica con soporteaudiovisual.

Laspersonasquedebenasistiraestemoduloformativo son aquellas cuyo trabajo esta enrelacion directa con la seguridad de lainformacion en el ambito de laadministracionelectronica.

11SCORM:SharableContentObjectReferenceModel,esunconjuntodeespeci icacionestecnicasenelambitodeaprendizajeatravesdeInternet(e‐learning)quede inenlaestructuradeloscontenidos,sucomportamientoyeldelasplataformasdeaprendizajealahoradealojardichoscontenidosydeejecutarlos.

Formación a través del CCN‐CERT 

El CCN (Centro Criptológico Nacional), a través

de su web, pone a disposición de cualquier

persona, en su parte pública, dos cursos:

Esquema Nacional de Seguridad: consta de

nueve unidades o módulos con

documentación de referencia:

1. La Administración Electrónica y la

Seguridad de la Información.

2. Introducción al Esquema Nacional de

Seguridad.

3. Los requisitos mínimos de Seguridad de

Información.

4. Infraestructura y Herramientas de

Seguridad.

5. Auditorías de seguridad y Respuesta a

incidentes

6. Órganos y Organismos de referencia.

7. Categorización de Sistemas y Medidas de

Seguridad.

8. Ejercicio prác co.

9. Las Guías CCN‐STIC del ENS e Información

complementaria.

Análisis  y  Ges ón  de  Riesgos  de  los 

Sistemas  de  Información: cuyo obje vo es

tratar todos los aspectos teóricos

relacionados con la ges ón y el análisis de

riesgos en los sistemas de información

(Introducción, Proceso de ges ón de riesgos,

Elementos de un análisis de riesgos, Ac vos,

Amenazas, Impacto y riesgo, Salvaguardas,

Tratamiento de los riesgos, Con nuidad de

las operaciones, y Conclusiones)

También han creado una serie de cursos

relacionados con la seguridad en su parte

privada.

Los cursos del CCN‐CERT están desarrollados

sobre el conjunto de especificaciones técnicas

denominado SCORM11.

h ps://www.ccn‐cert.cni.es/

10 junio 2017

bole n AURRERA!   nº 60

ALBOAN: 

 

Revisión y actualización de los Estándares 

tecnológicos del Gobierno Vasco 

L a Direccion de Informatica yTelecomunicaciones (DIT) delGobierno Vasco tiene entre suscompetencias la de actuar como

autoridad central encargada de la«observancia, control y seguimiento de losestándares», tal y como se indica en elDecreto 35/1997, de 18 de febrero, por elque se regula la plani icacion, organizacion,distribucion de funciones y modalidades degestion en materia de sistemas deinformacionytelecomunicaciones.

La de inicion de estandares es consideradauna iniciativaestratégicaynecesariaparaelGobiernoVasco,porcuantocontribuyedeforma directa a la consecucion de losobjetivos estrategicos de nuestraAdministracion,comoson,porejemplo:

Incrementar y garantizar la maximacalidad en los servicios destinados a laciudadanıayempresas

Tenderalamaximae icaciaye icienciaenlosprocesosinternosdelaAdministracion

Facilitareldesplieguedeunentornoyredcolaborativos entre Instituciones yOrganismos Publicos relacionados con elGobiernoVasco

El denominado Documento de EstandaresTecnologicos del Gobierno Vasco recoge lasespeci icacionesyrequisitostecnicosquedansoporte a los servicios desplegados por laAdministracion vasca en el ambito de lasnuevas tecnologıas, de acuerdo siempre conlosobjetivosestrategicos establecidospor elpropio Gobierno Vasco a traves de susdiferentesplanes,yquesongestionadosporla Sociedad Informatica del Gobierno Vasco,EJIE,S.A.

Para ello, el Documento de Estandarestecnologicosde ineunaseriedeestandaresoproductos, considerados corporativos otroncales, que daran soporte a los distintosSistemas de Informacion de losDepartamentos/OrganismosAutonomosdelpropioGobiernoVasco.

Dada la continua evolucion de los distintosentornos tecnologicos que soportan lainfraestructura de la AdministracionElectronica vasca, ası como las diferentesiniciativas que van surgiendo en losDepartamentos y Organismos Autonomosque la componen, se ha consideradonecesario abordar las tareasnecesariaspararevisar y actualizar el contenido de losEstandares tecnologicosdel Gobierno Vasco,siempre con la idea dedar una adecuadarespuesta(desdeelpuntodevistadelaintegracion,calidad y seguridad) atodaslasnecesidadesquese plantean, ası comopoder establecer el marco tecnologico quedebesersoportadoenlosproximosanos.

Por todo ello, y con objeto de cumplir loestablecidoenelDecreto35/1997, laDIThalanzado una iniciativa para proceder a la

ALB

OA

N 

«La definición de 

estándares es 

considerada una 

inicia va 

estratégica y 

necesaria para el 

Gobierno Vasco» 

nº 60  bole n AURRERA!

junio 2017  11

Una de las novedades que van a incorporaren esta nueva edicion los Estandarestecnologicosesquevamosadejarde lado laidea de «DOCUMENTO» y pasaremos todosloscontenidosaunformatode«FICHAS»queestaranaccesiblestambienenlaweb,locualpermitira adoptar un diseno «webresponsive», facilitando de esta forma elaccesoyconsultadesdecualquierdispositivo(ordenador, tableta, smartphone…). Ademas,gracias a los «links» o enlaces que seincluiran en cada icha, podremos ver larelacion existente entre un estandar y otro,ası como su equivalente con las normasinternacionales (ISO...), fecha en la que hasidoactualizadalainformacion,etc.

LOGOTIPO 

Una vez actualizada la informacion ocontenidodelas ichas,seabordotambienlatareadedisenarun logotipoque identi icasea los Estandares Tecnologicos y a toda ladocumentacionrelacionadaconellos.

Ellogotipo inalmenteseleccionadotienelassiguientescaracterısticas:

Laletra«E»harıareferenciaa«Euskadi»yalospropios«Estándares».

Simboliza la integracion y conexionexistente entre los distintos contenidos(estandaresyproductos)

Representa laseguridad,robustezyuniondeloscontenidos.

El color oscuro (gris oscuro) es el colorasociadohabitualmentealatecnologıa

El color azul, por su parte, representa laseguridad y la iabilidad, y se asimilaademas con el azul de laweb corporativaactual.

Si bien el trabajo de actualizacion hainalizado, esto no signi ica que lainformacion que se publique sea ija oestatica,yaquegraciasalaestructuraquesele ha dado (mediante ichas), se podraactualizar cualquier dato de una manerarapiday lexible.

revision y actualizacion de los EstandarestecnologicosdelGobiernoVasco.

DEL DOCUMENTO A LA WEB 

Hasta ahora, toda la informacion referida alos Estandares tecnologicos estaba incluidaen un documento denominado «Documentode Estándares tecnológicos», el cual seestructuraba en un documento principal yuna serie de Anexos que lo complementan,todoelloaccesibleenlawebdelaDIT.Dichosanexoseranlossiguientes:

1.ModelodeInterconexionconJASOySARA

2. EstandarestecnologicosPLATEA

3. CatalogodeEstandaresenel ambitode laeAdministracion

4. PolıticadeFirmayCerti icados

5.Metodologıadegestiondelcambio

6.Directricesdedesarrollo

7. Formatosadmitidosdedocumentos

8. Versiones actualizadas de los productos /tecnologıasde inidas

9. EstandaresenelambitoFLOSS

Mediante la iniciativa anteriormentemencionada, se han llevado a cabo lostrabajos necesarios para revisar y actualizarla informacion recogida a dıa de hoy comoEstandarestecnologicos,asıcomoadaptarloaunformatoweb.

Paraello,yalolargodelasultimassemanas,la DIT, con la colaboracion de las personasresponsables de cada tema en EJIE, se haencargado de revisar y actualizar loscontenidos del documento principal y susanexos.

ALB

OA

N 

«Una de las 

novedades de 

esta edición es 

que se ha 

pasado del 

formato 

DOCUMENTO al 

formato FICHA» 

[+info]:

WebdelosEstandares

Tecnologicosdel

GobiernoVasco

http://

www.euskadi.eus/

informatica

(apartado

«Estándares

tecnológicos»)

CONAN mobile 

L aO icinadeSeguridaddelInternauta(OSI)deIncibe(InstitutoNacionaldeCiberseguridad),uno de cuyos objetivos es reforzar lacon ianzadelaspersonasenelambitodigital

a traves de la formacion en ciberseguridad, pone adisposicion del publico en general una herramientagratuita para analizar y proteger dispositivos moviles(smartphone, tablet…) que tengan instalado el sistemaoperativoAndroid(version2.2osuperior).

Estaherramientaoaplicacion(decuyaprimeraversionyaosinformamosenelboletınAurreranº 49) se puede descargar desde latienda de GooglePlay y te permiteconocer el nivel de seguridad de tudispositivo Android a traves de unanalisis del mismo (se requiere teneraccesoaInternet).

Elresultadodelanalisisindicaelestadoglobal de seguridad del equipoanalizado: EN RIESGO, REQUIERE

ATENCIÓN,CORRECTOyPENDIENTE;ysedivideasuvezencincoapartados:

1. Con iguracion (si tiene problemas o requiereatencion,enfunciondelosresultadosdelanalisisdelsistemaoperativo)

2.Aplicaciones (analisisdepeligrosidadde lasaplicacionesinstaladas)

3. Permisos (categorizadosporaltos,mediosybajos; asociados a los permisos que se hanconcedidoalasaplicacionesinstaladas)

4. Servicio proactivo (alerta sobre eventos yconexiones que realizan las aplicaciones instaladas:conexiones WiFi inseguras, llamadas y mensajes anumerosdetari icacionespecial...)

5. ConsejosOSI(paramejorarlaseguridaddelterminalmovil,seconectadirectamenteconlapaginawebdeIncibe).

Web:https://www.osi.es/es/conan‐mobile

60 junio 2017 

Género y Ciberseguridad 

A l hilo de la gran repercusion que ha tenidorecientemente el ataquemasivo sufridopormuchas companıas e instituciones dedistintos paıses a manos del ya famoso

malware«WannaCry», mucha gentesehadadocuentadelaimportanciaquetienelaciberseguridad.

Son muchos los aspectosrelacionados con la seguridadinformatica que hay que tener encuenta frente a estas amenazas,como pueden ser, entre otros, lalabordeconcienciacionquehayquehacerconlosusuariosyusuariasdeunaentidadparaevitarlosataques,y tener en cuenta las perdidaseconomicasquenospuedeocasionarunvirusomalwaredeestetipo,porejemplo.

Sin embargo, existeotra vertienteopuntodevistaquetambienconvienetenerencuenta,setratadelarelacionque existe entre Ciberseguridad y la perspectiva deGenero.

A este respecto, Incibe (Instituto Nacional deCiberseguridad)acabadeorganizarenLeon(losdıas5y6 de junio) el «I Foro Internacional de Género y

Ciberseguridad», donde se hananalizado varias vertientes de laseguridad informatica y el tema degenero, como pueden ser: laimportancia de la diversidad degenero en el ambito tecnologico y la

ciberseguridad, o las acciones contra la violencia degenero en el ambito digital, ası como los delitos degeneroenlared.

Podeis consultar la relacion de participantes y lasponenciasenlawebdeIncibe.

Paginaweb:https://www.incibe.es

¡¡BREVES!!