Implantación del Esquema Nacional de Seguridad en las Administraciones Locales.
|
|
- Diego Villalba
- hace 5 años
- Vistas:
Transcripción
1 Implantación del Esquema Nacional de Seguridad en las Administraciones Locales. Version: Objetivos y fases de desarrollo. Ponente: Javier Cao Avellaneda Cybersecurity, Privacy, and IT Risk Leader GOVERTIS. Javiercao 1
2 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 2
3 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 3
4 Transformación digital: evolución en el entorno laboral Las tecnologías de la información se han adentrado en el día a día de las actividades de toda organización. Procesadores de texto vs máquinas de escribir. Correo electrónico vs fax Archivos electrónicos vs expedientes papel. Servicios Web vs consultas telefónicas o por fax Digitalización de la información
5 Soporte papel vs electrónico: Cambio de contexto. El soporte papel es tangible y por tanto, limitado por las restricciones físicas (espacio y tiempo). Su creación ocupa un espacio material. Su traslado implica un transporte físico. Su destrucción supone una eliminación del soporte tangible. El tratamiento de soportes tangibles se encuentra limitado por las restricciones de espacio y tiempo. La conservación sólo requiere condiciones físicas adecuadas. 5
6 Soporte papel vs electrónico: Cambio de contexto. La información en formato electrónico es intangible pero se almacena en soportes tangibles. Su gestión requiere contemplar muchos más aspectos para el tratamiento y la conservación. Un documento es la suma de contenido+ metadatos. El análisis de evidencias es la revisión del soporte, los datos, los metadatos y los logs de aplicaciones y sistemas que han tratado esos datos. Disciplinas de análisis forense informático El tiempo es un parámetro del sistema informático y se puede alterar. 6
7 Sistema información para la tramitación en soporte papel. Características del soporte papel: Toda la información está en el soporte. Evidencias físicas inmutables que pueden ser analizadas. 7
8 Administración presencial: Servicios 1.0. Servicios 1.0 8
9 Proceso de tramitación en soporte papel Persona Documento en papel Expediente en papel Archivo en papel Sede física de la Administración Pública 1. El ciudadano realiza una labor previa de recopilación de documentos. 2. Acude presencialmente a la ventanilla de registro. 3. Se inicia la fase de tramitación interna. 4. Revisar, validar, generar nuevos documentos adjuntos al expediente que se almacena en el Archivo. 5. Cuando acaba, notifica al interesado la resolución del mismo. Los agentes se acreditan por su presencia física y el rastro del trámite en los soportes. 9
10 Cuáles son las amenazas en este contexto?. Documentación papel Expediente papel Personal Compromiso de información: pérdida de documentos, robo, errores de tratamiento. Acciones no autorizadas: abuso de privilegios, fraude. INTENCIONADAS Archivo Soporte papel en tránsito Daños físicos: deterioro de soportes, fuego, inundación. AVERIAS o ACCIDENTES Edificios Eventos naturales: Terremoto, riada, inundación. EVENTOS NO PREDECIBLES 10
11 Riesgos de seguridad en soporte papel. Amenazas: o Agresor requiere acceso físico a instalaciones. Casuísticas: o Errores del personal en la tramitación. o Pérdida o extravío de documentos. o No adecuada conservación. o Errores afectan a un conjunto limitado de expedientes. Soluciones: o Protección mediante medidas de seguridad físicas. 11
12 Garantías en tramitación en soporte papel Garantías de identidad: El interesado presenta el DNI. Garantías de autenticidad e integridad: Documentos en papel y firmas manuscritas. Acreditar fecha y hora en el que se tramita: Un funcionario habilitado genera un recibo que acredita la hora y lo sella como registro de salida. Adecuada custodia y control de acceso a las instalaciones. Control de acceso a las instalaciones y seguridad física en las salas y armarios en donde se custodia la documentación. 12
13 Sistema información para la tramitación en soporte electrónico. Características del soporte electrónico: Poco espacio, mucha información. Mayor velocidad de transmisión. Inmediatez del envío. Contiene METADATOS!. No hay garantías previas de originalidad y autoría. 13
14 Administración presencial: Servicios 2.0. Servicios
15 Tramitación en soporte electrónico. Identificación y autenticación del ciudadano Comunicaciones y notificaciones electrónicas Sede electrónica Autor Documento electrónico Expediente electrónico Archivo electrónico 15
16 Cuáles son las amenazas en este contexto?. Amenazas físicas de los sistemas de información en soporte papel y las salas o recursos de los sistemas de información. Documentación papel Expediente papel Personal Compromiso de información: pérdida de documentos, robo, errores de tratamiento. Acciones no autorizadas: abuso de privilegios, fraude. INTENCIONADAS Archivo y recursos TI Soporte papel en tránsito Daños físicos: deterioro de soportes, fuego, inundación. ACCIDENTES FISICOS Edificios Eventos naturales: Terremoto, riada, inundación. EVENTOS NO PREDECIBLES 16
17 Cuáles son las amenazas en este contexto?. Amenazas lógicas de los sistemas de información que pueden producir incidentes informáticos. Usuarios Administradores Desarrolladores Aplicaciones Hardware servidores y red Soportes lógicos Proveedores de telecomunicaciones CPD Errores: De introducción de datos, de programación, de administración de sistemas. Acciones no autorizadas: Hacking, spam, phishing,malware Avería o corte de suministro: fallo hardware, corte eléctrico. Daños físicos: deterioro de soportes, fuego, inundación. NO INTENCIONADAS INTENCIONADAS AVERIAS LOGICAS ACCIDENTES 17
18 Riesgos de seguridad en soporte electrónico. Amenazas: o Agresor ya NO requiere siempre el acceso físico a instalaciones. Casuísticas: o Errores de usuario que participa en el proceso de tramitación. o Pérdida o extravío de documentos. o Alteración de datos en sistemas informáticos. o Errores en la administración o programación de sistemas de información. o Caídas o averías de hardware o software. o Fallos técnicos de los prestadores de servicios. Soluciones: o Protección mediante medidas de seguridad físicas. o Protección mediante seguridad lógica de las piezas clave del sistema de información que da soporte al proceso de tramitación electrónica. 18
19 Y qué garantías podemos dar en tramitación en soporte electrónico? Seguridad de la información basada en tecnología: Certificado electrónico (Autenticación del actor). Firma electrónica (Autenticación e integridad de los actores). Cifrado de datos (Confidencialidad) Sellado de tiempo (Autenticación e integridad del tiempo). Evidencias electrónicas (Trazabilidad de las acciones) Seguridad jurídica basada en la legislación de e Admin: Ley 59/2003, de firma electrónica. Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. 19
20 Por tanto, es necesaria la regulación como marco de garantías. REGULACIONES NORMAS. LOPD / RDLOPD. Ley 15/1999. Personas físicas. ESQUEMA NACIONAL DE SEGURIDAD. R.D. 3/2010. CIUDADANOS. 20
21 Contexto legal de la Administración electrónica. Administración electrónica Protección de datos de carácter personal Ley 39/2015 Firma electrónica RGPD Ley 59/2003 (Firma-e) R.D. 3/2010 (ENS) R.D. 4/2010 (ENI) Ley 15/1999 (LOPD) R.D. 1720/2007 (RMS-LOPD) 21
22 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 22
23 Los medios electrónicos establecidos por la Ley 39/2015. Aparecen nuevas piezas que dan soporte a los procedimientos administrativos que emplean medios electrónicos. Documento electrónico: documento de la administración firmado digitalmente. Sede electrónica: sitio Web de la Administración que acredita su identidad mediante certificado electrónico. Expediente electrónico: sistema informático que garantiza la integridad de los documentos electrónicos que forman el expediente. Archivo electrónico: gestor documental que garantiza la integridad de los expedientes electrónicos. 23
24 Los medios electrónicos establecidos por la Ley 39/2015. Los actos administrativos deben dejar trazabilidad ahora en los medios electrónicos. Registro electrónico: mecanismo de registro y acreditación del intercambio de información entre Administración y ciudadanos. Notificación telemática: mecanismo de comunicación al ciudadano para acreditar la notificación fehaciente a través de medios electrónicos. 24
25 Documento electrónico. Definición: información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado, y susceptible de identificación y tratamiento diferenciado. Un documento administrativo electrónico es, por tanto, el objeto digital administrativo que contiene la información objeto (datos y firma) y los datos asociados a ésta (metadatos). Regulación: R.D. 4/2010 del Esquema Nacional de Interoperabilidad. La Norma Técnica de Interoperabilidad de Documento electrónico establece los componentes del documento electrónico, incluyendo contenido, firma electrónica y metadatos mínimos obligatorios, y su formato, así como las condiciones para su intercambio y reproducción; para los aspectos relativos a la gestión y conservación de los documentos electrónicos. 25
26 Documento electrónico. Debemos siempre considerar que un documento electrónico está constituido por 3 partes: El contenido, entendido como el conjunto de datos en que se sustancia la información de un documento electrónico. La firma electrónica definida como un conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que: a. permite detectar cualquier cambio ulterior de los datos firmados, b. está vinculada al firmante de manera única y a los datos a los que se refiere c. y ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. Los metadatos, elemento que proporciona contexto al contenido, estructura y firma de un documento, contribuyendo al valor probatorio y fiabilidad de éste a lo largo del tiempo como evidencia electrónica de las actividades y procedimientos. 26
27 Sede electrónica. La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, creó el concepto de «sede electrónica», justificado por «la necesidad de definir claramente la «sede» administrativa electrónica con la que se establecen las relaciones, promoviendo un régimen de identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad». Las sedes electrónicas, que sustituyen a las actuales oficinas virtuales, son un punto de acceso electrónico a aquellos servicios que requieran la autenticación de los ciudadanos o de la administración, dotado de especiales condiciones de identificación, seguridad y responsabilidad que garantizan una información veraz, actualizada y completa. Mediante el dominio específico reservado a las mismas (.gob.es) y el certificado de sede queda asegurada su identificación, de manera que el ciudadano tiene la certeza de que se encuentra en un sitio de la administración y de que nadie ha realizado una suplantación del mismo, así como que las conexiones que se establezcan en las sedes electrónicas son seguras para salvaguardar la necesaria confidencialidad en los intercambios de datos que se realicen. 27
28 Expediente electrónico. Definición: conjunto de documentos electrónicos correspondientes a un procedimiento administrativo, cualquier a que sea el tipo de información que contengan. Para garantizar la vinculación de documentos electrónicos que conforman un expediente, la Ley define el índice electrónico como la relación de documentos electrónicos de un expediente electrónico, firmada por la Administración, órgano o entidad actuante, según proceda y cuya finalidad es garantizar la integridad del expediente electrónico y permitir su recuperación siempre que sea preciso. Regulación: R.D. 4/2010 del Esquema Nacional de Interoperabilidad. La Norma Técnica de Interoperabilidad de Expediente Electrónico tiene por objeto establecer la estructura y el formato del expediente electrónico, así como las especificaciones de los servicios de remisión y puesta a disposición. 28
29 Expediente electrónico. Debemos siempre considerar que un expediente electrónico está constituido por 4 partes: Los documentos electrónicos, entendido como el conjunto de datos en que se sustancia la información de un documento electrónico. El índice electrónico, entendido como un objeto digital que contiene la identificación sustancial de documentos electrónicos que componen el expediente debidamente ordenada para reflejar la disposición de los documentos así como otros datos para preservar la integridad y permitir la recuperación del mismo. La firma electrónica que garantiza la autenticidad e integridad del contenido del indice, y por extensión, de los documentos que conforman el expediente electrónico así como su estructura. Los metadatos, conjunto de datos que proporciona contexto al contenido, estructura y firma del expediente, contribuyendo al valor probatorio y fiabilidad de éste a lo largo del tiempo como evidencia electrónica de las actividades y procedimientos. 29
30 Archivo electrónico. La Administración tiene la obligación de archivar los documentos electrónicos relativos a actos administrativos que afecten a los derechos o intereses de los particulares en el mismo formato en el que se originaron, o en otro cualquiera que asegure la identidad e integridad de la información necesaria para reproducirlo. Se debe asegurar la posibilidad de trasladar los datos a otros formatos y soportes que garanticen el acceso. Los distintos soportes deben contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos. 30
31 Registro electrónico Los registros electrónicos cumplen en la Administración electrónica con la función esencial de posibilitar a los ciudadanos la presentación, por vía electrónica, de sus solicitudes, formularios, declaraciones y demás documentos relacionados con los procedimientos administrativos que les afectan, obteniendo el recibo o justificante oportuno. Por su parte, los órganos administrativos registran, a través de ellos, los documentos electrónicos que emiten en el ejercicio de sus competencias. Los registros electrónicos cumplen respecto de los procedimientos electrónicos, la misma función que los registros administrativos clásicos, de entrada y salida de documentos, han cumplido respecto de los documentos en papel. 31
32 Notificaciones telemáticas seguras. Este servicio pone a disposición de cualquier persona física o jurídica que lo solicite la posibilidad de recibir por vía telemática las notificaciones que actualmente recibe en papel. Hay que señalar que se trata de un servicio de utilización voluntaria y gratuita, que requiere determinadas especificaciones técnicas en el equipo que utilice el usuario: Uso de certificado personal estándar de firma electrónica puesto que el acceso a su contenido por el usuario requiere firma electrónica de acuse de recibo. 32
33 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 33
34 Alcance del R.D. 3/2010 El alcance del Esquema Nacional de Seguridad está determinado por las Leyes 39 /2015 y 40/2015. Resultará de aplicación a todos los sistemas de información, con independencia de que exista o no tratamiento de datos personales o que su tramitación sea a través de sede electrónica. Establece por tanto los requisitos de seguridad que deben alcanzarse en el proceso de transformación digital de las AA.PP. para garantizar la seguridad jurídica del proceso administrativo mediante el uso de medios electrónicos. 34
35 El ciudadano es el beneficiario de la protección jurídica. Cualesquiera personas físicas, personas jurídicas y entes sin personalidad que se relacionen, o sean susceptibles de relacionarse, con las Administraciones Públicas. Destinatario, beneficiario o parte en los procedimientos administrativos para los que una unidad administrativa tiene competencias públicas encomendadas. 35
36 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 36
37 Pilares del R.D. 3/2010 ENS MISIÓN DEL ENS: GENERAR CONFIANZA EN EL USO DE LA TECNOLOGIA. OBJETIVOS: ESTABLECER LA POLÍTICA DE SEGURIDAD EN LA UTILIZACIÓN DE MEDIOS ELECTRÓNICOS CONSTITUIDA POR LOS PRINCIPIOS BÁSICOS Y LOS REQUISITOS MÍNIMOS PARA UNA PROTECCIÓN ADECUADA DE LA INFORMACIÓN. PROMOVER LA GESTIÓN CONTINUADA DE LA SEGURIDAD, AL MARGEN DE IMPULSOS PUNTUALES, O DE SU AUSENCIA. PROTEGER LA DISPONIBILIDAD, AUTENTICIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DE LOS DATOS ALMACENADOS O TRANSMITIDOS, DE LOS SERVICIOS PROPORCIONADOS Y DE LOS SISTEMAS DE INFORMACIÓN NECESARIOS PARA SU SUMINSTRO. 37
38 Objetivos del R.D. 3/2010 ENS FINALIDAD RD 3/2010 (ENS). Preámbulo. La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los Ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan. 38
39 Dimensiones de la seguridad de la información. DISPONIBILIDAD INTERRUPCIÓN CONFIDENCIALIDAD INTERCEPTACIÓN MODIFICACIÓN FABRICACIÓN INTEGRIDAD AUTENTICACIÓN y TRAZABILIDAD 39
40 Disponibilidad de la información o servicios [D]. Garantiza la accesibilidad y operatividad de la información o los servicios en los tiempos que se requieren para el desarrollo normal de la actividad. Garantizar que todo funciona según n lo previsto y en los tiempos requeridos. 40
41 Confidencialidad de la información [C]. Garantiza que la información solo será comprensible y utilizable por el destino autorizado permaneciendo oculta para el resto que pueda tener acceso. Garantizar que solo accede a la información n quien está autorizado para ello. 41
42 Integridad de la información [I]. Detectar la modificación o alteración no autorizada, aunque no la impide. Verificar que el contenido no ha sido manipulado. 42
43 Autenticidad de los actores [A]. Garantiza la identidad de las entidades mediante algún tipo prueba: Algo que se sabe. Algo que se tiene. Algo que se es. Puede ser en ambos sentidos. Verificar que se es quien se dice ser. 43
44 Trazabilidad de los accesos y modificaciones [T]. Poder evidenciar quién ha realizado una determinada actividad y cuándo se ha producido. Es fundamental para poder demostrar la corrección de la transacción y que no ha sido realizada por un usuario no autorizado. No poder demostrar la trazabilidad pone en duda al sistema de tratamiento. Conocer quién, cuándo y cómo c ha podido tratar la información. n. 44
45 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 45
46 Estructura del R.D. 3/2010 ENS ESTRATEGIA TÁCTICA OPERACIÓN 46
47 Líneas estratégicas Basadas en pilares de la seguridad ya implantados por otras normas de referencia (ISO 27001). Seguridad holística (Cadena de eslabones). Orientada a la gestión del riesgo. Estrategias proactivas y reactivas (prevención, detección y recuperación). Líneas de defensa: No un solo muro de protección sino medidas complementarias. Necesaria detección tempana. Reevaluación periódica: Ciclo de mejora continua basado en la revisión mediante auditorías. Seguridad como función diferenciada: Seguridad independiente de la gestión operativa de sistemas.
48 Qué proteger? (Obligaciones de la AA.PP.) La e-administración incrementa los requisitos internos de seguridad. Disponibilidad: Servicios online= Servicios 24 x 7 x 365. Necesidad de garantizar continuidad de negocio. Confidencialidad: Las AA.PP. son también bancos de datos. Integridad: Veracidad de la información. Evidencia digital de transacciones. Autenticación: Demostrar la veracidad de la identidad de las partes (ciudadano y la propia Administración) para evitar suplantación. 48
49 Qué garantizar? (Derechos del ciudadano) El ciudadano adquiere nuevos derechos en el uso de los servicios de la administración. Disponibilidad: Acceso 24 x 7 x 365 a datos en trámitación o copias. Conservación de documentos electrónicos tramitados (Conservación). Confidencialidad: Protección de la intimidad (Privacidad). Integridad: Que se garantice la corrección de la información aportada (Calidad de los datos). Autenticación: Tener garantías de la identificación correcta de la AA.PP. (Sede electrónica) Funcionamiento de los medios para la comprobación de la veracidad de la identidad. 49
50 Medidas de seguridad a desplegar org Marco organizativo Quién lo hará? op op.pl op.acc op.exp op.ext op.cont op.mon mp mp.if mp.per mp.eq mp.si mp.sw mp.s Marco operacional Planificación Control de acceso Explotación Servicios externos Continuidad del servicio Monitorización del sistema Medidas de protección Protección de las instalaciones e infraestructuras Gestión del personal Protección de los equipos Protección de los soportes de información Protección de las aplicaciones informáticas Protección de los servicios Procesos de seguridad Medidas concretas
51 Niveles basados en 3 categorías Artículo 43 ENS. Categorías de seguridad. TRES NIVELES DE SEGURIDAD EN BASE AL IMPACTO : BÁSICO MEDIO ALTO LAS MEDIDAS SE INCREMENTAN EN BASE AL PRINCIPIO DE PROPORCIONALIDAD. 51
52 Criterio de valoración atendiendo a daños. El criterio para estimar los perjuicios causados por un incidente de seguridad debe atender a las siguientes escalas de valoración: Reducción de la capacidad operativa. Daños causados sobre los activos de la organización. Incumplimiento de legislación. Perjuicios al ciudadano. Otros criterios. 52
53 Sistemas de información. Modelo de arquitectura empresarial basada en capas Tres grandes áreas: Capa de negocio. Capa de aplicaciones. Capa de tecnología. 53
54 Sistemas de información La categoría de un Sistema de información es la valoración de «Servicio»e «Información». Información de ciudadanos Aplicación gestión expedientes Hardware servidores Administración electrónica del Ayuntamiento. PROPIETARIO DE INFORMACION Sede electrónica Red Troncal Ayuntamiento Web Registro telemático Correo electrónico Hardware servidores PROPIETARIO DE LOS SERVICIOS CPD 1 Contenido= Información CPD 2 Servicios para transportar el contenido
55 Dependencias afectan a procesos Es necesario identificar los servicios TI y qué infraestructuras y recursos son necesarios para suministrarlos. De esta forma se puede calcular qué consecuencias tiene un incidente en cualquiera de los elementos de soporte necesarios. 55
56 Valoración del impacto C I D 1 B Sede electrónica M M Tramites administrativos M M B Pagos Contabilidad Dirección RR.HH. B M M B A B A M M A M B M M M B A B A M B M M A A M M A A M M M M B A B A M M M M M A A M
57 Amenazas Medidas de seguridad Salvaguardas Incendio Corte Eléctrico Fallecimiento empleado Virus Fuga de datos Impacto Vulnerabilidades
58 Relación de causas y efectos pensando en el ciudadano. Causas o daños en las dependencias y estimar Información Soportes Aplicaciones software Hardware Ubicaciones físicas Consecuencias en los servicios suministrados al ciudadano. Sede electrónica Recaudación Urbanismo Servicios sociales
59 Cuánta seguridad es necesaria? = Categoría del sistema. Artículo 27. Cumplimiento de requisitos mínimos. 1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: Los activos que constituyen el sistema. La categoría del sistema, según lo previsto en el artículo 43. Las decisiones que se adopten para gestionar los riesgos identificados.
60 Categorización de los sistemas de información. Se deberán valorar las consecuencias de un incidente sobre diferentes trámites para estimar qué consecuencias tendría un problema de seguridad y establecer así la categoría del sistema. SERVICIO 1 SERVICIO 2 TRAMITE 1 60
61 Toma de decisiones ordenada por relevancia. MAPA DE RIESGOS. La zona 3 es prioritaria y urgente. La zona 2 es la segunda relevante. Los riesgos de la zona 1 se aceptan. 61
62 Gestión del riesgo es algo cotidiano en nuestras vidas. REDUCIR Poner alarma Comprar puerta blindada EVITAR No comprarla ACEPTAR No hacer nada TRANSFERIR Contratar seguro
63 La gestión del riesgo establece estrategia de seguridad. MEDIDAS PREVENTIVAS MEDIDAS DE RESPUESTA RIESGO Estrategias de gestión del riesgo Prevención Detección Respuesta
64 Considerar el factor humano como actor principal. Modelo del Queso Suizo James Reason (1995), Barreras para impedir amenazas cómo láminas de queso. Contempla dos tipos de errores: Activos: Son acciones u omisiones, incluyendo errores e incumplimientos, que tienen consecuencias adversas inmediatas. Latentes: Creadas por diseño deficiente, objetivos incompatibles, defectos de organización o malas decisiones de la Dirección. Cuando estos se alinean hacen que el riesgo se materialice, generando daños en las organizaciones.
65 El ENS establece medidas que optan por diferentes estrategias de gestión del riesgo. Prevención Detección Represión Corrección Recuperación RIESGO INCIDENTE DAÑOS RECUPERACIÓN Reducir probabilidades de las amenazas Reducir las consecuencias de los daños 65
66 Medidas de seguridad del ENS. 66
67 Esfuerzo progresivo según niveles. Nivel organizativo (4): idéntico esfuerzo en los 3 niveles. 67
68 Esfuerzo progresivo según niveles. Nivel Operacional (31): depende del alcance, extiende las cobertura de las medidas. Nivel BASICO: 13 medidas. Nivel MEDIO: 13 medidas más que nivel BASICO. Nivel ALTO: 12 medidas más que nivel MEDIO. 68
69 Esfuerzo según niveles Medidas de protección (40). Nivel BASICO: 30 medidas. Nivel MEDIO: 16 medidas más que nivel BASICO. Nivel ALTO: 16 medidas más que nivel MEDIO. 69
70 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 70
71 Responsabilidades del ENS GUÍA CCN CERT 801. RESPONSABILIDADES Y FUNCIONES Establece «requisitos» de protección Vigila el cumplimiento de los «requisitos» de protección DPD Maneja y opera los sistemas según «requisitos» de protección
72 Responsabilidades según ENS Vigila el cumplimiento Supervisión Responsable de la información Establecen «requisitos» de protección Responsable de seguridad Responsable del servicio Operación sistemas de información Administrador de seguridad Responsable del sistema de información Maneja y opera los sistemas según «requisitos» de protección
73 Comité de Seguridad de la Información. Se articularán y funcionarán como órganos colegiados de acuerdo con la normativa administrativa. El Comité de Seguridad tiene como responsabilidades: Atender las inquietudes de la Dirección en materia de seguridad y elaborar la estrategia de despliegue de la seguridad. Informar del estado de la seguridad y promover la mejora continua. Monitorizar los principales riesgos, hacer seguimiento de los incidentes y promover la realización de auditorías periódicas que permitan verificar el estado del ENS. Aprobar planes de mejora de la seguridad y priorizar las actuaciones cuando los recursos sean limitados. El ENS le atribuye la potestad de garantizar el cumplimiento del propio ENS.
74 Comité de Seguridad de la Información. El Comité de Seguridad de la Información, será la herramienta de toma de decisiones de la Organización. Es quien establece las necesidades de seguridad y establece los criterios de gestión del riesgo. Debe representar a todas las partes implicadas dentro del alcance del ENS.
75 Responsable de la información. El Responsable de la información es una persona que ocupa un alto cargo en la Organización. Es la persona a la que se deben comunicar las incidencias detectadas en la gestión de los datos (personales o no) sobre los que ostenta responsabilidad. Es el responsable último de cualquier error o negligencia que lleve a un incidente de integridad o confidencialidad. El ENS le atribuye la potestad para establecer el «Nivel de seguridad» de la información. Puede ser persona concreta u órgano colegiado según la estructura administrativa interna.
76 Responsable del Servicio. El Responsable del Servicio tiene la potestad para establecer los requisitos del servicio en materia de seguridad. Habitualmente, suele coincidir con los Responsables de Área o Departamento. También puede asignarse este rol al Comité de Seguridad. La prestación del servicio siempre debe atender a los requisitos de seguridad de la información que maneja y suele añadir requisitos de disponibilidad, accesibilidad, interoperabilidad. El ENS le atribuye la potestad para establecer el «Nivel de seguridad» del servicio. Puede ser persona concreta u órgano colegiado según la estructura administrativa interna.
77 Responsable de Seguridad de la Información. El Responsable de Seguridad tiene como responsabilidades: Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información según lo establecido en la Política de Seguridad. Promover la formación y concienciación en materia de seguridad. El ENS le atribuye la potestad de supervisar el cumplimiento del propio ENS. Debe ser una persona concreta.
78 Delegado de Protección de Datos (figura RGPD). El Responsable de Seguridad tiene como responsabilidades: Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones según el RGPD Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; Debe ser una persona concreta.
79 Posibles organigramas ENS+RGPD. Supervisión Comité de Seguridad Responsable de la información Responsable de seguridad Delegado de Protección de Datos Responsable del servicio Administrador de seguridad Responsable del sistema de información Operación de los sistemas de información
80 Organigramas posibles Según sugiere el documento CCN STIC 801 Responsabilidades y funciones del ENS Órganos de Gobierno Dirección ejecutiva Nivel operacional Alta dirección que entiende la misión de la Organización, determina los objetivos a alcanzar y responde de que se alcancen. Gerencias que entienden qué hace cada departamento y cómo se coordinan entre sí para alcanzar los objetivos marcados por Dirección. Se centra en cada actividad concreta y controla cómo se hacen las cosas.
81 Gobierno y gestión mediante el modelo de 3LD. Junta de Gobierno Comité de seguridad y privacidad (ENS+RGPD) Sistemas de información y Tratamientos CISO y DPO Auditores
82 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 82
83 Procesos + Personas + Tecnología MEDIDAS DE SEGURIDAD GESTIÓN DE LA SEGURIDAD
84 El proceso de adecuación al ENS.
85 El proceso de adecuación al RGPD. 85
86 Aprovechar las sinergias entre ENS y RGPD. Cumplimiento cubierto por las medidas del ENS Problemática técnico organizativa Problemática jurídico organizativa La seguridad en ambos marcos (ENS y RGPD) supone las mismas medidas.
87 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. INTEGRACIÓN DE AMBOS MARCOS NORMATIVOS ENS RGPD CUMPLIMIENTO TOTAL
88 3. HOJA DE RUTA ENS Y RGPD
89 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. PROGRAMACIÓN DE LAS ACTUACIONES EN FASES (PDCA) FASE 1: PLAN DE ADECUACIÓN FASE 2: IMPLANTACIÓN + FASE 4: MEJORA CONTINUA FASE 3: REVISIÓN
90 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 1. PLAN DE ADECUACIÓN (PLAN) 1 IDENTIFICACIÓN DE LOS ROLES Y RESPONSABILIDADES CONJUNTOS ENS+RGPD. 2 DEFINIR Y APROBAR LA POLÍTICA DE SEGURIDAD Y PRIVACIDAD. 3 IDENTIFICAR Y VALORAR LOS ACTIVOS (SERVICIOS, INFORMACIÓN, SISTEMAS) 4 CATEGORIZACIÓN DE LOS SISTEMAS (BAJA, MEDIA, ALTA) y ELABORAR EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT) ANÁLISIS DIFERENCIAL DE LOS SISTEMAS RESPECTO DEL CUMPLIMIENTO DEL E.N.S. y del R.D. 1720/2007 ANALISIS Y GESTIÓN DEL RIESGO ELABORAR UNA DECLARACIÓN DE APLICABILIDAD INFORME DE INSUFICIENCIAS Y PLAN DE MEJORA DE LA SEGURIDAD
91 91
92 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 2: IMPLEMENTACIÓN (DO) IMPLEMENTAR EL PLAN DE MEJORA DE LA SEGURIDAD APROBADO INCLUYENDO LOS PROCEDIMIENTOS, NORMATIVA Y CONTROLES ESPECIFICADOS DEFINIR EL MODO DE MEDIR LA EFICACIA DE LOS CONTROLES MEDIR LA EFICACIA DE LOS CONTROLES 4 CONCIENCIAR A TODO EL PERSONAL AFECTADO DE LA TRANSCENDENCIA Y DE LA IMPORTANCIA DE LAS ACTIVIDADES DE SEGURIDAD DE LA INFORMACIÓN Y DE SU CONTRIBUCIÓN A LOS OBJETIVOS DEL SISTEMA DE GESTIÓN DEL ENS 5 COMENZAR A OPERAR EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, REGISTRANDO TODO AQUELLO QUE SE CONSIDERE RELEVANTE 6 MONITORIZAR PERMITIENDO UNA DETECCIÓN TEMPRANA DE EVENTOS DE SEGURIDAD Y UNA RESPUESTA ANTE INCIDENTES DE SEGURIDAD
93 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 2: IMPLEMENTACIÓN (DO) 93
94 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASES 3 Y 4: REVISIÓN Y MEJORA (CHECK y ACT) 1 AUTO EVALUACIONES Y CONTROLES PERIÓDICOS DEL ENS Y RGPD 2 ACCIONES DE MEJORA CONTINUA (CORRECTIVAS, PREVENTIVAS) DEL ENS Y RGPD. 3 AUDITORÍA DE CONFORMIDAD.
95 Garantizar la mejora continua. Ciclo de resolución DEFICIENCIA Acción correctiva Incidencias o carencias Todo en orden Ciclo de mantenimiento OBSERVACIÓN Ciclo de mejora Construir mejora continua (Sinergias con el ENS) Mantener el Sistema Ideas/Mejoras OPORTUNIDAD DE MEJORA 95
96 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASES 3 Y 4: REVISIÓN Y MEJORA (CHECK y ACT) 96
97 La responsabilidad activa y el ENS llevan implícita la mejora continua - Definir la Política de Seguridad - Establecer categorías y tratamientos - Realizar el análisis de riesgos - Seleccionar medidas ENS - Ejecutar el plan de adecuación al ENS - Implantar los controles - Adoptar acciones correctivas - Adoptar acciones preventivas - Realizar auditorias del ENS y RGPD
98 Reflexiones finales
99 CCN CERT ha procedido al desarrollo de guías. 99
100 CCN CERT ha procedido al desarrollo de guías. 100
101 La FREM también aporta guías para la adecuación. Las guías de la FREM tiene ejemplos particularizados a la problemática de Ayuntamientos con una guía especial para aquellos de menos de habitantes. Guía Estratégica en Seguridad para Entidades Locales (TOMO I). Guía para entidades locales. Guía Estratégica en Seguridad para Entidades Locales (TOMO II). Guía para entidades locales de menos de habitantes. 101
102 Las guías de la AEPD proporcionan detalles. Guía práctica de análisis de riesgos en los tratamientos en la protección de datos sujetos al RGPD. Guía práctica para las evaluaciones de impacto en la protección de datos sujetos al RGPD.
103 R.D. 3/2010 = Proporcionalidad según tipos de trámites y consecuencias. El ENS establece un conjunto suficiente de garantías si: Se implanta ANTES de poner en marcha las sedes electrónicas. Se audita su correcto funcionamiento por personal cualificado. Se diferencia 103
104 En seguridad siempre pensar en el eslabón más débil. 104
105 Es perdonable ser vencido, pero nunca ser sorprendido. Federico II de Prusia. 105
106 Muchas gracias 106
Esquema Nacional de Seguridad. Y después qué?
Esquema Nacional de Seguridad. Y después qué? CRUE-TIC. Salamanca 2012 Telefónica Empresas 26/10/2012 Índice 01 Por qué el R.D. 3/2010 ENS Motivación Contenido 02 Como lograr una efectiva implantación
Más detallesA conocer por medios electrónicos el estado de tramitación de los procedimientos en los que sean interesados
La Ley 11/2007, de Acceso Electrónico de los ciudadanos a los Servicios Públicos en su artículo 6 crea una serie de derechos como son entre otros muchos: Se reconoce a los ciudadanos el derecho a relacionarse
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, CRISC, CDPP, Lead Auditor, QSA Fecha: 21 Diciembre 2011
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 14 Marzo 2011 ÍNDICE S21Sec, Servicios
Más detallesAdecuación al Esquema Nacional de Seguridad
Adecuación al Esquema Nacional de Seguridad Madrid,27 de mayo de 2013 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas Contenidos 1.
Más detallesEvaluación con el Esquema Nacional de Seguridad (ENS): la aplicación en el repositorio institucional de la UAB
Evaluación con el Esquema Nacional de Seguridad (ENS): la aplicación en el repositorio institucional de la UAB Miquel Térmens Graells termens@ub.edu Universitat de Barcelona Departament de Biblioteconomia
Más detallesESQUEMA NACIONAL DE SEGURIDAD Guía para responsables
ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables Ernst & Young Junio 2011 Página 1 INDICE Introducción El Proceso Página 2 Introducción (I) Qué es el (ENS)? El 29 de enero del año 2010 se publica en
Más detallesResumen Ejecutivo. Inclusión de los sistemas de información de una organización dentro del Esquema Nacional de
TRABAJO FIN DE MÁSTER Resumen Ejecutivo Inclusión de los sistemas de información de una organización dentro del Esquema Nacional de seguridad (ENS) en virtud del Real Decreto 3/2010 Autor: Esteban Sánchez
Más detallesVI JORNADAS DE ARCHIVOS EN LA ADMINISTRACIÓN LOCAL
VI JORNADAS DE ARCHIVOS EN LA ADMINISTRACIÓN LOCAL Normas técnicas de Interoperabilidad e instrumentos para el documento electrónico Málaga, 23 de mayo de 2014 Miguel A. Amutio Gómez Subdirector Adjunto
Más detallesREQUISITOS PARA LA GENERACIÓN DE DOCUMENTOS Y EXPEDIENTES ELECTRÓNICOS Y ARCHIVO DIGITAL DE LAS ENTIDADES LOCALES DE NAVARRA
REQUISITOS PARA LA GENERACIÓN DE DOCUMENTOS Y EXPEDIENTES ELECTRÓNICOS Y ARCHIVO DIGITAL DE LAS ENTIDADES LOCALES DE NAVARRA Servicio de Archivos y Patrimonio Documental Dirección General de Cultura Institución
Más detallesTécnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014
Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso de Técnico Profesional en Sistema
Más detallesESQUEMA NACIONAL DE SEGURIDAD INTRODUCCION
Jornadas protección de datos, transparencia y esquema nacional de seguridad. ESQUEMA NACIONAL DE SEGURIDAD Servicio de Organizacion e Informacion Manuel Soler Hernandez msolerhe@dipalme.org 20 de Octubre
Más detallesCERTIFICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD
CERTIFICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD Valentín Faura Poy valentin.faura@bdo.es Director del Área de Auditoría Interna y Gestión de Riesgos de BDO PRESENTACIÓN BDO Pág. 3 BDO BDO en España Vigo
Más detallesTécnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)
Fecha de exportación: Wed Oct 25 21:18:36 2017 / +0000 GMT Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas) Categoría: Prevención de Riesgos Laborales,
Más detallesDECLARACION DE CONFORMIDAD AL PLAN DE ADECUACION DEL ENS
(Documento Final) DECLARACION DE CONFORMIDAD AL PLAN DE ADECUACION DEL ENS Plan de Adecuación al Esquema Nacional de Seguridad (Uso Público) ENS.ORG.PL.1.ACT.V01 Declaración de Conformidad al Plan de Adecuación
Más detallesSE0001 Política de Seguridad de la Información
Servicios Informáticos Documentos UCM Serie: Seguridad SE0001 Política de Versión del Documento 04/04/2017 El contenido de este documento es propiedad de la Universidad Complutense. La información aquí
Más detallesTramitación electrónica
Tramitación electrónica en @rchiva Proyecto: @rchiva Autor: CCUL Versión: 01.00 Fecha: 01/07/2016 Hoja de Control de Modificaciones Título Versión 01_00 Realizado CCUL Fecha creación 01/07/2016 CONTROL
Más detallesCAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP
CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP 1. Introducción Cualquiera sea el soporte de la información, siempre debe protegerse adecuadamente y por medio de procesos que deben comprender una política,
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Fecha de exportación: Fri Nov 3 13:58:49 2017 / +0000 GMT Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación
Más detallesPerito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación Empresarial, Marketing y Recursos Humanos Página del curso:
Más detallesENS Estado de implantación Herramienta INÉS
ENS Estado de implantación Herramienta INÉS 1 ESQUEMA NACIONAL DE SEGURIDAD 6 15 75 1. Los Principios básicos, que sirven de guía. 2. Los Requisitos mínimos, de obligado cumplimiento. 3. La Categorización
Más detallesImplantación del Esquema Nacional de Seguridad. Alberto López Responsable de Proyectos Dirección de Operaciones
Implantación del Esquema Nacional de Seguridad Alberto López Responsable de Proyectos Dirección de Operaciones 1 Índice 1. Qué es el Esquema Nacional de Seguridad? 2. Ámbito de Aplicación e Impacto. 3.
Más detallesAspectos organizativos y técnicos del RGPD
Aspectos organizativos y técnicos del RGPD Joseba Enjuto Director de Consultoría jenjuto@nextel.es 18/10/2017 ÍNDICE Introducción Aspectos organizativos Aspectos técnico-operativos Riesgos y oportunidades
Más detallesTransparencia y acceso electrónico de los ciudadanos a los servicios públicos
Jornada Organización y Funcionamiento de las Entidades Locales Transparencia y acceso electrónico de los ciudadanos a los servicios públicos José Luis Verdú López Jefe del Servicio de Informática Responsable
Más detallesLa adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa. Administración electrónica y seguridad de la información
La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa Administración electrónica y seguridad de la información La aprobación del Real Decreto 3/2010, de 8 de enero, por el que se
Más detallesANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]
ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J] A continuación se presenta la ISO/IEC 27001:2005 [J] a manera de resumen con el objetivo de entender el alcance y contenido de la misma y comprender
Más detallesANÁLISIS DE RIESGOS EVALUACIÓN IMPACTO BRECHAS DE SEGURIDAD. Andrés Calvo y Charo Heras Unidad de Evaluación y Estudios Tecnológicos
ANÁLISIS DE RIESGOS EVALUACIÓN IMPACTO BRECHAS DE SEGURIDAD Andrés Calvo y Charo Heras Unidad de Evaluación y Estudios Tecnológicos RGPD SI 10ª Sesión Anual Abierta de la AEPD. Teatros del Canal-Sala Roja.
Más detallesPlan Director de Seguridad de la Información
Plan Director de Seguridad de la Información Presentado por: José Consuegra del Pino Tutor: Arsenio Tortajada Gallego Máster Interuniversitario en Seguridad de las Tecnologías de la Información y la Comunicación
Más detallesBOLETÍN OFICIAL DEL ESTADO
Núm. 29 Miércoles 3 de febrero de 2010 Sec. I. Pág. 9676 I. DISPOSICIONES GENERALES MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO 1659 Orden ITC/164/2010, de 28 de enero, por la que se crea la Sede Electrónica
Más detallesTransparenciay acceso electrónico de los ciudadanos a los servicios públicos
Jornada Organización y Funcionamiento de las Entidades Locales Transparenciay acceso electrónico de los ciudadanos a los servicios públicos José Luis Verdú López Jefe del Servicio de Informática Responsable
Más detallesDocumentos electrónicos y Archivo Digital. Consideraciones jurídicas
Documentos electrónicos y Archivo Digital. Consideraciones jurídicas Contenido 1 2 3 Legislación y Tecnología Legislación El documento electrónico Informática El Corte Inglés www.ieci.es 2 Contenido 1
Más detallesLíneas Estratégicas de la Transformación Digital de las AAPP
Líneas Estratégicas de la Transformación Digital de las AAPP Indice 1 Introducción 2 Objetivo 3 Evaluación Situación Actual 4 Plan de Acción 5 Conclusiones Page 2 1 Introducción Objetivos 2 Evaluación
Más detallesLa seguridad en el RGPD.
La seguridad en el RGPD. Javier Cao Avellaneda. Cybersecurity, Privacy, and IT Risk Leader en Govertis. @javiercao Agenda. La seguridad del tratamiento en el RGPD. Gestión de violaciones de seguridad:
Más detallesPOSIBLE ESQUEMA DE CONTENIDOS A INCLUIR EN EL ANTEPROYECTO DE LEY DE ADMINISTRACIÓN ELECTRÓNICA. Versión de 27/06/06.
MINISTERIO DE ADMINISTRACIONES PÚBLICAS DIRECCIÓN GENERAL DE MODERNIZACIÓN ADMINISTRATIVA POSIBLE ESQUEMA DE CONTENIDOS A INCLUIR EN EL ANTEPROYECTO DE LEY DE ADMINISTRACIÓN ELECTRÓNICA. Versión de 27/6/6.
Más detallesPostgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014
Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso Online de Postgrado
Más detallesBase7Germany GmbH. Anexo 1 Medidas técnicas y organizativas
Base7Germany GmbH Anexo 1 Medidas técnicas y organizativas La cláusula 6 del Acuerdo sobre tratamiento de datos comisionados se refiere a este anexo en cuanto a la especificación de las medidas técnicas
Más detallesCaso Práctico: Proyecto de Certificación ISO 27001
Caso Práctico: Proyecto de Certificación ISO 27001 SER MÁS LÍDERES 21 Junio 2.006 Índice 01 La Problemática 02 Qué es un Sistema de Gestión? 03 Qué es un SGSI? 04 Por qué un SGSI? 05 Qué es la Norma ISO/IEC
Más detallesLEY 11/2007, DESARROLLO REGLAMENTARIO Y EENN EN LOS AYUNTAMIENTOS
Congreso DINTEL ENS 2011 Esquemas Nacionales de Seguridad y de Interoperabilidad LEY 11/2007, DESARROLLO REGLAMENTARIO Y EENN EN LOS AYUNTAMIENTOS DªVirginia Moreno Bonilla Martes, 29 de marzo 2011 Palacio
Más detallesLEGISLACIÓN CONSOLIDADA. TEXTO CONSOLIDADO Última modificación: sin modificaciones
Orden PRE/878/2010, de 5 de abril, por la que se establece el régimen del sistema de dirección electrónica habilitada previsto en el artículo 38.2 del Real Decreto 1671/2009, de 6 de noviembre. Ministerio
Más detallesANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15
ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15 - A4.1 - CONTROLES DEL ESTÁNDAR ISO/IEC 17799, SECCIONES 5 A 15 5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1 Política de Seguridad
Más detallesEl papel del archivero en el cumplimiento de la ley 39/2015: el documento electrónico y su implantación en una Universidad: planificación, ejecución
El papel del archivero en el cumplimiento de la ley 39/2015: el documento electrónico y su implantación en una Universidad: planificación, ejecución y herramientas. junio 2017 Antecedentes de la Administración
Más detallesANEXO E Gestión de roles y responsabilidades
Anexo E Gestión de roles y responsabilidades 1. Responsable de Seguridad El Responsable de Seguridad es la figura personal más importante en el desarrollo de la seguridad de la información. Este rol, será
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE UNIÓN DE MUTUAS
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE UNIÓN DE MUTUAS UNIÓN DE MUTUAS, mutua colaboradora con la Seguridad Social n.º 267, es una asociación de empresas, sin ánimo de lucro, que colabora en la gestión
Más detallesQué es la seguridad informática?
Qué es la seguridad informática? Por Gustavo Sain @grsain La seguridad en las organizaciones tiene sus orígenes a principios de siglo XX y tenía como objetivo proteger las instalaciones físicas frente
Más detallesCONTENIDO DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS)
CONTENIDO DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS) Los principios básicos y requisitos mínimos establecidos en el ENS para asegurar la protección adecuada de la información Preguntas clave sobre el contenido
Más detallesPlan de Seguridad de la Información de de Abril de de 2008
Plan de Seguridad de la Información 10 10 de de Abril de de 2008 Quién es MAPFRE? MAPFRE es un grupo empresarial español independiente que desarrolla actividades aseguradoras, reaseguradoras, financieras,
Más detallesEL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA
EL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA Pedro Valcárcel Jefe de Servicio de Políticas de Seguridad. Área de Seguridad. Centro de Calidad, Auditoría y Seguridad SGI RESUMEN
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. APROBACIÓN Y ENTRADA EN VIGOR Texto aprobado el día 29 de noviembre de 2016 por el Comité de Calidad y Seguridad. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que
Más detallesImplantación del ENS
Implantación del ENS Quiénes SOMOS Multinacional andaluza, fundada en 1992 (25 aniversario) 279 empleados Ingenia en el mundo Qué hacemos? Servicios de Seguridad & Consultoría Seguridad 360º Producto Servicios
Más detallesEXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC. Francisco Alonso Batuecas Responsable de Seguridad de la SES
EXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC Francisco Alonso Batuecas Responsable de Seguridad de la SES GABINETE Ministro O.C.R.I. GABINETE SECRETARIA DE ESTADO DE SEGURIDAD
Más detallesTEST DE COMPATIBILIDAD DE LOS SISTEMAS INFORMÁTICOS DE GESTIÓN PROCESAL
TEST DE COMPATIBILIDAD DE LOS SISTEMAS INFORMÁTICOS DE GESTIÓN PROCESAL Guía de interoperabilidad y seguridad Versión 1.0 Octubre de 2.011 CONTENIDO 0. INTRODUCCIÓN.... 4 1. OBJETO... 7 2. ÁMBITO DE APLICACIÓN...
Más detallesBOLETÍN OFICIAL DEL ESTADO MINISTERIO DE FOMENTO
Núm. 28 Miércoles 2 de febrero de 2011 Sec. I. Pág. 11302 I. DISPOSICIONES GENERALES MINISTERIO DE FOMENTO 1955 Resolución de 12 de enero de 2011, por la que se crea y regula el registro electrónico de
Más detallesEl archivo como pilar del ciclo de vida del documento electrónico
El archivo como pilar del ciclo de vida del documento electrónico Archivo Los documentos electrónicos requieren distintas formas de gestión durante su ciclo de vida, en fase de tramitación (SGDE) y en
Más detallesPrincipales Aspectos de las Políticas y la Normativa de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información Proyecto de Sensibilización y Capacitación Enero 2012 FUENTES Documentos:
Más detallesESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD CONTROL DE CAMBIOS. Versión Identificación del cambio Apartado Fecha
ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD CONTROL DE CAMBIOS Versión Identificación del cambio Apartado Fecha 1.0 Generación del documento 02/06/2016 ÍNDICE Capítulo I. Política de Seguridad
Más detallesSEGURIDAD INFORMATICA. Vulnerabilidades
SEGURIDAD INFORMATICA Vulnerabilidades Amenazas Riesgos GESTION DEL RIESGO En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD
Más detallesPolítica de Privacidad de Datos Personales
Proyecto Título Entidad de Registro Política de Privacidad de Datos Personales Realizado por Dirigido a COLEGIO DE NOTARIOS DE LIMA INDECOPI Documento Fecha 08/08/2016 Versión 1.0 ÍNDICE 1 INTRODUCCIÓN...
Más detallesEl Desarrollo de la Ley 11/2007 de Acceso de los Ciudadanos a los Servicios Públicos
El Desarrollo de la Ley 11/2007 de Acceso de los Ciudadanos a los Servicios Públicos Índice Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos RD 1671/2009, de 6 de noviembre,
Más detallesRGPD, DPO, ENS y ANY Como encaja todo
RGPD, DPO, ENS y ANY Como encaja todo Quienes somos Estamos ubicados en unas instalaciones inmejorables, en el Parc Científic de la Universitat de Valencia www.mobilizaacademy.com FORMACIÓN Y CERTIFICACIÓN
Más detallesEL PROCESO DE AUDITORÍA DE CERTIFICACIÓN DEL ENS
EL PROCESO DE AUDITORÍA DE CERTIFICACIÓN DEL ENS SOCINFO Mayo de 2018 PRESENTACIÓN DE LA FIRMA BDO es una de las firmas líderes de servicios profesionales de España y del mundo en el ranking de mayores
Más detallesAnexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control
Anexo III COBIT Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control En COBIT se define control como: El conjunto de políticas, procedimientos, prácticas y estructuras organizativas
Más detallesCódigo: J63.02 Nivel: 3. Actividades de servicios de información. Procesamiento de datos, hospedaje y actividades conexas; portales web
Denominación: Seguridad informática Código: J63.02 Nivel: 3 Sector: Actividades de servicios de información Familia: Tecnología hardware y software Eje tecnológico: Procesamiento de datos, hospedaje y
Más detallesEl Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad 22 abril 2010 Miguel A. Amutio Ministerio de la Presidencia 1 Ley 11/2007, art. 42 > Real Decreto 3/2010, de 8 de enero Ámbito de aplicación Objetivos del ENS Elementos
Más detallesBOLETÍN OFICIAL DEL ESTADO MINISTERIO DEL INTERIOR
Núm. 165 Jueves 8 de julio de 2010 Sec. I. Pág. 59978 I. DISPOSICIONES GENERALES MINISTERIO DEL INTERIOR 10824 Resolución de 23 de junio de 2010, de la Dirección General de Tráfico, por la que se crea
Más detallesEl nuevo Reglamento Europeo de Protección de Datos: una aproximación a la conformidad legal
El nuevo Reglamento Europeo de Protección de Datos: una aproximación a la conformidad legal INSERTAR FOTO PONENTE opcional DR. CARLOS GALÁN Profesor UC3M Presidente ATL 1 Carlos Galán es Doctor en Informática,
Más detallesLección 11: Análisis y Gestión de Riesgos
Lección 11: Análisis y Gestión de Riesgos Dr. José A. Mañas jmanas@dit.upm.es Departamento de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid Definición Seguridad de las redes y de
Más detallesPOLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Más detallesPolítica de Seguridad de Aragonesa de Servicios Telemáticos
Política de Seguridad de Aragonesa de Servicios Telemáticos Referencia: POL_SeguridadInformacion.docx Autor: Área de Seguridad Fecha de creación: 09/03/2018 Última actualización: 09/03/2018 Versión: v1.1
Más detalles1 Auditoría ENS-LOPD
Auditoría ENS-LOPD 1 Objetivos 2 Facilitar la ejecución de las auditorías requeridas por el ENS y la LOPD. Contribuir a la mejora de la seguridad de los sistemas de información. Generar 4 productos: Auditorías
Más detallesEsquema Nacional de Seguridad
Jornada de difusión del ENS Esquema Nacional de Seguridad Barcelona, 15 de diciembre de 2011 Miguel A. Amutio Gómez Ministerio de Política Territorial y Administración Pública 1 Administración-e, por qué
Más detallesPOLITICAS DE SEGURIDAD DE LA INFORMACION PARA PROVEEDORES Y CONTRATISTAS GESTION TECNOLOGICA Y DISEÑO
1. Objetivo: El principal objetivo de este documento es establecer el marco normativo en relación a la seguridad de la información para los proveedores y contratistas de Colombian Outsourcing solutions
Más detallesEsquema Nacional de Seguridad.
Esquema Nacional de Seguridad. Lecciones aprendidas Rubén Frieiro Barros, CISM, CISSP Senior Manager Gestión de riesgos tecnológicos Deloitte Sevilla, 3 de noviemrbe de 2011 Contenidos Introducción al
Más detallesDATOS IDENTIFICATIVOS DEL DOCUMENTO
DATOS IDENTIFICATIVOS DEL DOCUMENTO Centro Directivo Servicio Proyecto Descripción del documento SGSI-OP Política de Seguridad de la Información que recoge los principios e intenciones del Organismo Pagador
Más detallesSeguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad
Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 8 de octubre de 2012 Índice 1 2 Concepto 3 4 5 6 Tema 2
Más detallesBOLETÍN OFICIAL DEL ESTADO
Núm. 100 Jueves 26 de abril de 2012 Sec. I. Pág. 31996 I. DISPOSICIONES GENERALES MINISTERIO DE INDUSTRIA, ENERGÍA Y TURISMO 5526 Orden IET/842/2012, de 18 de abril, por la que se crea la sede electrónica
Más detallesRESPONSABILIDADES DE LA DIRECCIÓN
Pág. 1 de 13 CAPÍTULO 5: RESPONSABILIDADES DE LA DIRECCIÓN 5.0. ÍNDICE 5.1. COMPROMISO DE LA DIRECCIÓN 5.2. ENFOQUE AL CLIENTE 5.3. POLÍTICA DE LA CALIDAD Y DEL 5.4. PLANIFICACIÓN 5.4.1. Aspectos Medioambientales
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03
DE SEGURIDAD DE LA INFORMACIÓN 21 de diciembre de 2015 POL-01-03 INDICE 1. Antecedentes... 2 2. Objeto... 2 3. Contexto del Desarrollo del SGSI en ZERTIFIKA... 2 4. Partes Interesadas, sus necesidades
Más detallesDECRETO XX/2016, de de, por el que se crea y regula la sede electrónica del Servicio Andaluz de Salud.
DECRETO XX/2016, de de, por el que se crea y regula la sede electrónica del Servicio Andaluz de Salud. La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos,
Más detallesÍndice. Introducción
Índice 1 2 3 Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO 27001 2.3. Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para
Más detallesPOLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00
POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00 Este documento presenta las características principales de la Seguridad de la Información, el uso aceptable y prohibido de los recursos por los funcionarios
Más detallesSERVICIOS ELECTRÓNICOS
SERVICIOS ELECTRÓNICOS PAECARM Octubre 2016 PUNTO DE ACCESO GENERAL Uso de las plataformas y registros de la AGE Ley 39/2015 Disposición Adicional segunda Para el cumplimiento de las nuevas obligaciones,
Más detallesUNIFICA MANUAL DE UTILIZACIÓN DE CERTIFICADOS DIGITALES
UNIFICA MANUAL DE UTILIZACIÓN DE CERTIFICADOS DIGITALES Dirección General de Planificación y Presupuestos Gobierno de Canarias Noviembre 2015 El objetivo principal de PLATINO es crear una infraestructura
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesGrupo Tecnologías de Información XVII Edición Cumbre Judicial BORRADOR DE GUÍA DE INTEROPERABILIDAD Y SEGURIDAD DE EXPEDIENTE JUDICIAL ELECTRÓNICO
BORRADOR DE GUÍA DE INTEROPERABILIDAD Y SEGURIDAD DE EXPEDIENTE JUDICIAL ELECTRÓNICO 1 Introducción Con el fin de mejorar y agilizar la cooperación jurídica internacional, se deben establecer marcos de
Más detallesNormas Técnicas de Seguridad Interoperabilidad
La Seguridad de la Información comienza por TI... Normas Técnicas de Seguridad Interoperabilidad Caracas, Octubre 2013. Agenda Conociendo a SUSCERTE. Aspectos Legales sobre Interoperabilidad. Seguridad
Más detallesSEGURIDAD, NUEVOS RETOS
SEGURIDAD, NUEVOS RETOS APROSIP Profesionales de la Seguridad Medidas de seguridad en infraestructuras críticas y certificaciones normativas Sevilla, 26 de noviembre de 2015 Universidad Pablo de Olavide
Más detallesANEXO 1 SERVICIO PARA LA GESTIÓN INTEGRADA DE FACTURAS ELECTRÓNICAS
ANEXO 1 SERVICIO PARA LA GESTIÓN INTEGRADA DE FACTURAS ELECTRÓNICAS I. Condiciones Generales II. Condiciones técnicas y funcionales I. CONDICIONES GENERALES 1.- OBJETO El objeto del presente anexo es regular
Más detallesISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García
ISO 20000 Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García Introducción Introducción, no llores = Introducción Requisitos del SGS objetivo + eficiencia y eficacia Reemplaza por completo a
Más detallesLEGISLACIÓN CONSOLIDADA. TEXTO CONSOLIDADO Última modificación: sin modificaciones
Resolución de 19 de julio de 2011, de la Secretaría de Estado para la Función Pública, por la que se aprueba la Norma Técnica de Interoperabilidad de Documento Electrónico. Ministerio de Política Territorial
Más detallesObjetivo. Política de Seguridad con Proveedores
Objetivo Describir los lineamientos que ASIC debe adoptar para asegurar la protección de los activos de la organización que sean accesibles a los proveedores, así como mantener el nivel acordado de seguridad
Más detallesLa gestión documental en la empresa. Seminario "Expediente electrónico (V) Socinfo María Sánchez Rodríguez. Archivo Central 1 de Julio de 2015
La gestión documental en la empresa Seminario "Expediente electrónico (V) Socinfo María Sánchez Rodríguez. Archivo Central 1 de Julio de 2015 QUIENES SOMOS. En 1984 el Parlamento español creó Enresa, como
Más detallesDirección y Gerencia
Sistema de Gestión de Seguridad de la Información (SGSI) Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información DIRIGIDA A : Dirección y Gerencia Segunda Sesión Proyecto de
Más detallesRegión de Murcia CRI
FIRMA ELECTRÓNICA JESUS M. PATON LOPEZ 1 LEGISLACIÓN - FIRMA ELECTRÓNICA Ley 59/2003, de 19 de diciembre, de firma electrónica. Artículo 3. Firma electrónica, y documentos firmados electrónicamente. 1.
Más detallesCOBIT 5. Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad. Juan Antonio Vásquez
COBIT 5 Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad Juan Antonio Vásquez Descripción del Proceso Proteger la información de la empresa para mantener aceptable el nivel
Más detallesPOLITICA INSTITUCIONAL DE TECNOLOGIAS DE LA INFORMACIÓN Periodo
POLITICA INSTITUCIONAL DE TECNOLOGIAS DE LA INFORMACIÓN Periodo 2018-2022 Por medio de esta política el Instituto de Desarrollo Rural define su estrategia en materia de Tecnologías de la Información (en
Más detallesMedidas de seguridad nivel Alto
Medidas de seguridad nivel Alto Documento de seguridad El responsable del sistema elaborará, difundirá e implementará la normativa de seguridad mediante el documento. Será de observancia obligatoria para
Más detallesEl mismo real decreto regulador del ENS dispone que:
Orden PRE / 2011, de 16 de septiembre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la Administración electrónica del Ministerio de la Presidencia. El desarrollo de
Más detallesCongreso DINTEL ENS 2011
Plan de Adecuación n al ENS en el SCS Madrid, 29 de marzo de 2011 SCS Datos asistenciales Transferencias RD 446/1994 Población protegida: 1.964.993 Presupuesto: 2.524.000.000 Trabajadores: 23.000 Áreas
Más detalles