El ENS y el ENI una oportunidad para mejorar la seguridad e interoperabilidad en la administración electrónica

Transcripción

1 El ENS y el ENI una oportunidad para mejorar la seguridad e interoperabilidad en la administración electrónica CASO PRÁCTICO: Ayuntamiento de Lleida y Mollet del Vallés

2 ÍNDICE DE CONTENIDOS A. PRESENTACIÓN BDO B. VISIÓN DESDE BDO PARA MEJORAR EN LA ADMINISTRACIÓN ELECTRÓNICA CON UN MARCO ÚNICO DE CONTROL C. CASO PRÁCTICO DEL AYUNTAMIENTO DE LLEIDA D. CASO PRÁCTICO DEL AYUNTAMIENTO DE MOLLET DEL VALLÉS Pág. 2

3 PRESENTACIÓN BDO Pág. 3

4 BDO EN ESPAÑA Vigo Santander Bilbao Pamplona Servicios Valladolid Madrid Zaragoza Barcelona Auditoría Toledo 34% Valencia 51% Advisory Sevilla Alicante 15% Abogados Cifras Marbella (Málaga) Granada 13 oficinas propias 2 oficinas en alianza Las Palmas de Gran Canaria 993 profesionales EUR 85 M de facturación Pág. 4

5 BDO EN EL MUNDO Servicios 19% Auditoría 20% 61% Advisory Abogados Cifras oficinas profesionales EUR M de facturación En 138 países Pág. 5

6 LÍNEAS DE SERVICIO Nuestros servicios se estructuran a través de las siguientes líneas: AUDITORÍA ABOGADOS ADVISORY AUDITORÍA DE CUENTAS ANUALES FISCAL RISK ADVISORY SERVICES APOYO A LA GESTIÓN LEGAL FINANCIAL ADVISORY REQUERIMIENTOS LEGALES OUTSOURCING SOLVENCIA II EQUIPOS MULTIDISCIPLINARES Pág. 6

7 SERVICIOS TECNOLÓGICOS Fruto de la rápida evolución tecnológica en la que estamos inmersos, junto con la creciente dependencia de los negocios hacia los Sistemas de Información, BDO pone a disposición de sus clientes una línea de servicios en el ámbito de la gestión de riesgos. Los principales servicios que ofrecemos se desglosan en: Risk Advisory Services CONTROLES GENERALES DE LOS SISTEMAS DE INFORMACIÓN PROTECCIÓN DE DATOS SISTEMAS DE GESTIÓN ISO CIBERSEGURIDAD CLOUD DATA GOVERNANCE ESQUEMA NACIONAL DE SEGURIDAD E INTEROPERABILIDAD LA LEY DE TRANSPARENCIA INFRAESTRUCTURAS CRÍTICAS PROYECTOS A MEDIDA Equipos multidisciplinares Pág. 7

8 VISIÓN DESDE BDO PARA MEJORAR EN LA ADMINISTRACIÓN ELECTRÓNICA CON UN MARCO ÚNICO DE CONTROL Valentín Faura Poy Director del Área de Auditoría Interna y Gestión de Riesgos de BDO Pág. 8

9 INFRAESTRUCTURA PROCESOS CLIENTES CREAR VALOR VISIÓN DESDE BDO Necesidades y oportunidades de mejora EXCELENCIA OPERATIVA GESTIÓN DEL RIESGO CUMPLIMIENTO NORMATIVO CONFIANZA Eliminación de las barreras que limiten el acceso Mejora del funcionamiento interno y simplificación de procesos administrativos Gestión de la seguridad basada en riesgos Facilitar el ejercicio de los derechos y el cumplimiento de obligaciones Promover con el ciudadano y la transparencia administrativa Crear las condiciones de confianza en el uso de los medios electrónicos Gestión de incidentes Evitar el fraude Continuidad del servicio Protección de la información del ciudadano Cumplimiento de la legislación vigente Utilización de guías y estándares reconocidos Organización de la seguridad como una función diferenciada Seguridad como un proceso integral Proceso continuado de análisis y gestión de riesgos Prevención, detección y corrección periódica Desarrollar y mantener herramientas Formar, capacitar y concienciar a las personas Implantar medidas de protección Infraestructura orientada a negocio Pág. 9

10 ENFOQUE Y METODOLOGÍA Sistema de Gestión y Marco Único de Control Metodologías propias para la Gestión de los Riesgos de las Tecnologías de la Información y del Cumplimiento Regulatorio. El enfoque global de BDO se basa en el asesoramiento, auditoría y mantenimiento continuado del cumplimiento. BDO ha desarrollado una metodología propia para llevar a cabo el Análisis Inicial, Adecuación, Auditoría de Cumplimiento y Mantenimiento basada en el ciclo de Deming o PDCA (Plan-Do-Check- Act). MARCO ÚNICO DE CONTROL LEY 11/2007 LEY TRANS. ENS RD 3/2010 ISO ENI ISO RD /2010 LOPD RD 1720/ 2007 Marco de Control Integral (Base de controles única e integrada) Pág. 10

11 ENFOQUE Y METODOLOGÍA Sistema de Gestión y Marco Único de Control SISTEMA DE GESTIÓN INTEGRAL DE CONTROL ANÁLISIS INICIAL PLAN IMPLANTACIÓN DO ACT MANTENIMIENTO CHECK AUDITORÍA PLAN - Definición del Plan de Adecuación DO - Ejecución del Plan de Adecuación SERVICIOS INTEGRALES CHECK Auditoría de cumplimiento ACT - Mantenimiento Pág. 11

12 ENFOQUE Y METODOLOGÍA Sistema de Gestión y Marco Único de Control SERVICIOS DE ASESORAMIENTO Y GESTIÓN DE LA ADECUACIÓN Y CUMPLIMIENTO IMPLANTACIÓN Lanzamiento. Análisis inicial. Definición de la operativa Implantación de herramientas EJECUCIÓN DEL SERVICIO ANÁLISIS INICIAL Definición Plan adecuación MANTENIMIENTO PLAN DO ACT CHECK HERRAMIENTAS DE GESTIÓN IMPLANTACIÓN Plan adecuación AUDITORÍA cumplimiento DEVOLUCIÓN DEL SERVICIO Documentación Formación Devolución del servicio. CONTROL Y SEGUIMIENTO DEL SERVICIO Pág. 12

13 ENFOQUE Y METODOLOGÍA Diagrama de fases FASE 1 Definición del Plan de Adecuación A. Planificación Inicial y Lanzamiento B. Análisis de la Situación Actual C. Evaluación de Riesgos y del Nivel de Control D.Emisión de resultados FASE 2 Ejecución del Plan de Adecuación A. Definición e implantación del Marco Organizativo B. Definición de una Oficina de Control de Proyectos C. Implantación y puesta en marcha de la Oficina D. Gestión servicio FASE 3 Auditoría de cumplimiento A. Evaluación inicial y planificación de la auditoría de cumplimiento B. Ejecución de la auditoría C. Presentación de resultados FASE 4 Mantenimiento A. Asesoramiento continuado B. Actualización y mantenimiento del Plan de Adecuación CONTROL Y SEGUIMIENTO DEL SERVICIO Pág. 13

14 ENFOQUE Y METODOLOGÍA FASE 1 - Definición del Plan de Adecuación OBJETIVOS BDO ofrece el Proyecto de Definición de un Plan de Adecuación con el objetivo de dar cumplimiento a los principios y requisitos establecidos por las normativas vigentes. Identificación y análisis de la Política de Seguridad de la Organización. Identificación, inventario y valoración de la información tratada. Identificación, inventario y valoración de los servicios / trámites electrónicos responsabilidad de la Organización. Categorización de los sistemas dentro del alcance. Declaración de aplicabilidad. Evaluación del grado o nivel de control de la Organización. Análisis de riesgos. Plan de implantación y mejora de la seguridad. Pág. 14

15 ENFOQUE Y METODOLOGÍA FASE 1 - Definición del Plan de Adecuación ENTREGABLES ANÁLISIS GAP ENS: PLAN DE ADECUACIÓN: VALORACIÓN DE ACTIVOS / SISTEMAS DE INFORMACIÓN: Pág. 15

16 ENFOQUE Y METODOLOGÍA FASE 2 - Ejecución del Plan de Adecuación OBJETIVOS Definición e implantación del Marco Organizativo: Definición de la Política de Seguridad. Definición de un Cuerpo Normativo de Seguridad. Definición de los procedimientos operativos. Definición del Proceso de Autorización. Definición, implantación y puesta en marcha de una Oficina de Control de Proyectos: Análisis de la situación actual. Definición de la situación deseada: objetivos, alcance y funciones. Análisis y definición de requisitos de la oficina. Diseño piloto: procesos, procedimientos y organización. Ejecución y devolución del servicio: gobierno, control, reporting, soporte, mejora continua, traspaso de conocimientos, transición y devolución del servicio. Pág. 16

17 ENFOQUE Y METODOLOGÍA FASE 2 - Ejecución del Plan de Adecuación ENTREGABLES CUERPO NORMATIVO DE SEGURIDAD: Operativos Responsables Áreas Tácticos Comité de Seguridad Estratégicos Política de Seguridad Normativa de Seguridad de la Información Procedimientos Operativos de Seguridad Dirección General Estratégia Objetivos Compromiso Reglas Generales de Obligado Cumplimiento Descripción detallada de actividades y tareas específicas Política de Seguridad Normativas de Seguridad MODELO DE RELACIÓN DE LA OFICINA: Procedimiento TI Pág. 17

18 ENFOQUE Y METODOLOGÍA FASE 3 - Auditoría de cumplimiento OBJETIVOS Identificar el nivel de cumplimiento de los sistemas de información, en relación al cumplimiento de los requisitos de seguridad establecidos por la normativa vigente. Emitir un informe de auditoría de opinión independiente y objetiva sobre el nivel de cumplimiento de los requerimientos de seguridad que permita: Tomar las medidas oportunas para subsanar las deficiencias identificadas. Informar sobre el nivel de seguridad implantado. Para alcanzar el objetivo fijado, BDO propone las siguientes actividades: Evaluación inicial y planificación. Ejecución de la auditoría. Presentación de resultados. Pág. 18

19 ENFOQUE Y METODOLOGÍA FASE 3 - Auditoría de cumplimiento ENTREGABLES PLAN DE ACCIÓN: INFORME DE AUDITORÍA: Pág. 19

20 ENFOQUE Y METODOLOGÍA FASE 4 - Mantenimiento OBJETIVOS Asistencia y asesoramiento global acerca de la adecuación y cumplimiento de los principios básicos, requisitos mínimos y medidas de seguridad: Asesoramiento continuado en relación al cumplimiento. Actualización de Política, Normativa y Procedimientos de Seguridad. Actualización del Análisis de Riesgos y su correspondiente Plan de Tratamiento de Riesgos de Seguridad de la Información. Sesiones de formación e-learning / presencial. Elaboración de un informe de seguimiento. Pág. 20

21 ENFOQUE Y METODOLOGÍA FASE 4 - Mantenimiento ENTREGABLES Pág. 21

22 HERRAMIENTAS DE GESTIÓN INTEGRAL DE CUMPLIMIENTO Creación y mantenimiento de ficheros, de políticas y documentos de seguridad. Monitorización del nivel de cumplimiento: Esquema Nacional de Seguridad e Interoperabilidad (RD 3/2010 y RD 4/2010). Ley Orgánica de Protección de Datos (LOPD y RD 1720/2007). Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno (Ley 19/2013). Sistema Gestor de la Seguridad de la Información (SGSI bajo ISO 27001). Sistema de Gestión de Servicios de Tecnologías de la Información (SGSTI bajo ISO 20000). Otras Creación y soporte a las auditorias. Gestión de incidencias. Análisis y gestión de riesgos. Plataforma de formación. Pág. 22

23 HERRAMIENTAS DE GESTIÓN INTEGRAL DE CUMPLIMIENTO Herramienta de gestión integral de cumplimiento normativo Gestión Integral LOPD Gestión integral ENS/ENI Registro de ficheros Documento de Seguridad Cumplimiento del ENS/ENI Documentación del ENS/ENI Seguimiento cumplimento Alta/modificación requerimientos de ficheros Documento Plan de de Seguridad Acción Alta/modificació dels fitxers registrats Pág. 23

24 HERRAMIENTAS DE GESTIÓN INTEGRAL DE CUMPLIMIENTO Monitorización del nivel de cumplimiento Creación y soporte de la auditoría Nivel de cumplimiento general Registro de auditorias Monitorización del estado de cada control Seguimiento del cumplimiento Pág. 24

25 HERRAMIENTAS DE GESTIÓN INTEGRAL DE CUMPLIMIENTO ANÁLISIS Y GESTIÓN DE RIESGOS Pág. 25

26 GRACIAS Valentín Faura Poy

27 CASO PRÁCTICO: AYUNTAMIENTO DE LLEIDA Antoni Saldaña Lapeña Responsable Coordinador de Informática y Tecnologías del Ayuntamiento de Lleida Pág. 27

28 Objetivo implantación ENS Cumplir la normativa y los plazos pero, sobre todo Somatizar, incorporar en la genética de la Corporación los conceptos : Gestión de riesgos Gestión de la seguridad Gestión Integral de Seguridad Pág. 28

29 Objetivo implantación ENS Una OPORTUNIDAD... que la Gestión Integral de Seguridad forme parte de los protocolos diarios y sea parte integral del trabajo del día a día. se contemple en los planes de formación de toda la Corporación... de mejorar el servicio a los ciudadanos Pág. 29

30 Puntos Clave Buen acompañamiento Implicar a toda la Corporación Reorganización interna Comisión de Seguridad de Datos de Carácter personal, Gestión de la Información y Sistemas TIC al Ayuntamiento de Lleida ( política ) Comisión Técnica de Seguridad de Datos de Carácter personal, Gestión de la Información y Sistemas TIC al Ayuntamiento de Lleida ( técnica ) Responsable de Seguridad de Datos de Carácter Personal, Información y Sistemas TIC, (con el skill adecuado) Pág. 30

31 Podemos ser autosuficientes??? Sí,. pero mejor no intentarlo Qué nos puede dar una aportación externa..??? Aportación de Know-How externo Visión estratégica Ver más allá, seeing beyond the horizon Rigor Metodología Cumplimiento de plazos Pág. 31

32 Gracias por su atención AYUNTAMIENTO DE LLEIDA Pág. 32

33 CASO PRÁCTICO: AYUNTAMIENTO DE MOLLET DEL VALLÉS Celestino Martín Alonso Jefe del Servicio de Tecnología y Comunicaciones del Ayuntamiento de Mollet del Vallés Pág. 33

34 Mollet del Vallès Provincia de Barcelona Ciudad Milenaria, A 20 km de Barcelona Capital del Baix Vallès habitantes En 10,834 km 2 Centro neurológico de comunicaciones Conjuga espacios naturales con desarrollo urbano e industrial Pág. 34

35 Punto de partida Ejes claves Punto de partida Datos globales Ámbitos de influencia Pág. 35

36 Ejes claves Fuerte liderazgo político desde el Alcalde a favor de la Administración Electrónica Equipos técnicos comprometidos con la aportación de valor Organización con una arquitectura integrada de servicios y orientación a la eliminación del papel Visión del ciudadano como coautor en la Administración y dinamizador de la economía local Pág. 36

37 Ejes claves Ejes claves 21 Sistemas Dedicación a la Seguridad: 10% de las hores invertidas en TIC Categoría Alta de los Sistemas de Información Dedicación a la Seguridad: 22% del presupuesto TIC Datos globales 300 usuarios de los Sistemas de Información 2 Administradores de Seguridad 2 Administradores de Sistemas Pág. 37

38 Ámbitos de Influencia Servicios Electrónicos Comunes Legislación Agenda Digital Ayuntamiento Mollet del Vallès Pág. 38

39 Legislación Legislación Ley 11/2007 Acceso Electrónico Ciudadanos Datos abiertos 37/2007 Ley General de Telecomunicaciones Ley de Transparencia Ley de Transparencia Catalunya Pág. 39

40 Servicios Electrónicos Comunes Servicios Electrónicos Comunes Pág. 40

41 Agenda Digital Agenda Digital Pág. 41

42 Objetivos Generales Objetivos Generales Objetivos Generales Creación de las condiciones necesarias de confianza en el uso de los medios electrónicos Garantizar seguridad de: Sistemas Datos Comunicaciones Custodia adecuada de la información Acceso a la información sólo a personas autorizadas Resistencia a accidentes o acciones malintencionadas Trazabilidad y evidencias Pág. 42

43 Análisis Análisis Realización estudio interno del alcance práctico y de adecuación al ENS/ENI Identificación de alternativas posibles: Con recursos internos Trabajar con otros Ayuntamientos Apoyo de empresa externa que aporte experiencia con otros Ayuntamientos Elección de la alternativa Pág. 43

44 Factores Claves en la elección Factores Claves en la elección Criterios considerados Aportación de valor para: Confianza y credibilidad por experiencias aportadas Conocimiento previo de la organización en el ámbito del cumplimiento de la LOPD Interpretar adecuadamente los términos legales (ej: activos inventariables). Determinar correctamente el alcance/profundidad. Aportación de metodología basada en Cobit y soportada con herramienta Costes Pág. 44

45 Acciones Acciones BDO empresa elegida como compañera de viaje Etapas Cumplimiento de la normativa vigente Adecuación de todo lo existente En las nuevas implantaciones, considerar de forma integral y como ejes transversales: Mejora continua Seguridad física y lógica Interoperabilidad interna y externa Pág. 45

46 Cumplimiento normativa vigente Cumplimiento normativa vigente Con la empresa BDO se realizó: Definición de: 16 normativas y procedimientos Políticas de seguridad Identificación de los sistemas con sus riesgos asociados Categorización de los sistemas afectados Aplicación de controles Organizativos, Operativos y Activos Pág. 46

47 Adecuación a lo existente Adecuación a lo existente Con la colaboración de la empresa BDO, por cada uno de los sistemas: Revisión y adecuación al cumplimiento de Normativas y Procedimientos definidos por BDO y aprobados por el Ayuntamiento Generación de registros internos Guardar evidencias Gestión de riesgos asociados Pág. 47

48 Nuevas Implantaciones Nuevas Implantaciones Con el soporte de la empresa BDO: Validación de forma integral y con visión transversal del cumplimiento de normas y procedimientos La seguridad física y lógica Interoperabilidad interna y externa Obtención de propuestas de mejora por su experiencia en el propio Ayuntamiento, así como en otras entidades Planificación y ejecución de revisiones periódicas Pág. 48

49 Mejora continua Mejora continua Con las aportaciones de la empresa BDO: Mejora ratios de la encuesta de Seguridad del 2014 Realización de la Auditoría del 2015 Contestar antes del a la encuesta de Seguridad Conocer las mejores prácticas que se están utilizando en el sector Revisión del grado de cumplimiento de Normas y procedimient os Adecuacione s necesarias (hardware, software, formes de hacer,...) Pág. 49

50 Balance Balance Tres visiones La experiencia con la empresa BDO Los obstáculos salvados A nivel del propio Ayuntamiento Pág. 50

51 La experiencia con la empresa BDO La experiencia con la empresa BDO Positiva por su proactividad y nivel de compromiso Cumplimiento de plazos y compromisos Aportación de valor con RRHH adecuados y preparados Calidad del servicio Disponibilidad y capacidad de adaptación Pág. 51

52 Los obstáculos salvados Los obstáculos salvados La propia peculiaridad del Ayuntamient o Alto nivel de exigència por parte de la empresa BDO Discrepanci a en alguna valoración, por visiones distintas Algunos aspectos técnicos a muy bajo nivel Traslado de algun concepto teórico a la práctica Pág. 52

53 A nivel del propio Ayuntamiento A nivel del propio Ayuntamiento Satisfacción por el cumplimiento de la Normativa Legal Mayor tranquilidad a nivel interno y externo Funcionarios más motivados y comprometidos Frente amenazas y riesgos, mejor preparación Tener claro el camino pendiente que recórrer año a año, tanto a nivel de presupuestos como de recursos Pág. 53

54 Realidad Actual Realidad Actual Con la colaboración de BDO, el Ayuntamiento de Mollet del Vallès està trabajando en los ámbitos de Seguridad de la Información y de sus activos, dentro del marco de la Ley de Protección de Datos y de los Esquemas Nacionales de Seguridad y de Interoperabilidad, a plena satisfacción. Pág. 54

55 Muchas gracias por su atención Celestino Martin Alonso Jefe de Servicio de Tecnologías y Comunicaciones cmartin@molletvalles.cat Pág. 55

56 PREGUNTAS?

57 Valentín Faura Poy Antoni Saldaña Lapeña Celestino Martin Alonso