Administración Electrónica Entidades Locales de la

Transcripción

1 Administración Electrónica en Entidades Locales de la Comunidad Valenciana La Gestión de Riesgos Tecnológicos y el Esquema Nacional de Segur ridad Valencia, 26 Mayo 2010

2 Agenda Deloitte y la Gestión de Riesgos s Tecnológicos La problemática: Riesgos en la e-administración La solución: El Esquema Nacional de Seguridad Hoja de ruta

3 Auditoría Gobierno Corporativo Fraude Consultoría TAS Enterprise Risk Management Fiscal Cumplimiento Normativo Control Assurance Risk Services Legal Control Interno Technology Security & Assurance Security & Privacy Services IT-ERS Deloitte Deloitte ofrece la garantía de ser líder como proveedor de auditoría de calidad de los sistemas de información y de consultoría técnica relacionada con la gestión, control, seguridad e integridad de los Sistemas de Información. La confianza sobre la información son conceptos reconocidos cuando se habla de pérdidas económicas, daños en la imagen o impacto operativo provocados por incidentes o fallos en los sistemas de información. Los ciudadanos y reguladores espe ran que se demuestre la confiabilidad de los sistemas de información, el cumplimiento normativo y el buen gobierno de los sistemas de información. La seguridad y el control sobre lo os sistemas de información tienen que estar integrados en los procesos de negocio, las aplicaciones y la infraestructura tecnológica, para proteger los activos de la organización (person nas, la propiedad p intelectual, los datos de los clientes, ). Deloitte es la firma mejor posicionada en el mercado para ofrecer servicios de seguridad y gestión del riesgo, apoyándose en una red internacional volcada en la investigación, el desarrollo de metodologías y la innovación de las soluciones. Auditoría Interna IT Revenue Assurance ControlAssurance Gobierno IT Control Assurance Revisión de Licencias Integridad y Calidad de Datos Informes de Auditoría de Terceras Partes 3

4 Deloitte en España Deloitte cuenta con un equipo de unas personas especialistas en riesgos de IT, altamente formadas y certificadas en las principales ce ertificaciones reconocidas. Deloitte cuenta con 28 centros de investigación especializados en seguridad tecnológica, repartidos por todo el mundo. Forrester Wave : IT Risk Consulting, Q Region Americas EMEA APAC/Japón Total Especialistas de otras líneas de servicio relacionadas Total Core Security & Privacy IT Risk Management Risk Consulting World-wide: Consulting & Advisory 1,000 4, , , , ,200 1,150 4,990 1,800 6,700 10,000 42, ,000 4,000 12,300 2,100 7, ,000 55,000 El equipo de España cuenta con 200 profesionales dedicados a la seguridad y riesgos tecnológicos. Forrester Wave : Information Security Consulting, Q

5 Enterprise Risk Services, dispone de dos laboratorios de Seguridad de la Información ubicados en Madrid y Barcelona Deloitte en España Enterprise Risk Services, es el grupo formado por más de 200 especialistas en Deloitte España, focalizados en la Seguridad y Privacidad de la Info formación. El propósito principal de los equipos de investigación de Deloitte es estudiar la arquitectura a de las tecnologías og desde una perspectiva de seguridad a fin de incrementar la conciencia de seguridad de los diseñadores de productos, administradores de red, responsables de seguridad, auditores de sistemas y responsables de IT en general. Participación en grupos de investigación y sponsorización de iniciativas Microsoft Security Responce Center HERT Hacker Emergency Response Team SANS Institute ISO and Open Web Application Security Project (OWASP). International Information Systems Security Certification Consortium (ISC)2 Information Secuirty Forum Congress CBI Interactive conference Jericho forum Information Systems Audit & Controls Association (ISACA) El equipo de Deloitte cuenta con más de 300 certificaciones, entre las que destacan: 29 CISSP, Certified Information Systems Security Professionals. 99 CISAs, Certified Information Systems Auditor. 36 CISM, Certified Information Security Manager. 72 BS7799 / 27001: 25 BS Certified Internal Auditor: CIA. 27 ITIL (IT Infrastructure Library). 10 CEH (Certified Ethical Hacker). 6 CGEIT (Certified in the Governance of Enterprise IT). 4 CSSLP (Certified Secure Software Lifecycle Professional). 5

6 Deloitte en España La apuesta de Deloitte por las Administraciones Públicas. Deloitte led the pack with established methodologies, thought leadership, and exceptional talent. Forrester Wave : Information Security and IT Risk Consulting, Q1 2009, Khalid Kark Deloitte, en su último plan estratégico, identificó como una de las líneas de desarrollo estratégicas, la colaboración con el Sector Público. Entre las decisiones que se tomaron, se decidió crear un equipo especialista en Sector Público, que coordina al resto de líneas de servicio de la Firma en el desarrollo de esta línea estratégica. Desde su creación, la colaboración de Deloitte con las administraciones públicas, a todos los niveles, se ha incrementado de manera signific cativa y constante. Entre las iniciativas desarrolladas dentro de esa directriz estratégica, cabe destacar el éxito conseguido en el proceso de homologación de proveedores de servicios TIC de la Generalitat de Catalunya, en el que Deloitte ha sido la empresa mejor puntuada en el lote relativo a la prestación de servicios i de implantación ió de Planes Directores de Seguridad y Continuidad en el Negocio, por delante de un total de 31 empresas licitadoras (Referencia: Acuerdo Marco de servicios TIC, lote B-2 Adjudicación provisional, resolución del 12/12/2008). Entre los criterios de valoración empleados por la Generalitat en este concurso, se encontraban: La cualificación del personal de la empresa licitadora, medida a través del número de profesionales en posesión de certificaciones reconocidas en este ámbito. La calidadd del enfoque metodológico a aplicar en la prestación del servicio. Las referencias de trabajos similares tanto en entidades de sector público como privado a nivel nacional. 6

7 Agenda Deloitte y la Gestión de Riesgos Tecnológicos La problemática: Riesgos en la e-administración La solución: El Esquema Nacional de Seguridad Hoja de ruta

8 Administración Electrónica Estamos asumiendo nuevos riesgos? Drivers normativos para la e-administración Ley 11/2007 Directiva 2006/123/CE Mayor dependend ncia respecto a los SSII Nuevos Riesgos? Cambios en la forma de trabajar de las AAPP Plan Nacional de Reducción de Cargas Cambios en los SSII de las AAPP 8

9 Administración Electrónica Nuevos elementos de Riesgo Cada uno de los elementos que componen una solución de administración electrónica se encuentra sometido a una serie de riesgos propios y, a su vez, induce riesgos sobre el resto de elementos de la plataforma. Certificados Digitales Registro Electrónico Documento Electrónico Canales Virtuales Pasarelas de Pago Datos de los Ciudadanos Continuidad de negocio Firma Electrónica Gestión documental Sede Electrónica Interoperabilidad 9

10 Administración Electrónica Riesgo Inherentes y Riesgos Inducidos Riesgos Inherentes Gestión del Cambio Mayor dependencia respecto a los sistemas de información Mayor requisitos de continuidad de los sistemas de información Mayor exposición de los sistemas de información frente a terceros Riesgos Inducidos Presión plazos Presión presupuestaria Ausencia de perfiles especialistas gestión de riesgos Visión del proyecto orientada principalmente i a la funcionalidad Cumplimiento normativo 10

11 Administración Electrónica Se están gestionadoo adecuadamente los riesgos? TOTAL PROYECTOS TOTAL PROYECTOS TI TOTAL INVERSIÓN TOTAL INVERSIÓN TI Alicante Alicante Alicante Alicante Castellón 50% 36% Castellón Valencia 50% 43% Castellón Valencia 51% 37% Castellón Valencia 47% 46% Valencia 14% 7% 12% 7% PROYECTOS TI RESPECTO AL TOTAL 6% Alicante TI Alicante Resto 42% Castellón TI 30% Castellón Resto Valencia TI Valencia Resto 48% PROYECTOS SEGURIDAD TI RESPECTO A PROYECTOS TI 1% 42% Alicante Seg TI Alicante Resto TI Castellón Seg TI Castellón Resto TI Valencia Seg TI Valencia Resto TI INVERSIÓN TI RESPECTO AL TOTAL 3% Alicante TI Alicante Resto 34% 48% Castellón TI Castellón Resto Valencia TI Valencia Resto 46% INVERSIÓN SEGURIDAD TI RESPECTO A INVERSIÓNTI 1% 46% Alicante Seg TI Alicante Resto TI Castellón Seg TI Castellón Resto TI Valencia Seg TI Valencia Resto TI 8% 13% 1% 2% 7% 0% 12% 0% 3% 1% 0% 6% En una primera fase, desde una perspectiva de la gestión de los riesgos tecnológicos, los esfuerzos se han centrado principalmente en asegurar un nivel de soporte funcional razonable a los nuevos procesos de gestión dentro de los límites temporales y presupuestarios disponibles. Si bien, de manera general, se puede afirmar que sí se han tenido en cuenta los principales riesgos asociados a estos cambios, el análisis i detallado d de los riesgos que pueden introducir i los mismos en los sistemas de información de las administraciones públicas, ha quedado relegado a un segundo nivel. 11

12 Agenda Deloitte y la Gestión de Riesgos Tecnológicos La problemática: Riesgos en la e-administración La solución: El Esquema Nacional de Seguridad Hoja de ruta

13 Esquema Nacional de Seguridad El ENS persigue proteger los servicios electrónicos de la Administración Introducción En enero de 2010 se publica el Esquema Nacional de Seguridad (ENS), uno de los reglamentos referenciados en la Ley 11/2007 que presenta las siguientes finalidades: Implantar medidas para garantizar la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos de la Administración. Garantizar una resistenc ia razonable a los accidentes o acciones malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de la información. Administraciones Públicas Administración General del Estado Ley 11/2007 Entrada en vigor Ley 11/2007 ENS El reglamento es de aplica ción inmediata para nuevos sistemas, y para el resto se debe elaborar un plan de acción antes de 12 meses que permita su adecuación antes de 48 meses Plan de acción requerido Ciudadanos Servicios Cumplimiento ENS Administraciones de las Comunidades Autónomas Administración local Entidades de derecho público vinculadas a la Administración local Int teroperabilidad d Junio 2007 Diciembre 2009 Enero 2010 Diciembre 2010 Enero

14 Considerar la seguridad como un proceso y el principio de proporcionalidad: ideas clave del ENS Esquema Nacional de Seguridad Estructura del reglamento Organización Gestión de riesgos Requisitos mínimos Política de Seguridad Protección información Seguridad integral Gestión de riesgos Prevención, reacción y recuperación Principios Básicos Líneas de defensa Reevaluación periódica Función diferenciada Gestión de personal Profesionalidad Control de acceso Protección física Adquisición Seguridad Interconexión Actualización sistemas Registros de actividad Incidentes de seguridad Continuidad Seguridad por defecto Mejora continua ISO ISO

15 Los sistemas y las medidas seleccionadas en función de la categoría deben ser formalizados en el documento de Declaración de Aplicabilidad. Esquema Nacional de Seguridad Aplicación de Medidas de Seguridad Ejemplo II. Selección de medidas Ejemplo I. Valoración de sistemas Medida dependiente de las dimensiones I C A T Medida dependiente de la categoría Dimensión: Activo A Activo B Activo C Disponibilidad (D) Autenticidad (A) Integridad (I) Confidencialidad (C) Trazabilidad (T) Categoría: Alta Bajo Medio Bajo N/A Alta Bajo Medio Bajo Medio Bajo Media N/A N/A Bajo Bajo N/A Básica * La categoría corresponde a la valoración más restrictiva de las diferentes dimensiones Cat tegorías / Valo oración de la as dimension nes XYZ Medidas: Básica Media Alta Política de Seguridad Aplica por igual a todos los niveles Mecanismo de autenticación Contraseñas con reglas básicas de calidad Políticas rigurosas de calidad de las contraseñas Se requiere autenticación biométrica o mediante tokens Aceptación y puesta en servicio Se validará criterios de aceptación en materia de seguridad Análisis de vulnerabilidades y test de intrusión Se considerará auditoría del código fuente 15

16 Agenda Deloitte y la Gestión de Riesgos Tecnológicos La problemática: Riesgos en la e-administración La solución: El Esquema Nacional de Seguridad Hoja de ruta 16z

17 Esquema Nacional de Seguridad Hoja de Ruta Auditorías bienales Gra do de Adopció ón del ENS Estrategia de adecuación Inventario y clasificación Análisis de riesgos Despliegue de la Estrategia de Adecuación Oficina Técnica de Seguridad Mejora continua Planificación Implantación y operación 2014 Monitorización Tiempo 17

18 Contacto t en el departamento t ERS: Oficinas de Deloitte: Alfonso Mur Socio amur@deloitte.es Teléfono: Javier Urtiaga Socio jurtiaga@deloitte.es Teléfono: Fernando Pons Socio fepons@deloitte.es Teléfono: Daniel Madrid Manager dmadrid@deloitte.es Teléfono: Madrid Plaza de Pablo Ruiz Picasso,1 Torre Picas sso Teléfono: Fax: Barcelona Av. Diagonal Teléfono: Fax: Valencia Av. de Aragon 30, Ed.Europa Teléfono: Fax: Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de aproximadamente personas en todo el mundo, Deloitte presta servicios i en cuatro áreas profesionales (auditoría, asesoramiento tributa tario, consultoría y asesoramiento financiero) i a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios. Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de Deloitte, Deloitte & Touche, Deloi itte Touche Tohmatsu, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu ( Swiss Verein). Copyright 2010 Deloitte S.L. Todos los derechos reservados. Member of Deloitte Touche Tohmatsu 1