Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización Febrero 2014
Analizar cómo afecta a nuestra Administración la entrada en vigor del Real Decreto 3/2010 de 8 de enero, que regula el esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Conocer el estado del cumplimiento del Esquema Nacional de Seguridad en la Junta de Castilla y León para garantizar la seguridad de nuestros sistemas de información Describir la hoja de ruta que se estableció para poder cumplir con los hitos más importantes que establece el Esquema Nacional de Seguridad. Describir los proyectos que se han llevado a cabo y los que se deben elaborar para el cumplimiento del Esquema Nacional de Seguridad. 1
Marco temporal en el RD 3/2010 RD 3/2010 8 de Enero Plan de adecuación Enero 2011 Declaración de Conformidad Fin de la adecuación 29 Enero de 2014 2
Calendario de la JCyL 2010 2011 2012 2013 2014 Creación de grupos de trabajos por áreas Análisis de las características particulares. 8/01/2010 Evaluación de conformidad 17/02/2011 17/02/2011 Adecuación Aprobación por la Comisión de Secretarios del Plan de Adecuación al ENS de la Junta de Castilla y León 29/01/2014 Fin 3
Desde la DG ACCyM Áreas de trabajo Sinergias Nombramiento delegados de seguridad Auto evaluación Plan de adecuación Formación Estudio de requisitos Apoyo a las Consejerías Inicio del proyecto 4
Trabajos de Evaluación de Conformidad Creación de grupos de trabajo: Grupos de Delegados de Seguridad Grupos de Desarrollo Tanto de la Dirección General como de las distintas Consejerías Grupos de Explotación/Comunicaciones Responsables de las BBDD, sistemas Operativos, correo electrónico,.. 5
Trabajos de Evaluación de Conformidad Creación de una aplicación para la Gestión de la Documentación de la Seguridad de la Información de la ACCyL Aplicación que gestiona toda la documentación asociada a la Seguridad de los Sistemas de Información de los distintos Centros Directivos de la Administración de la Comunidad de Castilla y León: las distintas Consejerías, la Gerencia de Servicios Sociales y el Organismo Pagador de la Comunidad Autónoma de Castilla y León. 6
Proceso de Adecuación al RD 3/2010 133 Sistemas Valoración de Información Definición del Alcance Valoración servicios Categorización sistemas Desde la Oficina Técnica de Seguridad se establecieron los procesos ENS-ACCYL que se iba a seguir para llevar a cabo el cumplimiento del ENS de una forma homogénea en todas las Consejerías Declaración de Conformidad Autoevaluación Análisis y Gestión de Riesgos Declaración de Aplicabilidad Planes de Acción Ejecución Proyectos y Acciones 7
Trabajos de Evaluación de Conformidad Estudio de medidas de seguridad que establece el ENS. Organizativas Operacionales de Protección Adaptación de las normas, instrucciones, guías y recomendaciones del Centro Criptológico Nacional a nuestra Organización. 8
Seguimiento de SI Entrevistas Reevaluación de las actuaciones según guías, actuaciones complementarias y compensatorias Mantenimiento de análisis de riesgos y reevaluación de los planes de acción por áreas Asentamiento en el Plan de adecuación global de la JCYL 9
Declaración de SI Nuevos Cambio en el procedimiento de solicitudes Formularios automatizados Revisión del Plan de Adecuación y Verificación de la implantación de las medidas 10
Proyectos seleccionados ACCyL 11
Proyectos por áreas Áreas de mejora generales Áreas de mejora específicas Sistema de respaldo Registro y Auditoría Gestión del cambio Bastionado Gestión de Dispositivos Físicos Autenticación Administradores Seguridad en dispositivos móviles Desarrollo Seguro Registro y Auditoría Control de versiones Control del cambio Procesos de Autorización Cifrado de las comunicaciones Adaptación y mejora de mecanismos de autenticación Documentación de los sistemas 13
PROYECTOS A DESTACAR
Proceso de Adecuación al ENS Planes de Acción Establecimiento de metodología de gestión de los planes de acción Gestión de los proyectos de seguridad establecidos en los planes de acción 15
Entregables y resultados Resumen Cuadro de Tareas Desarrolladas Proyecto Línea de Tarea Acción Inventario y Valoración de Activos Esenciales Plazo estimado Desarrollo Seguro Seguridad en ciclo de vida Registro y auditoría Incluir en la metodología de desarrollo implantada Inventario la definición de Sistemas de los requisitos de Información seguridad necesarios (incluyendo los requisitos legales), así como los mecanismos de validación y sus pruebas Adecuar los sistemas de información a la Medidas normativa de Seguridad sobre registro y y auditoría Declaración que sea de establecida por parte de JCYL Aplicabilidad Aplicación en los nuevos desarrollos y funcionalidades Las actividades de apoyo para la formación se irán acometiendo a lo largo del año En fase de desarrollo Control del cambio Implantar una herramienta de gestión del cambio 31/12/2012 Gestión de identidades Autenticación Forzar a que se autentique contra el directorio activo para Plan aquellas de aplicaciones Acción que utilizan SEGU o exigir políticas similares para las contraseñas. 30/09/2012 Autorización Formalizar los mecanismos de revisión de autorizaciones de usuarios. Gestión de los proyectos 31/12/2012 Documentación Documentación de los sistemas Establecer la declaración de conformidad y aplicabilidad de los sistemas de información Ciclo PDCA Comunicaciones Cifrado de las comunicaciones Solicitar el cifrado de las comunicaciones en los sistemas de información existentes 31/12/2012 16
Política de seguridad: nueva estructura La Consejería de Hacienda, a través de la Viceconsejería de Funcion Publica y Modernización Comité de Seguridad de la Información. Por cada Consejería*: Uno o varios responsables de la información o del fichero. Uno o varios responsables del servicio o tratamiento. Un responsable de seguridad. Un responsable de los sistemas. Los responsables de servicios comunes de las Tecnologías de la Información y de las Comunicaciones. 17
Formación y concienciación Acciones formativas: General y Especializada LOPD: Adecuación y Cumplimiento Principio de seguridad Nociones del ENS Análisis de Malware Desarrollo seguro Limpieza de Metadatos Pen Testing Tecnologías emergentes Campañas de sensibilización: Envío de mensajes tras la ocurrencia de un incidente Creación de Pastillas de concienciación en Seguridad de la Información Manual de Buenas Prácticas Seminarios, Píldoras, Portal de seguridad, Boletín 18
Boletín de seguridad 19
Cuadro de mando ENS de la ACCYL Visualizar de forma gráfica el estado actual de adecuación de los sistemas de información en relación a las normativas LOPD y ENS, así como resultados específicos de riesgo y continuidad de negocio. Servir como herramienta de análisis para medir y cuantificar la evolución en el grado de adecuación de dichos sistemas Identificar una base inicial con la cual se puedan establecer los niveles de riesgos adecuados y coherentes con la situación actual de la Junta de Castilla y León Alcanzar los niveles de riesgo aceptables en materia de Seguridad de la Información
ACTUACIONES FUTURAS
Líneas de Trabajo Informes y auditorias de seguridad Actuaciones coordinadas AE REDES EXP Reevaluación de las Herramientas de seguridad Gestión de incidentes de seguridad Sistemas de movilidad Acciones de comunicación Desarrollo seguro 23
Retos y logros Cooperación entre las distintas área Gestión de proyectos con múltiples intervinientes Participación efectiva Necesidades cambiantes Información Formación Constante mejora Apoyo de la dirección 25
Muchas gracias Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización M. Luisa Sánchez Peñalba sanpenma@jcyl.es