Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización Febrero 2014

Documentos relacionados
Hacia el Esquema Nacional de Seguridad

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Subdirección General de Tecnologías de la Información y las Comunicaciones. Pedro Ángel Merino Calvo Jefe del Servicio de Auditoría y Seguridad


Tenemos que tener en cuenta que los principales objetivos del ENS son:

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Una Inversión en Protección de Activos

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Estándares y Normas de Seguridad

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

Metodología básica de gestión de proyectos. Octubre de 2003

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

ANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Seguridad y Protección de Datos en la Administración de la Comunidad Foral de Navarra

IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN Y MEJORA DE LA EFICIENCIA ENERGÉTICA SEGÚN LA NORMA UNE-EN 16001

BOLETÍN OFICIAL DEL ESTADO

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

ESTRATEGIA DE SEGURIDAD Y SALUD LABORAL POLONIA. ESTRATEGIA DE SEGURIDAD Y SALUD LABORAL Página 1

ORGAN/ BOCCYL, n.º 502, de 30 de enero de 2015

2.- DESCRIPCIÓN DE LOS TRABAJOS A REALIZAR

TÍTULO: PROCEDIMIENTO DE COORDINACIÓN DE ACTIVIDADES EMPRESARIALES PARA LA CONTRATAS

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

GUÍA METODOLÓGICA DE IMPLANTACIÓN DE PROCEDIMIENTOS Y SERVICIOS TELEMÁTICOS DE LA JUNTA DE ANDALUCÍA

Lineamientos Operativos

Facilitar el cumplimiento de la LOPD

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

tu socio tecnológico PLAN MODERNIZACIÓN DE LA ADMINISTRACIÓN PÚBLICA

Gestión de Seguridad Informática

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

BIBLIOTECA VIRTUAL EN SALUD BVS-RD PLAN DE ACCION

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

Índice. 1. Seguridad de los sistemas TIC. 2. Problemas en la seguridad perimetral: Administración de cortafuegos

(BOR, Nº128, de 25 de octubre) EXPOSICIÓN DE MOTIVOS

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

LA AUDITORÍA DE SEGURIDAD DEL ENS

Anexo III: Inventario de iniciativas horizontales incluidas en el Eje e-gestión.

1. Seguridad de la Información Servicios... 4

Curso. Introducción a la Administracion de Proyectos

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE

MANUAL DEL SIGa AMS Group

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL


PROCEDIMIENTO GESTIÓN DE CAMBIO

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

Ley Orgánica de Protección de Datos

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

PROGRAMA DE GESTIÓN DOCUMENTAL

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

Mejora de la Seguridad de la Información para las Pymes Españolas

PROCEDIMIENTO PARA AUDITORÍAS INTERNAS PC-TESI-10

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Esquema Nacional de Seguridad

PUNTO NORMA: ASPECTOS AMBIENTALES

[Guía de auditoría AudiLacteos]

Anexo VI: Inventario de iniciativas horizontales incluidas en el Eje e-gobernanza.

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

invgate Service Desk

Ejemplo Manual de la Calidad

ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN

Principales Cambios de la ISO 9001:2015

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Resumen General del Manual de Organización y Funciones


INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

ISO/IEC Sistema de Gestión de Seguridad de la Información

ANADE LOPD.

EVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013

1. Introducción a la Gestión de Redes

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Boletín de Asesoría Gerencial* Implementación de la Norma Técnica para la Elaboración del Programa de Seguridad y Salud en el Trabajo

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

Aspectos Básicos en Gestión Documental,

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Transcripción:

Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización Febrero 2014

Analizar cómo afecta a nuestra Administración la entrada en vigor del Real Decreto 3/2010 de 8 de enero, que regula el esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Conocer el estado del cumplimiento del Esquema Nacional de Seguridad en la Junta de Castilla y León para garantizar la seguridad de nuestros sistemas de información Describir la hoja de ruta que se estableció para poder cumplir con los hitos más importantes que establece el Esquema Nacional de Seguridad. Describir los proyectos que se han llevado a cabo y los que se deben elaborar para el cumplimiento del Esquema Nacional de Seguridad. 1

Marco temporal en el RD 3/2010 RD 3/2010 8 de Enero Plan de adecuación Enero 2011 Declaración de Conformidad Fin de la adecuación 29 Enero de 2014 2

Calendario de la JCyL 2010 2011 2012 2013 2014 Creación de grupos de trabajos por áreas Análisis de las características particulares. 8/01/2010 Evaluación de conformidad 17/02/2011 17/02/2011 Adecuación Aprobación por la Comisión de Secretarios del Plan de Adecuación al ENS de la Junta de Castilla y León 29/01/2014 Fin 3

Desde la DG ACCyM Áreas de trabajo Sinergias Nombramiento delegados de seguridad Auto evaluación Plan de adecuación Formación Estudio de requisitos Apoyo a las Consejerías Inicio del proyecto 4

Trabajos de Evaluación de Conformidad Creación de grupos de trabajo: Grupos de Delegados de Seguridad Grupos de Desarrollo Tanto de la Dirección General como de las distintas Consejerías Grupos de Explotación/Comunicaciones Responsables de las BBDD, sistemas Operativos, correo electrónico,.. 5

Trabajos de Evaluación de Conformidad Creación de una aplicación para la Gestión de la Documentación de la Seguridad de la Información de la ACCyL Aplicación que gestiona toda la documentación asociada a la Seguridad de los Sistemas de Información de los distintos Centros Directivos de la Administración de la Comunidad de Castilla y León: las distintas Consejerías, la Gerencia de Servicios Sociales y el Organismo Pagador de la Comunidad Autónoma de Castilla y León. 6

Proceso de Adecuación al RD 3/2010 133 Sistemas Valoración de Información Definición del Alcance Valoración servicios Categorización sistemas Desde la Oficina Técnica de Seguridad se establecieron los procesos ENS-ACCYL que se iba a seguir para llevar a cabo el cumplimiento del ENS de una forma homogénea en todas las Consejerías Declaración de Conformidad Autoevaluación Análisis y Gestión de Riesgos Declaración de Aplicabilidad Planes de Acción Ejecución Proyectos y Acciones 7

Trabajos de Evaluación de Conformidad Estudio de medidas de seguridad que establece el ENS. Organizativas Operacionales de Protección Adaptación de las normas, instrucciones, guías y recomendaciones del Centro Criptológico Nacional a nuestra Organización. 8

Seguimiento de SI Entrevistas Reevaluación de las actuaciones según guías, actuaciones complementarias y compensatorias Mantenimiento de análisis de riesgos y reevaluación de los planes de acción por áreas Asentamiento en el Plan de adecuación global de la JCYL 9

Declaración de SI Nuevos Cambio en el procedimiento de solicitudes Formularios automatizados Revisión del Plan de Adecuación y Verificación de la implantación de las medidas 10

Proyectos seleccionados ACCyL 11

Proyectos por áreas Áreas de mejora generales Áreas de mejora específicas Sistema de respaldo Registro y Auditoría Gestión del cambio Bastionado Gestión de Dispositivos Físicos Autenticación Administradores Seguridad en dispositivos móviles Desarrollo Seguro Registro y Auditoría Control de versiones Control del cambio Procesos de Autorización Cifrado de las comunicaciones Adaptación y mejora de mecanismos de autenticación Documentación de los sistemas 13

PROYECTOS A DESTACAR

Proceso de Adecuación al ENS Planes de Acción Establecimiento de metodología de gestión de los planes de acción Gestión de los proyectos de seguridad establecidos en los planes de acción 15

Entregables y resultados Resumen Cuadro de Tareas Desarrolladas Proyecto Línea de Tarea Acción Inventario y Valoración de Activos Esenciales Plazo estimado Desarrollo Seguro Seguridad en ciclo de vida Registro y auditoría Incluir en la metodología de desarrollo implantada Inventario la definición de Sistemas de los requisitos de Información seguridad necesarios (incluyendo los requisitos legales), así como los mecanismos de validación y sus pruebas Adecuar los sistemas de información a la Medidas normativa de Seguridad sobre registro y y auditoría Declaración que sea de establecida por parte de JCYL Aplicabilidad Aplicación en los nuevos desarrollos y funcionalidades Las actividades de apoyo para la formación se irán acometiendo a lo largo del año En fase de desarrollo Control del cambio Implantar una herramienta de gestión del cambio 31/12/2012 Gestión de identidades Autenticación Forzar a que se autentique contra el directorio activo para Plan aquellas de aplicaciones Acción que utilizan SEGU o exigir políticas similares para las contraseñas. 30/09/2012 Autorización Formalizar los mecanismos de revisión de autorizaciones de usuarios. Gestión de los proyectos 31/12/2012 Documentación Documentación de los sistemas Establecer la declaración de conformidad y aplicabilidad de los sistemas de información Ciclo PDCA Comunicaciones Cifrado de las comunicaciones Solicitar el cifrado de las comunicaciones en los sistemas de información existentes 31/12/2012 16

Política de seguridad: nueva estructura La Consejería de Hacienda, a través de la Viceconsejería de Funcion Publica y Modernización Comité de Seguridad de la Información. Por cada Consejería*: Uno o varios responsables de la información o del fichero. Uno o varios responsables del servicio o tratamiento. Un responsable de seguridad. Un responsable de los sistemas. Los responsables de servicios comunes de las Tecnologías de la Información y de las Comunicaciones. 17

Formación y concienciación Acciones formativas: General y Especializada LOPD: Adecuación y Cumplimiento Principio de seguridad Nociones del ENS Análisis de Malware Desarrollo seguro Limpieza de Metadatos Pen Testing Tecnologías emergentes Campañas de sensibilización: Envío de mensajes tras la ocurrencia de un incidente Creación de Pastillas de concienciación en Seguridad de la Información Manual de Buenas Prácticas Seminarios, Píldoras, Portal de seguridad, Boletín 18

Boletín de seguridad 19

Cuadro de mando ENS de la ACCYL Visualizar de forma gráfica el estado actual de adecuación de los sistemas de información en relación a las normativas LOPD y ENS, así como resultados específicos de riesgo y continuidad de negocio. Servir como herramienta de análisis para medir y cuantificar la evolución en el grado de adecuación de dichos sistemas Identificar una base inicial con la cual se puedan establecer los niveles de riesgos adecuados y coherentes con la situación actual de la Junta de Castilla y León Alcanzar los niveles de riesgo aceptables en materia de Seguridad de la Información

ACTUACIONES FUTURAS

Líneas de Trabajo Informes y auditorias de seguridad Actuaciones coordinadas AE REDES EXP Reevaluación de las Herramientas de seguridad Gestión de incidentes de seguridad Sistemas de movilidad Acciones de comunicación Desarrollo seguro 23

Retos y logros Cooperación entre las distintas área Gestión de proyectos con múltiples intervinientes Participación efectiva Necesidades cambiantes Información Formación Constante mejora Apoyo de la dirección 25

Muchas gracias Consejería de Hacienda Vice cons. de Función Pública y Modernización D. G. de Atención al Ciudadano Calidad y Modernización M. Luisa Sánchez Peñalba sanpenma@jcyl.es

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback