TÍTULO DEL PROYECTO Implantado en Logo OrganismoLogos socios Generalitat Valenciana GESTIÓN INTEGRAL DE LA SEGURIDAD EN LA GENERALITAT VALENCIANA ANTECEDENTES/PROBLEMÁTICA CONTEXTO. CAMBIO DE MODELO TIC La incorporación de las Tecnologías de la Información y las Comunicaciones (TIC) en todos los ámbitos de la sociedad, la llamada sociedad digital, es considerada un elemento clave para conseguir un desarrollo sostenible basado en el conocimiento y la innovación. De hecho se estima que las inversiones en TIC contribuyen un 30% a la productividad de la economía, uno de los principales factores de desarrollo 1. Por otro lado las TIC son sin duda un elemento clave para ayudar a las administraciones a ofrecer servicios públicos de calidad, optimizando al mismo tiempo el uso de los recursos. Dado que además facilitan la reducción de las cargas administrativas para ciudadanos y empresas, constituyen una herramienta muy eficaz para aumentar la competitividad y por tanto favorecer la actividad económica. Ahora bien estos servicios deben prestarse por parte de la administración en un entorno seguro que genere confianza necesaria al ciudadano en sus relaciones electrónicas y le garantice sus derechos, entre ellos el derecho constitucional a la intimidad y la privacidad de sus datos. Por tanto en el contexto actual de economía y contención del gasto público, la innovación tecnológica de la administración pública a través del uso de las TIC es cada vez más importante. 1 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, Una Agenda Digital para Europa. Bruselas, 26.8.2010. COM(2010) 245 final/2..
Así ha sido entendido por el Gobierno Valenciano, que ha decidido dar un impulso a la incorporación de las TIC a la actividad administrativa y a la provisión de servicios a los ciudadanos y empresas de la Comunidad Valenciana. Para ello puso en marcha en 2011, un ambicioso proyecto para implantar un modelo centralizado de gestión de las TIC. Es importante destacar la relevancia de este proceso de reorganización, ya que cambia un modelo distribuido vigente más de 30 años en la Generalitat. El Gobierno Valenciano ha puesto en marcha en esta legislatura la implantación de un modelo centralizado de gestión de las TIC. Desde el punto de vista orgánico y funcional, este modelo se fundamenta en la creación de la Dirección General de Tecnologías de la Información (DGTI) que asume las competencias en planificación, coordinación, autorización y control de las tecnologías de la información y las comunicaciones de la Generalitat (Decreto 119/2011). Este proceso de reorganización ha supuesto también una oportunidad para el lanzamiento de nuevos proyectos integradores, entre ellos el de la Gestión Integral de la Seguridad en la Generalitat que define la gestión de la seguridad con una visión integral de toda la organización e integradora de todas las funciones de la seguridad en la administración.
Organigrama de la Dirección General de Tecnologías de la Información LA GENERALITAT VALENCIANA COMO ORGANIZACIÓN Implantar un modelo de gestión de la seguridad en toda una organización no es tarea fácil pero además que esta organización sea una administración pública, en proceso de cambio y reestructuración y de la envergadura de toda una administración autonómica tiene unas características especiales que hay que tener en cuenta. El siguiente cuadro define estas características. OBJETIVOS PERSEGUIDOS La estrategia de seguridad debe ir alineada con los objetivos fundamentales de la organización. En el ámbito de la Administración Pública sus objetivos son las prestación de servicios al ciudadano y el ejercicio de la potestad administrativa. Por lo tanto la estrategia de seguridad debe ir encaminada a mejorar la seguridad en el ejercicio de estas funciones. Podemos definir tres grandes objetivos estratégicos para la seguridad: Garantizar la seguridad de la información de la Generalitat Garantizar los derechos de los ciudadanos, respecto a la información que maneja la administración Generar confianza en los ciudadanos en sus relaciones electrónicas con la administración fomentando el uso de la
Administración Electrónica y el impulso a la Sociedad de la Información. Cumplir la legislación en materia de seguridad de modo que su implantación garantice un modelo funcional capaz de gestionar la seguridad. Ante la situación de partida definida anteriormente y teniendo en cuenta los objetivos estratégicos se define el modelo de seguridad de la Generalitat basado en los siguientes objetivos : 1. CUMPLIMIENTO DE LA LEGISLACIÓN VIGENTE Como administración pública, la Generalitat Valenciana está obligada al cumplimiento de diferente normativa de seguridad. La normativa más importante en este ámbito es la siguiente: - Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal - Real Decreto 1720/2007: Reglamento de desarrollo de la Ley Orgánica 15/1999 - Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos - Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración electrónica. - DECRETO 220/2014 de 12 de diciembre, del Consell, por el que se aprueba el Reglamento de Administración Electrónica de la Comunitat Valenciana 2. GESTIÓN LA SEGURIDAD Si bien la legislación en materia de seguridad es un referente en cuanto a la garantía de cumplimiento de nuestras obligaciones se pretende que el modelo definido sea un modelo de gestión de la seguridad que facilite el crecimiento y desarrollo hacia un SGSI por lo que se quiere incorporar gestión y funcionalidad en el modelo definido. 3. OPTIMIZACIÓN DE LOS RECURSOS En el contexto actual de economía de recursos y restricción del gasto público, la optimización de recursos es un objetivo prioritario. El modelo centralizado e integrador nos ayudará a gestionar la seguridad con menos recursos y de manera más eficiente permitiendo eliminar gastos e inversiones redundantes. 4. ALINEAMIENTO EN EL PROCESO DE CENTRALIZACIÓN Y CONSOLIDACIÓN La implantación del modelo de seguridad debe ir acompasada con el proceso iniciado en la DGTI para consolidar los activos que inicialmente estaban distribuidos en todas las Consellerias, eliminando los redundantes, y gestionando de forma centralizada los que resulten del proceso de consolidación.
Este objetivo supone para el proyecto de seguridad una oportunidad ya que la gestión centralizada de activos que permitirá disponer de un inventario actualizado de los activos TIC y un modelo de trabajo centralizado que permitirá trabajar de forma más fácil en el análisis de riesgos y la gestión centralizada de incidentes de seguridad. El modelo centralizado en la gestión de los recursos TIC nos permitirá un modelo de gestión centralizada de la seguridad. Por otro lado, los retos ante los que nos enfrentamos en este proyecto son los siguientes: 1. CAMBIO DE MODELO Nos enfrentamos a un cambio de modelo radical donde pasamos de disponer de unidades de informática sectoriales que se hacían cargo de todos los temas de seguridad LOPD a un modelo en que la seguridad de la información va a tener una gestión centralizada pero que deberá coordinarse con las consellerias en la implantación de la gestión e la seguridad de la información no informatizada. 2. MODELO EN EVOLUCIÓN El proceso de centralización no está terminado ni el modelo definitivo está totalmente definido por lo que la definición del modelo de seguridad debe ser capaz de ir definiéndose simultáneamente con la evolución del modelo por lo que debe ser suficientemente flexible como para evolucionan sin que se pierda el nivel de seguridad requerido. 3. FUNCIONALIDAD La gestión de la seguridad debe ser funcional, no basta con cumplir lo establecido, pasar auditorias y volver a adecuar nuestros sistemas cada vez que tengamos que ser auditados. El reto consiste en que los procedimientos y funciones deben estar definidos e implantados de modo que en el día a día se trabaje de forma segura, los proyectos nazcan y se implanten seguros y los niveles de seguridad se cumplan. 4. REORDENACIÓN DE RECURSOS Y FUNCIONALIDADES El proceso de implantación de la seguridad en su objetivo de optimización de recursos va a suponer una reordenación de éstos lo que implica grandes cambios en el funcionamiento de los recursos informáticos de la Generalitat y una nueva forma de trabajo que debemos ser capaces de llevar a cabo. 5. IMPLICAR AGENTES La seguridad de la información es el resultado de un proceso que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en el tratamiento. Quienes participen en
cualquier fase del tratamiento deberán responder, en la medida de sus responsabilidades, de la seguridad y buen uso de la información. Debemos ser capaces de informar, concienciar, implicar y responsabilizar a todos los agentes, cada uno en el lugar que le corresponda, desde el nivel directivo hasta llegar a todos los empleados de nuestra administración. FASES DEL PROYECTO RECURSOS EMPLEADOS El proyecto se desarrolla trabajando en paralelo las diferentes líneas de acción: LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE SEGURIDAD Elaboración de la Política de Seguridad de la GVA Difusión de la Política de Seguridad de la GVA y buenas prácticas en materia de Seguridad Confección del Plan de Adecuación al ENS. (Fecha tope 30/01/2014) Cumplimiento LOPD LINEA 2: PLAN DIRECTOR DE SEGURIDAD Determinar el estado de Seguridad de la Organización Confección del Plan Director de Seguridad LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD Gestión de Incidentes de Seguridad Servicios proactivos de seguridad Auditorías de Seguridad Seguridad aplicada a la adquisición, desarrollo y mantenimiento de los sistemas de información (ciclo de vida de los proyectos) Análisis de riesgos y plan de continuidad
Plan de despliegue del modelo de seguridad El desarrollo e implantación del proyecto se organiza en 3 fases: FASE1. DEFINICIÓN E IMPLANTACIÓN DEL MODELO DE SEGURIDAD. Elaboración y publicación de la normativa que será la base del modelo e implantación del modelo. Este modelo se basa en la publicación de dos decretos del gobierno valenciano: DECRETO 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat. La Política de Seguridad es un conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos. Esta Política se define como única para toda la Generalitat con el objeto de que los fundamentos base de la seguridad sean únicos y universales en toda la organización. DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat. La organización de la seguridad establece el reparto de funciones y responsabilidades en materia de seguridad de la información. Su ámbito de aplicación es la administración de la Generalitat y sus entidades autónomas a excepción de la Conselleria de Sanidad y la Agencia Valenciana de Salud que dada su organización específica y la información que manejan han sido habilitados para disponer de su propia organización y responsabilidades en materia de seguridad, no obstante se instrumenta la coordinación a través de su incorporación al Comité de Seguridad. FASE 2. GESTIÓN DE LA SEGURIDAD.
Consiste en la implantación de una serie de procedimientos de gestión de la seguridad de manera global para toda la organización: Procedimiento de gestión de incidentes Análisis de riesgos Plan de auditorías Servicios proactivos y reactivos de seguridad Integración de la seguridad en el ciclo de vida de los proyectos TIC Plan de formación y concienciación Continuidad de negocio FASE 3. GOBIERNO DE LA SEGURIDAD. Una vez implantado el modelo y los procedimientos globales de seguridad procede a conseguir el gobierno total de la seguridad implantando un sistema métricas e indicadores que nos den conocimiento del estado de la seguridad y plan director de la seguridad. Estos dos elementos nos llevarán a un sistema revisión y mejora continua de la seguridad en nuestra organización. se de un de Fases del proyecto RECURSOS EMPLEADOS:
La Fase 1 del proyecto se ha llevado a cabo internamente con los recursos propios del Servicio de Seguridad con colaboraciones puntuales de expertos en seguridad para la revisión de los documentos y la consultoría de la Abogacía de la Generalitat en las cuestiones formales del desarrollo normativo. Para la Fase 2 se ha contado con los recursos propios del servicio de seguridad y en algunos proyectos se ha contado con recursos del Servicio de Calidad y la gestión de incidentes y los servicios proactivos y reactivos de seguridad se desarrollan desde CSIRT-CV, centro de Seguridad TIC de la Comunitat Valenciana que depende del Servicio de Seguridad. CSIRT-CV es pieza clave del modelo de seguridad de la Generalitat Valenciana. El siguiente cuadro muestra la función de este centro dentro de dicho modelo. Función de CSIRT-CV RECURSOS Empleados públicos meses Personas/Contratos Servicio de seguridad 7 33 Servicio de Calidad 1 6 1 CSIRT-CV 2 33 8 MEJORAS EN EFICIENCIA Y REDUCCIONES DE COSTE La implantación del nuevo modelo de seguridad contribuirá por tanto a aumentar la confianza y la seguridad en la red, lo que dará lugar a importantes beneficios tanto
para los ciudadanos y empresas de la Comunidad, como para la propia administración valenciana. Con el nuevo marco regulatorio de la seguridad de la información en la Generalitat, la Generalitat se dota de los instrumentos legales necesarios para seguir avanzando en la innovación tecnológica de la administración y a través de ella, de la sociedad valenciana en su conjunto. La Gestión Integral de la Seguridad en la Generalitat Valenciana busca la excelencia en la prestación de servicios al ciudadano generando la seguridad y la confianza necesarios para el impulso de la Sociedad de la Información a través de una Administración Electrónica segura que garantice los derechos fundamentales de los ciudadanos en especial el derecho constitucional a la intimidad. Esto reducirá las cargas administrativas y ejercerá un efecto catalizador sobre otros sectores de la economía digital como el comercio electrónico. Se fomenta así el impulso a la Sociedad de la Información. El proyecto materializa el esfuerzo por conjugar las funciones de la seguridad con las distintas responsabilidades de los órganos directivos de la Administración Pública definiendo funciones específicas de seguridad asimilándolas a las funciones que los Reglamentos Funcionales y Orgánicos les atribuyen a dichos órganos. Además se potenciará el uso de las tecnologías de la información en la gestión interna de la administración, lo que permitirá aumentar la eficacia y la eficiencia de la gestión y mejorar la calidad de la prestación de los servicios públicos. El modelo centralizado e integrador nos ayudará a gestionar la seguridad con menos recursos y de manera más eficiente permitiendo eliminar gastos e inversiones redundantes. CONCLUSIONES DE LA ENTIDAD 1. La centralización de la función informática y las competencias TIC han 2. 3. 4. 5. facilitado la definición de un modelo de gestión global de la seguridad en la Generalitat Valenciana. La definición de un marco normativo aprobado por el Gobierno Valenciano y publicado en el Diario Oficial da legitimidad al modelo e implica a la dirección. La implantación de procedimientos globales facilita la optimización de recursos y garantiza la seguridad a todos los niveles La concienciación y el aprendizaje en seguridad de la información se han considerado un factor fundamental para la reducción de riesgos y la mejora de la seguridad de la información de la organización. La gestión de la seguridad de la información de una organización debe contemplarse desde una visión global e integrada de toda la organización.