La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa. Administración electrónica y seguridad de la información

Documentos relacionados
LA GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA ADMINISTRACIÓN ESPAÑOLA

CONFERENCIA SOBRE PROTECCIÓN N DE DATOS DERECHOS Y DEBERES DE LOS ADMINISTRADORES DE FINCAS

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

Identificación y acceso a requisitos legales y reglamentarios

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

NORMATIVA y jurisprudencia

PROGRAMA 135M PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

PROGRAMA 135M PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO DECRETO NÚMERO DE 2012 ( )

PREVENCIÓN DE RIESGOS LABORALES vs PROTECCION DE DATOS DE CARÁCTER PERSONAL

Protección de datos de carácter personal

Política de Seguridad de la Información de ACEPTA. Pública

Criterios con el que los estados regularán los documentos y archivos electrónicos:

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

Reglamento del Archivo del Colegio Nacional

SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE) Procesos del SGIEE Gestión de Documentación y Control de Registros

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Grupo Tecnologías de Información XVII Edición Cumbre Judicial BORRADOR DE GUÍA DE INTEROPERABILIDAD Y SEGURIDAD DE EXPEDIENTE JUDICIAL ELECTRÓNICO

Artículo 1. Objeto y ámbito de aplicación

PROCEDIMIENTO DE IDENTIFICACIÓN Y SEGUIMIENTO DE REQUISITOS LEGALES Y DE OTRA INDOLE CÓDIGO: S-P-12 SISTEMA DE GESTIÓN INTEGRAL

Manual de Procedimientos y Operaciones TABLA DE CONTENIDO

Qué es el Portal de la Transparencia de la Comunidad de Madrid?

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

Tratamiento de datos en el ámbito sanitario Captura de imágenes y videovigilancia

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

RESPONSABILIDADES DE LA DIRECCIÓN

En este sentido entre las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

Sistema de Garantía Interna de Calidad de los programas de doctorado de la UAM

La administración de documentos en el INEGI, resultados y retos. Diciembre, 2008.

PERFIL DE INGRESO. CAPTACIÓN, SELECCIÓN Y ADMISIÓN DE ESTUDIANTES

PROCESO CAS N ANA COMISION PERMANENTE

Identificación, Actualización y Evaluación de Requisitos de Cumplimiento Legal

FICHA DE PROCESO. Unidad de Prevención de Riesgos Laborales y Gestión Ambiental

Norma Técnica de Administración por Procesos y Prestación de Servicios. Registro Oficial Nro. 739

La Ley de Protección de Datos y el Autónomo

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

SICRES 3.0 Presentación Ejecutiva

RESOLUCIÓN 193 DE 05 DE MAYO DE 2016 CONTADURIA GENERAL DE LA NACIÓN

MUNICIPALIDAD DE CARRILLO DEPARTAMENTO DE TECNOLOGÍAS DE INFORMACIÓN

Por qué conformarse con ser bueno si se puede ser mejor

Gabinete Jurídico. Informe 0660/2008

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

INSTITUTO DEL NIÑO Y ADOLESCENTE DEL URUGUAY DIVISIÓN RECURSOS HUMANOS DEPARTAMENTO TÉCNICO

PROTECCIÓN DE DATOS PARA COLEGIOS OFICIALES DE GRADUADOS SOCIALES DE ESPAÑA Y COLEGIADOS

La FIIAPP precisa incorporar en el marco del proyecto SOCIEUX+, un Técnico en Comunicación y Gestión del Conocimiento con sede en Bruselas.

SISTEMA DE CONTROL INTERNO GENERALIDADES.

electrónica Plataformas de contratación electrónica. Benito Carballo Santaclara Gerente Proyectos Altia Consultores

NTE INEN-ISO/IEC Segunda edición

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

PROCEDIMIENTO DE GESTIÓN INTEGRADO REVISIÓN POR LA DIRECCIÓN

PROGRAMA 492M DEFENSA DE LA COMPETENCIA EN LOS MERCADOS Y REGULACIÓN DE SECTORES PRODUCTIVOS

Gabinete Jurídico. Informe 0179/2010

ESCUELA TECNOLÓGICA INSTITUTO TÉCNICO CENTRAL PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO

LA ACCESIBILIDAD ELECTRÓNICA DE LOS PROCEDIMIENTOS EN LAS ADMINISTRACIONES PÚBLICAS ESPAÑOLAS, EN GENERAL, Y CANARIAS EN PARTICULAR.

Documento de orientación para la supervisión de los controles oficiales

BuscaLegis.ccj.ufsc.br

ORDENANZA FISCAL DEL IMPUESTO SOBRE BIENES INMUEBLES DE CARACTERÍSTICAS ESPECIALES.

PROCEDIMIENTO DE IDENTIFICACIÓN Y SEGUIMIENTO DE REQUISITOS LEGALES Y DE OTRA INDOLE CÓDIGO: S-P-12 SISTEMA DE GESTIÓN INTEGRAL

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

PROCESO CAS N ANA COMISION Nº 8

Orden Foral 89/2005, de 30 de mayo, del Consejero de Agricultura, Ganadería y Alimentación, por la que se regula el Sistema de Información

PROCEDIMIENTO PARA IDENTIFICACIÓN DE REQUISITOS LEGALES AMBIENTALES

BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID III. ADMINISTRACIÓN LOCAL AYUNTAMIENTO DE OTROS ANUNCIOS

Federación de Colegios de Contadores Públicos de la República Bolivariana de Venezuela Comité Permanente de Normas de Auditoría

Informacion sobre el programa de clemencia para exención y reducción de multas. La competencia beneficia a todos

CRITERIOS GENERALES DE VALORACIÓN DE MERITOS PARA LA CONTRATACIÓN DE PROFESORADO DE LA UNIVERSIDAD DE GRANADA

CURSO PARA AUDITORES

COLEGIO OFICIAL DE PODÓLOGOS DE EXTREMADURA

ESCUELA DE POSGRADO. (Aprobado en sesión del Consejo de Gobierno de 27 de noviembre de 2008)

5. PROCEDIMIENTO DE GESTIÓN DE OFERTAS Y CONTRATOS

Conformidad con el ENS algo imposible?

subcontraloría de auditoría financiera y contable

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

DECRETO SUPREMO N MINCETUR

Gerencia de Proyectos

MANUAL DE OPERACIÓN DE LA NORMATECA INTERNA DE LA SECRETARÍA DE DESARROLLO ECONÓMICO

ACTA CONSTITUTIVA DE LA ASOCIACIÓN CIVIL COMUNIDAD REAL TOSCANA A.C. ESTATUTOS

Decreto núm. 119/2001, de 19 de octubre. Decreto núm. 119/2001, de 19 de octubre. Decreto 119/2001, de 19 octubre LIB 2001\310

Gabinete Jurídico. Informe 0248/2010

PROCESO CAS N ANA COMISION ESPECIAL

LINEAMIENTOS ESPECÍFICOS PARA EL USO DE LA FIRMA ELECTRÓNICA AVANZADA EN LOS OFICIOS DEL ESTADO DEL EJERCICIO DEL INSTITUTO NACIONAL ELECTORAL

GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. P-DC-01. Consejería de Igualdad, Salud y Políticas Sociales. Edición: 1 Página 1 de 8 ÍNDICE

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Departamento Administrativo y Financiero Unidad Financiera

PROCESO CAS N ANA COMISION PERMANENTE

Firma Digital y Firma Electrónica

ANALISIS DE RIESGOS EN SISTEMAS

Administración de la SIU Código: S-GR-06 Versión: 05 Página 1 de 5

I: Formación complementaria en TI

FOMENTO DE LA CULTURA DE CONTROL INTERNO

RESUMEN DE LA POLÍTICA DE CONFLICTOS DE INTERÉS GRUPO CIMD

Reglamento regulador del funcionamiento del proceso de sugerencias y reclamaciones en el Cabildo de Gran Canaria

GUÍA DE CONTENIDOS MÍNIMOS DEL PLAN DE TRANSICIÓN TÉCNICA DE LOS SISTEMAS ATM/ANS

Procedimiento Requisitos Legales

Formación de Auditores Internos para Organismos de Certificación de Personas

COLEGIO OFICIAL DE PERITOS E INGENIEROS TÉCNICOS INDUSTRIALES DE CÁCERES

Transcripción:

La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa Administración electrónica y seguridad de la información La aprobación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica establece la obligación, para todas las Administraciones Públicas, de adoptar una práctica de seguridad de la información y controles técnicos suficientes para que los sistemas de información resulten dignos de confianza y resistan incidentes, al objeto final de garantizar, en definitiva, la integridad de los derechos de los ciudadanos. Como es sabido, ya la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos había establecido una serie de derechos ciudadanos, y correspondientes obligaciones para las Administraciones Públicas, relativas a la seguridad en la Administración electrónica, entre los cuales: 1. A la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. 2. A obtener los medios de identificación electrónica necesarios. Las personas físicas pueden utilizar en todo caso los sistemas de firma electrónica del Documento Nacional de Identidad para cualquier trámite electrónico con cualquier Administración Pública. 3. A la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las Administraciones Públicas. 4. A la conservación en formato electrónico por las Administraciones Públicas de los documentos electrónicos que formen parte de un expediente. 5. Obtener copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que tengan condición de persona interesada. 6. A elegir las aplicaciones o sistemas para relacionarse con las Administraciones Públicas siempre y cuando utilicen estándares abiertos o, en su caso, otros que sean de uso generalizado por los ciudadanos. Obligaciones a las que hay que añadir las previstas en otras leyes aplicables a determinados sectores de la actividad administrativa, como en el caso de la contratación electrónica, y por supuesto, las derivadas de la aplicación de la legislación de protección de datos de carácter personal.

Como es también ampliamente conocido, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas el ejercicio de derechos y el cumplimento de deberes a través de estos medios. La norma persigue fundamentar la confianza en el hecho que los sistemas de información presten sus servicios y custodien la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. En este sentido, el Esquema Nacional de Seguridad define la seguridad de la información como la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que las redes y sistemas mencionados ofrecen o hacen accesibles. Respecto a los sistemas afectados, el artículo 5 del RDENS indica que la seguridad se entiende como un proceso integral constituido per todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema de información, que es el objeto principal sobre el que se construye el Esquema Nacional de Seguridad. En este sentido, el anexo IV del ENS define el sistema de información como el conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, utilizar, compartir, distribuir, poner a disposición, presentar o transmitir. Por lo tanto, el Esquema Nacional de Seguridad, que desarrolla la LAECSP, se aplica esencialmente a los sistemas de información que soportan la actividad administrativa, la actividad interadministrativa y las relaciones con los ciudadanos. Están excluidos del ámbito de aplicación del Esquema Nacional de Seguridad los sistemas que tratan información clasificada regulada por la Ley 9/1968, de 5 de abril, de secretos oficiales y normas de desarrollo, al igual que los sistemas de información que soportan las actividades que las administraciones públicas lleven a cabo en régimen de derecho privado. Para cumplir con el Esquema Nacional de Seguridad resulta necesario, como indica el artículo 27 del RDENS, aplicar un conjunto de medidas identificadas en el anexo II de la norma, considerando los activos del sistema de información, la categoría del sistema y las decisiones que se adopten para gestionar los riesgos identificados, de forma integrada, en su caso, con la reglamentación de seguridad de protección de datos de carácter personal.

Para alcanzar este objetivo, resulta necesario aplicar una metodología que considere los siguientes pasos: 1. Establecer una política de seguridad. 2. Identificar los sistemas afectados, de acuerdo con las previsiones del Esquema Nacional de Seguridad, para lo cual se precisa entender adecuadamente la arquitectura de la Administración electrónica y sus componentes lógicos de negocio. 3. Determinar los riesgos sobre los sistemas afectados, mediante una metodología reconocida, como MAGERIT, MEHARI, OCTAVE, por citar algunos ejemplos. 4. Categorizar los sistemas afectados, de acuerdo con la gravedad del impacto que tendrían las infracciones de seguridad sobre los activos, en las dimensiones de integridad, autenticidad, confidencialidad, trazabilidad y disponibilidad. 5. Aplicar los controles correspondientes, los previstos en el anexo II del Esquema Nacional de Seguridad, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. El plan de adecuación del Ayuntamiento de Terrassa El Ayuntamiento de Terrassa, de la mano de la empresa Astrea La Infopista Jurídica S.L., inició a finales del año 2010 un proyecto para evaluar todos sus sistemas de información de Administración electrónica y determinar su nivel de cumplimiento de las prescripciones del reglamento, apostando por emprender actuaciones de adopción de la seguridad en lugar de abordar una simple declaración de intenciones a largo plazo, proyecto que se incluye en una estrategia integradora referida al cumplimiento normativo de los procedimientos administrativos y de gestión. En cumplimiento del mandato legal de adecuación a las previsiones reglamentarias, el Ayuntamiento de Terrassa se ha realizado las siguientes actuaciones: - Formación y concienciación específica sobre el tratamiento de la seguridad en la legislación de Administración electrónica. En este sentido, se debe destacar la importancia de estas actuaciones, no sólo para la mejora en la adopción de seguridad por los usuarios, sino en el diseño de los nuevos servicios de administración electrónica. - Identificación de los sistemas de información afectados por el Esquema Nacional de Seguridad, a partir de un marco de referencia que conceptualiza

los diferentes servicios y componentes auxiliares de la Administración electrónica. Dicho marco de referencia ha identificado el conjunto de activos necesitados de protección, y ha permitido, de forma rápida, la categorización de su nivel de seguridad de acuerdo con la metodología prevista en el Esquema Nacional correspondiente. Para cada componente se han identificado los diferentes sistemas de información desplegados, y valorado mediante dominios de seguridad, la criticidad de los servicios que soportan, e informaciones que tratan. Posteriormente, para cada sistema de información resulta posible determinar los activos asociados (equipamientos, programas y aplicaciones, soportes, etc) y sus dependencias, facilitando de forma importante el esfuerzo, y coste correspondiente, del análisis detallado de los riesgos. - Creación de una Guía de auditoría de e-administración, con los requisitos funcionales, tecnológicos, de seguridad y de interoperabilidad que deben cumplir cada uno de los anteriores componentes, para las tres categorías posibles de seguridad definidas en el Esquema Nacional de Seguridad. - Diseño e implementación de una herramienta informática de cumplimiento normativo, que presenta, para cada componente de Administración electrónica, la selección automatizada de los controles del Esquema Nacional de Seguridad, así como de los estándares, guías y procedimientos aplicables a la configuración segura de los sistemas. Dicha herramienta permite de forma muy eficiente la realización de las actividades de análisis y gestión de riesgos, de forma alineada con la metodología MAGERIT pero ampliando sus contenidos para reflejar el modelo conceptual anteriormente indicado. En esta aproximación, para cada sistema de información afectado se establece un dominio de seguridad lógico, subordinado en su caso a dominios de seguridad física. De esta forma, los servicios y las informaciones esenciales se asocian a este dominio y su categoría de seguridad se propaga a los activos principales que conforman el sistema de información modelado por el dominio. Esta técnica permite valorar de forma rápida y eficiente, sin necesidad de realizar un esfuerzo desproporcionado al principio, y permite obtener la declaración de aplicabilidad prácticamente de forma automatizada, sin perjuicio de poder describir otros activos y obtener su valoración por dependencias. Obtenida la declaración de aplicabilidad para cada dominio, y realizado el análisis de riesgos correspondientes se gestionan las diversas etapas de mejora

de la seguridad, facilitando la producción y seguimiento de planes de adecuación. - Revisión del marco normativo interno, mediante la revisión de la política de seguridad de la información y la aprobación de la política de firma electrónica. - Aplicación de los controles a los sistemas, de acuerdo con la priorización establecida en atención a un análisis de riesgos inicial. - Auditoría inicial de cumplimiento, que identifica el grado de alineación de los sistemas con los requisitos identificados en la Guía de auditoría de e- Administración del Ayuntamiento de Terrassa. Una vez finalizadas estas actuaciones, el Comité de Administración Electrónica del Ayuntamiento se ha responsabilizado del mantenimiento de la efectividad de los controles, de forma integrada con las restantes necesidades de seguridad de los datos y, en particular, del cumplimiento de la legislación de protección de datos de carácter personal y la legislación de conservación y acceso a la información administrativa. Por: María José Robles Sánchez. Responsable de Protección de Datos y e-administración del Ayuntamiento de Terrassa. Nacho Alamillo Director General de Astrea La Infopista Jurídica S.L. Currículum Vitae: María José Robles Sánchez: Licenciatura en Derecho Postgrado de Administración Electrónica Ponente en el máster del ICAB de e-administración y LOPD Miembro del Consejo Técnico asesor de Localret.

Nacho Alamillo: Licenciado en Derecho. Consultor senior en seguridad de la información. Centre de Telecomunicacions i Tecnologies de la Informació. Generalitat de Catalunya Ha sido Director del área de asesoría e investigación de la Agència Catalana de Certificació CATCert

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback