La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 SERVICIO DE AUDITORÍA INTERNA Madrid, mayo de 2011 SEGURIDAD DE LA INFORMACIÓN EN LA AGENCIA TRIBUTARIA.

Publicada porFrancisca Castellanos Villanueva Modificado hace 7 años

Presentaciones similares

Presentación del tema: "1 SERVICIO DE AUDITORÍA INTERNA Madrid, mayo de 2011 SEGURIDAD DE LA INFORMACIÓN EN LA AGENCIA TRIBUTARIA."— Transcripción de la presentación:

1 1 SERVICIO DE AUDITORÍA INTERNA Madrid, mayo de 2011 SEGURIDAD DE LA INFORMACIÓN EN LA AGENCIA TRIBUTARIA

2 2 1.Política de Seguridad de la Información en la Agencia Tributaria 2.Protección de Datos 3.Esquema Nacional de Seguridad 4.Documento de Seguridad 5.Comisión de Seguridad y Control de Informática Tributaria 6.Gestión de Usuarios 7.Control de Accesos 8.Cesión de Información 9.Caso práctico de Control de Accesos 10.Servicio de Auditoría Interna Í N D I C E

3 3 OBJETIVOS La Agencia Tributaria dispone de una política de seguridad de la información cuyo objetivos son: –Asegurar la confianza de los usuarios externos e internos en los sistemas de información. –Mantener la apuesta estratégica de la organización por los sistemas de información y en particular por Internet. –Cumplir las regulaciones impuestas por la normativa española y comunitaria. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

4 4 ACTIVOS DE INFORMACIÓN Un “activo de información” es un elemento que permite a una organización construir y mantener una política tecnológica y un sistema de información acorde con su misión y objetivos. Ejemplos en la AEAT: –El personal. –Las instalaciones. –Las infraestructuras tecnológicas de proceso de datos y de comunicaciones. –Los sistemas y aplicaciones de gestión del sistema tributario y aduanero. –La información tributaria y aduanera. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

5 5 ACTIVIDADES DE SEGURIDAD INFORMÁTICA La política de seguridad de la Agencia Tributaria se concreta en tres tipos de actividades: –Las actividades que persiguen garantizar la PROTECCIÓN de los activos de información, en particular el acceso y utilización de la información tributaria y aduanera. –Las actividades cuyo fin es el conseguir la CONTINUIDAD del servicio prestado por el sistema informático de la organización a los usuarios externos e internos. –Las actividades destinadas a la mejora la CALIDAD de la información tributaria y aduanera, reforzando su fiabilidad. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

6 6 GESTIÓN DE LA SEGURIDAD INFORMÁTICA (1) La política de seguridad se instrumenta en lo técnico y organizativo por distintas instancias: –El DEPARTAMENTO DE INFORMÁTICA TRIBUTARIA (DIT) que dirige la política de seguridad de la información y dicta las directrices técnicas. En el DIT trabajan los técnicos informáticos y los especialistas en seguridad informática, y de él dependen las Dependencias Regionales de Informática de las Delegaciones Especiales. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

7 7 GESTIÓN DE LA SEGURIDAD INFORMÁTICA (2) –La COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA TRIBUTARIA (CSCIT) fija y mantiene los criterios sobre seguridad informática, da normas y directrices, ordena controles, resuelve incidencias, etc. –El SERVICIO DE AUDITORÍA INTERNA (SAI) vela por el estricto cumplimiento de las normas sobre seguridad de la información, verificando y supervisando el correcto funcionamiento del sistema de información mediante auditorías específicas. El SAI cuenta con personal dedicado preferentemente a actuaciones de auditoría de sistemas de información y de auditoría de seguridad informática. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

8 8 ELEMENTOS DE LA POLÍTICA DE SEGURIDAD (1) Constitución de una Comisión de Seguridad Informática. Aprobación de un Documento de Seguridad. Declaración de los ficheros con datos de carácter personal. Establecimiento de una red de Responsables de Seguridad y Administradores de Seguridad. Gestión de los usuarios y de las autorizaciones de acceso al sistema de información. Registro y control de los accesos al sistema de información. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

9 9 ELEMENTOS DE LA POLÍTICA DE SEGURIDAD (2) Establecimiento de un sistema de cesión de información. Gestión y control de soportes informáticos. Guía de aplicación de la política de seguridad. Análisis y gestión de riesgos para la seguridad de la información, inscrito en el Mapa de Riesgos de la Agencia. Ejecución de un Plan de Adecuación para el cumplimiento del Esquema Nacional de Seguridad. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

10 10 Informes del Servicio de Auditoría Interna 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN GUÍA DE APLICACIÓN DE LA POLÍTICA DE SEGURIDAD

11 11 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CONTENIDO DE LA POLÍTICA DE SEGURIDAD

12 12 MARCO LEGISLATIVO NACIONAL Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Ley 59/2003, de 19 de diciembre, de firma electrónica. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. 1.POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

13 13 LEY DE PROTECCIÓN DE DATOS La Ley 5/1992, derogada por la vigente Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LPD), supuso un cambio en la seguridad aplicada a los sistemas de información: –Se crea la Agencia Española de Protección de Datos, que puede desarrollar auditorías de cumplimiento como órgano de auditoría externa de las organizaciones sometidas a su control. –Los organismos públicos deben declarar los ficheros automatizados que contienen datos de carácter personal en el Registro General de Protección de Datos. –Se regula el derecho de acceso, rectificación y cancelación de la información de carácter personal contenida en ficheros automatizados (“habeas data”). 2.PROTECCIÓN DE DATOS

14 14 AGENCIA DE PROTECCIÓN DE DATOS La Agencia de Protección de Datos (APD) es un ente de Derecho Publico cuyo objeto es la garantía del cumplimiento y aplicación de las previsiones contenidas en la LPD. –Su Estatuto fue aprobado por el Real Decreto 428/1993 y se relaciona con el Gobierno a través del Ministerio de Justicia. La Inspección de Datos depende de la APD y puede efectuar: –Examen de soportes. –Examen de equipos. –Análisis de programas. –Examen de los sistemas de transmisión. –Requerimientos de información. 2.PROTECCIÓN DE DATOS

15 15 REGLAMENTO DE MEDIDAS DE SEGURIDAD (1) El Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LPD establece medidas de seguridad de nivel alto, medio y básico 1.Las medidas de nivel básico se aplican a todos los ficheros que contengan datos de carácter personal. EJEMPLO: El responsable de los ficheros debe elaborar e implantar un Documento de Seguridad de obligado cumplimiento por el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. 2.Las medidas de nivel medio se aplican a los ficheros que contienen datos relativos a la comisión de faltas administrativas o penales, Hacienda Pública y servicios financieros y los que se rigen por el artículo 28 de la Ley 5/1992. 2.PROTECCIÓN DE DATOS

16 16 REGLAMENTO DE MEDIDAS DE SEGURIDAD (2) EJEMPLO: Los sistemas de información e instalaciones de proceso de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento y de los procedimientos e instrucciones en materia de seguridad de datos, al menos, cada dos años. Los informes de auditoría deben ser analizados por el responsable de seguridad, que elevará las conclusiones al responsable del fichero para que adopte medidas correctoras adecuadas. 3.Las medidas de nivel alto se aplican a los ficheros que contienen datos de ideología, religión, creencias, origen racial, salud o vida sexual, datos recabados para fines policiales sin consentimiento de las personas afectadas o datos que permiten obtener una evaluación de la personalidad del individuo. 2.PROTECCIÓN DE DATOS

17 17 APROBACIÓN DE APLICACIONES Las aplicaciones que efectúen tratamientos de información utilizados para el ejercicio de potestades por la Administración, deben hacerse públicas y puede requerir la emisión de informes técnicos sobre: –La legalidad y seguridad de la aplicación, la normalización de los medios de acceso y la conservación de los soportes utilizados. Otras materias reguladas que afectan indirectamente a la seguridad de la información son: –La firma electrónica y la facturación telemática. 2.PROTECCIÓN DE DATOS

18 18 ESQUEMAS DE SEGURIDAD Y DE INTEROPERABILIDAD El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Su cumplimiento es obligatorio para la Agencia Tributaria. –En su artículo 38, se dice: “La seguridad de las sedes y registros electrónicos, así como la del acceso electrónico de los ciudadanos a los servicios públicos, se regirán por lo establecido en el Esquema Nacional de Seguridad”. También es obligatorio el Real Decreto 4/2010, de 8 de enero (BOE de 29 de enero), que aprueba el Esquema Nacional de Interoperabilidad. 3.ESQUEMA NACIONAL DE SEGURIDAD

19 19 ESQUEMAS DE SEGURIDAD Y DE INTEROPERABILIDAD Aquellos organismos que no puedan declarar el cumplimiento actual del Esquema de Seguridad tienen que aprobar un Plan de Adecuación, tras analizar la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de la información y procesos de la organización que estén relacionados con el servicio electrónico a los ciudadanos. La Dirección de la Agencia Tributaria, tras un análisis sistemático, coordinado por el Departamento de Informática Tributaria y auditado por el Servicio de Auditoría Interna, ha aprobado recientemente un Plan de Adecuación al Esquema Nacional de Seguridad de la Información, que recoge siete grandes proyectos. 3.ESQUEMA NACIONAL DE SEGURIDAD

20 20 PROYECTOS DEL PLAN DE ADECUACIÓN 1.Implantación de un sistema para la gestión de la seguridad de la información, consistente en una revisión de la política de seguridad de la Agencia. 2.Evolución de la gestión de identidades y accesos y el control posterior de los accesos realizados. 3.Gestión de las incidencias de seguridad. 4.Continuidad del servicio. 5.Seguridad perimetral. 6.Formación y concienciación. 7.Desarrollo seguro de servicios. 3.ESQUEMA NACIONAL DE SEGURIDAD

21 21 SEGUIMIENTO DEL PLAN DE ADECUACIÓN El Plan de Adecuación se debe completar antes del 29/01/2013. La Comisión de Seguridad y Control de Informática Tributaria efectúa un seguimiento de la ejecución del Plan de Adecuación. El Servicio de Auditoría Interna supervisa el cumplimiento del Esquema Nacional de Seguridad. –En efecto, el Esquema Nacional de Seguridad revé que, cada dos años, las organizaciones sujetas deben verificar su grado de cumplimiento y desarrollar una auditoría específica al respecto. 3.ESQUEMA NACIONAL DE SEGURIDAD

22 22 REFERENCIA NORMATIVA Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.  Artículo 88.- El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. 4.DOCUMENTO DE SEGURIDAD

23 23 CONTENIDO MÍNIMO Ámbito de aplicación. Medidas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido. Funciones y obligaciones del personal. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias. Procedimientos de realización de copias de respaldo y recuperación de datos. Medidas para el transporte de soportes y documentos, destrucción de documentos y soportes y reutilización de éstos. 4.DOCUMENTO DE SEGURIDAD

24 24 DOCUMENTO DE SEGURIDAD DE LA AGENCIA Resolución 5/2001, de la Dirección General de la AEAT, modificada por la Resolución 4/2004. La AEAT ha aprobado el Documento de Seguridad de los Ficheros Automatizados de Carácter Personal de la Agencia Tributaria, que determina los aspectos principales de la política de seguridad de la organización. –Recoge y sistematiza todas las medidas de seguridad establecidas con el fin de proteger no sólo el derecho de los ciudadanos a la libertad informática sino también el derecho de los contribuyentes al carácter reservado de la información tributaria. 4.DOCUMENTO DE SEGURIDAD

25 25 ÁMBITO DE APLICACIÓN Sus normas se aplican a la información contenida en todos los ficheros, organizados en forma de base de datos o en cualquier otra forma, de la Agencia Tributaria. Es de obligado cumplimiento para todo el personal que presta servicios en o para la Agencia Tributaria, ya sea funcionario, contratado laboral o perteneciente a una empresa de servicios. También se aplica a las personas que no prestan sus servicios en o para la Agencia Tributaria, pero acceden a sus bases de datos. 4.DOCUMENTO DE SEGURIDAD

26 26 ROLES DE LA POLÍTICA DE SEGURIDAD (1) RESPONSABLES DE SEGURIDAD. Directores de Departamentos y Servicios, Delegados Especiales y Delegados de la AEAT. Son responsables de la seguridad de la información en sus respectivos ámbitos y del cumplimiento de las normas del Documento de Seguridad, así como de las instrucciones y procedimientos que se desarrollen y se comuniquen. AUTORIZADORES. Deciden y gestionan los puntos de control y perfiles de acceso de los usuarios de su ámbito a las bases de datos de la Agencia Tributaria, a través de la aplicación informática USUARIOS. CONTROLADORES. Realizan el control a posteriori de los accesos de aquellos usuarios que tienen asignados, a través de la aplicación informática CONTROLA. 4.DOCUMENTO DE SEGURIDAD

27 27 ROLES DE LA POLÍTICA DE SEGURIDAD (2) ADMINISTRADORES DE SEGURIDAD (AS) REGIONALES Y PROVINCIALES Y DE LOS DEPARTAMENTOS Y SERVICIOS. Son gestores y asesores de la seguridad de la información en sus respectivos ámbitos. Coordinan y controlan las medidas de seguridad, instrucciones y procedimientos que se desarrollen, supervisan la gestión de usuarios y el control de accesos, elaboran informes sobre disconformidades, etc. ADMINISTRADOR DE SEGURIDAD DEL DEPARTAMENTO DE INFORMÁTICA TRIBUTARIA. Encargado de coordinar y dar a conocer a todos los AS, los procedimientos y las herramientas que se vayan incorporando al sistema informático para facilitar la gestión de usuarios y el control de accesos y desarrollar el cumplimiento de las directrices y planes de seguridad que establezca la Comisión de Seguridad y Control. 4.DOCUMENTO DE SEGURIDAD

28 28 CAPÍTULOS DEL DOCUMENTO 1.Ámbito de Aplicación. 2.Órganos que intervienen en la seguridad informática de la AEAT. 3.Cuestiones generales sobre las bases de datos de la AEAT. 4.Sistemas de información accesible y ficheros que contienen dicha información. 5.Seguridad física. Plan de Contingencias. 6.Seguridad en la información de los sistemas informáticos corporativos. 7.Seguridad de las redes y ordenadores personales. 8.Responsables de seguridad. 9.Comisión de Seguridad y Control de Informática Tributaria. 10.Tratamiento de incidencias. 11.Auditoría. Control del cumplimiento de las normas de seguridad e informe de auditoría. 12.Responsabilidades. 4.DOCUMENTO DE SEGURIDAD

29 29 ORGANIZACIÓN DE LA SEGURIDAD EN LA AEAT (1) 4.DOCUMENTO DE SEGURIDAD

30 30 CONTROL PREVIO Control previo realizado a través de la aplicación informática USUARIOS: a)Identificación del usuario con código de usuario y palabra de paso. b)Limitación de la información a que puede acceder cada usuario a través de la asignación de las autorizaciones que permiten acceder a los programas necesario para su trabajo. Este control lo realizan los: -Autorizadores. Solicitan las altas, bajas o modificaciones de códigos de usuarios y de autorizaciones del personal que dependen orgánicamente de ellos. -Administradores de Seguridad. 4.DOCUMENTO DE SEGURIDAD

31 31 CONTROL A POSTERIORI Control a posteriori realizado a través de la aplicación CONTROLA: a)Registro de todos los accesos b)Selección de accesos para auditar. c)Control quincenal de accesos. Este control lo realizan los: -Controladores. Revisan y toman decisiones sobre los accesos controlados. -Administradores de Seguridad. 4.DOCUMENTO DE SEGURIDAD

32 32 4.DOCUMENTO DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD EN LA AEAT (2)

33 33 ANTECEDENTES Desde 1998, la AEAT dispone de Comisiones Sectoriales de Seguridad y Control para cada una de las áreas de la organización, que serán tratadas en otra presentación con más generalidad. –La Comisión de Seguridad y Control de Informática Tributaria se remonta a un grupo de trabajo que se ocupaba, desde 1996, de la regulación del acceso a las bases de datos corporativas. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

34 34 COMPOSICIÓN Presidente: Director del Departamento de Informática Tributaria. Vicepresidente: Inspector de Servicios Coordinador del Servicio de Auditoría Interna. Secretario: Administrador de Seguridad del Departamento de Informática Tributaria. Vocales: Representantes de los Departamentos y Servicios de la Agencia y de, al menos, tres Delegaciones, designados por los Directores o Delegados correspondientes. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

35 35 FUNCIONES Analizar y evaluar los riesgos de funcionamiento de los servicios para establecer las correspondientes medidas preventivas. Establecer y mantener actualizados de forma permanente los criterios y directrices generales sobre seguridad. Elaborar propuestas para mejorar y reforzar los sistemas de seguridad y control. Elevar a la Comisión (general) de Seguridad y Control aquellas propuestas que por su índole deben ser sometidas a la consideración de aquella. Formular el plan anual de la Comisión Sectorial y elaborar un informe anual de sus actividades. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

36 36 ESPECIAL ATENCIÓN Detectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito. Analizar y evaluar, para estas áreas de riesgo las deficiencias y debilidades de control existentes. Acordar y hacer operativas medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad, considerando el establecimiento de señales de alarma automáticas en los sistemas y aplicaciones informáticas. Elaborar las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas y someterlas a la aprobación del Director correspondiente. Incorporar al plan de actuaciones las prioridades anuales y la estrategia en materia de control y seguridad. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

37 37 FUNCIONAMIENTO El Pleno de la Comisión se reúne aproximadamente con carácter trimestral. La Comisión dispone de los informes de control financiero y auditoría que afectan a temas de seguridad de la información. Se tratan en el pleno las sugerencias y peticiones, tanto de sus miembros, como de los responsables de seguridad de todos los ámbitos. Para analizar los temas planteados y proponer medidas, se constituyen grupos de trabajo cuyas propuestas son objeto de aprobación por el pleno. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

38 38 GRUPOS DE TRABAJO Revisión de usuarios externos. Criterios para la calificación de accesos disconformes y su sanción. Revisión de filtros y relaciones. Seguridad en las redes de área local. Mapa de Riesgos de Informática Tributaria. Taller sobre gestión de identidades. Revisión del sistema de control de accesos (“CONTROLA”). Seguridad del correo electrónico. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

39 39 PARTICIPACIÓN DEL SAI Aportando los informes de auditoría con las recomendaciones, mociones e instrucciones derivadas de las mismas. Supervisando y controlando el efectivo cumplimiento de las normas del Documento de Seguridad y la Comisión. Proponiendo mejoras de las aplicaciones informáticas CONTROLA, USUARIOS y ZUJAR. Diseñando informes de seguimiento de usuarios y accesos de organismos externos en ZÚJAR (CCAA, TGSS, CGPJ). Proponiendo criterios y directrices para su aprobación por la Comisión. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

40 40 ACTUACIONES OPERATIVAS (1) La Comisión, directamente o a través de grupos de trabajo: –Supervisa los subsistemas de gestión de usuarios, control de accesos y cesión de información en la Agencia. –Elabora propuestas de desarrollo y modificación del Documento de Seguridad. En 2004, se actualiza el capítulo 7 sobre seguridad de redes y ordenadores personales. –Analiza y, si procede, resuelve, las incidencias de seguridad informática planteadas por los Departamentos y Servicios. –Prepara el Mapa de Riesgos del área informática de la AEAT para su integración en el Mapa de Riesgos de la Agencia. –Mantiene actualizada la relación de ficheros automatizados con datos de carácter personal, que se publica en el BOE y se comunica a la Agencia de Protección de Datos. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

41 41 ACTUACIONES OPERATIVAS (2) Evalúa aspectos que inciden en la seguridad: cifrado de equipos y comunicaciones, uso de la información, planes de continuidad del negocio, criterios de desarrollo y explotación del sistema informático, etc. Establece pautas para la comunicación y conocimiento de la política de seguridad, como la difusión del “Protocolo de uso de la información, los recursos informáticos y las comunicaciones de los usuarios de la Agencia Tributaria”. Traslada los acuerdos adoptados a los Responsables y Administradores de Seguridad para su cumplimiento a través de directrices de seguridad escritas (“CDIT”). Convoca periódicamente a los Administradores de Seguridad para uniformizar los criterios de actuación. 5.COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA

42 42 CARACTERÍSTICAS La gestión de usuarios es el conjunto de operaciones cuyo objeto es que los usuarios tengan un adecuado nivel de acceso al sistema de información, que les facilite el desempeño de su trabajo y garantice la seguridad de la información. –Cada usuario dispone de un solo código de usuario de acceso al sistema informático de la Agencia, denominado usuario único. –Los procedimientos de gestión de usuarios y concesión de autorizaciones están formalizados, documentados y automatizados, configurando un sistema auditable. –El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema. 6.GESTIÓN DE USUARIOS

43 43 ALTA, BAJA Y REVOCACIÓN DEL CÓDIGO DE USUARIO A cada empleado de la Agencia se le concede un código de usuario del sistema por el Administrador de Seguridad que le corresponde y una contraseña personal e intransferible. El empleado debe utilizar el usuario únicamente para su actividad en la Agencia, realizando consultas a información o efectuando tramites de los procedimientos. El código denota el ámbito funcional y territorial del usuario. El código es revocado si se efectúan varios intentos infructuosos de acceso y el usuario debe solicitar explícitamente su restauración. El código se da de baja cuando el empleado deja de prestar servicio en la Agencia. 6.GESTIÓN DE USUARIOS

44 44 CONCESIÓN DE PERFILES Y AUTORIZACIONES Las autorizaciones de un nuevo usuario incluyen aquellas opciones que va a necesitar habitualmente en el desempeño de su trabajo. A este perfil inicial se incorporan otras autorizaciones, que deben ser concedidas por el autorizador competente, a solicitud de un responsable de la unidad en la que presta servicio. Ciertas autorizaciones especiales sólo pueden ser otorgadas por Administradores de Seguridad o autorizadores designados. Los Departamentos y Servicios responsables funcionales de las aplicaciones informáticas deben mantener eficazmente perfiles tipo. Bajo ciertas condiciones, se puede revocar automáticamente la autorización de un usuario para opciones que no utiliza. 6.GESTIÓN DE USUARIOS

45 45 CARACTERÍSTICAS El control de los accesos es el proceso seguido para registrar los accesos a la información de los usuarios, almacenar los accesos en un soporte adecuado para su análisis y recuperación, y establecer una supervisión de esos accesos conforme a unas pautas de comportamiento aprobadas por la Dirección de la Agencia. –Los procedimientos de control de accesos están formalizados, documentados y automatizados, configurando un sistema auditable. –El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema. 7.CONTROL DE ACCESOS

46 46 REGISTRO DE LOS ACCESOS Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. El acceso, sea individual o masivo, queda registrado junto con un conjunto de datos técnicos y administrativos que permiten su control posterior. El registro de los accesos a todos los subsistemas es consolidado cada quince días por una única aplicación de control de accesos (“CONTROLA”) para toda la Agencia. En la AEAT, la gestión de los usuarios y el control de accesos emplean tecnologías de análisis de información propias (“ZÚJAR”). 7.CONTROL DE ACCESOS

47 47 SELECCIÓN DE LOS ACCESOS La aplicación CONTROLA realiza un análisis de riesgo para determinar los accesos que son susceptibles de presentar una mayor incoherencia con las tareas desempeñadas por el usuario. La selección automática de los accesos de riesgo se basa en la aplicación quincenal de filtros de incoherencia, decididos por un grupo de trabajo de la Comisión de Seguridad. Los controladores y los Administradores de Seguridad pueden añadir otros accesos de riesgo, mediante selección manual. La Comisión de Seguridad fija el porcentaje idóneo del total de accesos realizados que debe ser seleccionado para auditoría. En todo caso, una vez al año el usuario debe ver seleccionado alguno de sus accesos. 7.CONTROL DE ACCESOS

48 48 AUDITORÍA DE LOS ACCESOS Los accesos seleccionados cada quincena son analizados por el controlador asignado al usuario. Si el controlador, tras analizar en pantalla el contexto del acceso, no lo justifica directamente, puede pedir aclaraciones al usuario, en un proceso que está automatizado. El controlador debe calificar finalmente el acceso del usuario como conforme o disconforme. Los accesos disconformes deben comunicarse al responsable de seguridad y pueden llevar a un expediente disciplinario que concluya en una sanción. Los resultados obtenidos en el proceso de control de los accesos retroalimentan el sistema, mediante las opciones de CONTROLA y los informes que elaboran los Administradores de Seguridad. En ocasiones, se realizan controles especiales, cruzando información específica o incidiendo en la prevención y detección del conflicto de intereses. 7.CONTROL DE ACCESOS

49 49 UNIFICACIÓN DE CRITERIOS (1) Los elementos utilizados para la calificación de los accesos y la graduación de las sanciones son los siguientes: a)Motivo de trabajo. b)Causa de abstención. c)Accesibilidad de la información. d)Consentimiento del accedido. e)Reincidencia y reiteración. f)Negligencia e intencionalidad. 7.CONTROL DE ACCESOS

50 50 UNIFICACIÓN DE CRITERIOS (2) Se ha detectado la dificultad para establecer criterios claros de calificación y graduación y la desigualdad de tratamiento y sanción por los diferentes controladores, AS y responsables de seguridad. Un grupo de trabajo de la CSCIT se formó para establecer criterios de calificación de los accesos y las sanciones aplicables. Como resultado, una Nota del Servicio Jurídico determina las consideraciones jurídicas que resultan de los accesos indebidos a las bases de datos de la AEAT: –Establece que el criterio básico para que un acceso sea correcto es que sea necesario para el cumplimiento de las funciones específicas y concretas del usuario y que no exista una causa de abstención que impida al usuario intervenir en el asunto. –Señala que el resto de los elementos sirven para graduar la sanción que corresponde a los accesos disconformes. 7.CONTROL DE ACCESOS

51 51 PROPÓSITO La información tributaria y aduanera de la AEAT no puede ser cedida a otros organismos públicos, excepto cuando existe una norma que lo autoriza explícitamente. –La Ley General Tributaria habilita a la AEAT para ceder la información a determinados organismos públicos con el fin de luchar contra el fraude: fiscal, aduanero, a la Seguridad Social, en la percepción de subvenciones, etc. –La normativa también permite la cesión de información a otros organismos públicos para evitar la petición directa de certificados a la AEAT por parte de los ciudadanos, siempre que éstos autoricen la cesión. 8.CESIÓN DE INFORMACIÓN

52 52 PROCEDIMIENTO Las cesiones de información están generalmente sometidas a un Convenio o Acuerdo entre la AEAT y el otro organismo, que regula las características de los intercambios. Las cesiones de información están automatizadas: –En la mayoría de los casos, existe interoperabilidad y se emplean sistemas de transmisión que aseguran la autenticación, integridad, confidencialidad y no repudio del mensaje. –Ciertos organismos públicos disponen de usuarios “externos” del sistema de información de la AEAT, con los que pueden acceder on line a ciertos contenidos e información, de manera limitada. –Los accesos en línea están siendo paulatinamente sustituidos por servicios web, principalmente por razones de seguridad. 8.CESIÓN DE INFORMACIÓN

53 53 CONTROL Los Convenios y Acuerdos contienen cláusulas específicas estipulando que: 1.El SAI puede supervisar el cumplimiento de las condiciones de la cesión establecidas por la normativa o los convenios y, en especial, verificar la adecuada obtención y utilización de la información cedida 2.El organismo cesionario debe implantar medidas de protección de la información eficaces, por ejemplo contar con un Documento de Seguridad. –Los organismos que tienen acceso on line a las bases de datos de la AEAT, deben efectuar un control de accesos equivalente al de la AEAT, que se encarga de supervisar el SAI elaborando un informe anual del estado de la cuestión. 8.CESIÓN DE INFORMACIÓN

54 54 ETAPA 1 – REGISTRO DE LOS ACCESOS 9.CASO PRÁCTICO DE CONTROL DE ACCESOS

55 55 PARTICIPACIÓN DEL SERVICIO DE AUDITORÍA INTERNA El Servicio de Auditoría Interna desarrolla actuaciones de auditoría informática periódicamente para comprobar que: –Se han establecido y se aplican los procedimientos técnicos adecuados para que todos los accesos a información que se realizan por los usuarios para consultar datos y para tomar decisiones quedan registrados en el subsistema CONTROLA. 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 1 – REGISTRO DE LOS ACCESOS

56 56 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 2a – ANÁLISIS DE LOS ACCESOS

57 57 SELECCIÓN DE UN PORCENTAJE DE ACCESOS PARA SU REVISIÓN SEGÚN DIFERENTES CRITERIOS 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 2b – ANÁLISIS DE LOS ACCESOS

58 58 PARTICIPACIÓN DEL SERVICIO DE AUDITORÍA INTERNA El Servicio de Auditoría Interna codirige el Grupo de Trabajo “CONTROLA” de la Comisión de Seguridad y Control, que se reúne una vez por trimestre, y que se ocupa de: –Revisar de manera periódica el sistema de los filtros que determinan el mayor o menor grado de riesgo que tienen los accesos. –Impulsar controles especiales a realizar por los Administradores de Seguridad. –Tomar una postura corporativa sobre las incidencias que se producen el el control de los accesos. 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 2 – ANÁLISIS DE LOS ACCESOS

59 59 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 3 – CONTROL DE LOS ACCESOS

60 60 PARTICIPACIÓN DEL SERVICIO DE AUDITORÍA INTERNA El Servicio de Auditoría Interna codirige la actividad en esta materia de la Comisión de Seguridad y Control, y desarrolla actuaciones de auditoría para supervisar que: –Los Administradores de Seguridad, Regionales y Provinciales, desarrollan correctamente su tarea de gestión de la seguridad; en particular: Revisan en plazo la tramitación de los accesos seleccionados y analizan las justificaciones, particularmente las que se refieren a accesos de especial riesgo como pueden ser “autoaccesos” y accesos a personas vinculadas por relaciones profesionales. Dan un tratamiento adecuado a las incidencias. 9.CASO PRÁCTICO DE CONTROL DE ACCESOS ETAPA 3 – CONTROL DE LOS ACCESOS

61 61 FUNCIONES DEL SAI El control interno de todos los servicios de la Agencia, mediante la realización de auditorías de cualquier clase y naturaleza y el desarrollo de instrumentos de control permanente, que permitan evaluar su eficacia y eficiencia y el cumplimiento de las normas e instrucciones, formulando las propuestas o recomendaciones que deriven de dicha función en la forma en que establezcan las disposiciones reguladoras de su actuación. La prevención y detección de las conductas irregulares, la coordinación, en la forma que se determine por el Director General de la Agencia, de las acciones relativas a las mismas y, en su caso, su investigación, así como el análisis y evaluación de los sistemas de seguridad y control interno de la Agencia. 10.SERVICIO DE AUDITORÍA INTERNA

62 62 TIPOS DE ACTUACIONES Para llevar a cabo estas funciones el Servicio de Auditoría Interna realiza cuatro tipos de actuaciones:  VERIFICACIÓN  Seguridad de la información.  Auditoría de Sistemas de Información.  INVESTIGACIÓN  ASESORAMIENTO  PARTICIPACIÓN en la Comisión de Seguridad y Control de Informática Tributaria. 10.SERVICIO DE AUDITORÍA INTERNA

63 63 AUDITORÍAS DE SISTEMAS DE INFORMACIÓN Las demandas de supervisión y control de los sistemas de información se refieren a los siguientes aspectos:  DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN.  AMENAZAS A LA SEGURIDAD INFORMÁTICA.  PROTECCIÓN DE LOS DERECHOS DE LOS CIUDADANOS.  CONFIABILIDAD DE LA INFORMACIÓN. 10.SERVICIO DE AUDITORÍA INTERNA

64 64 VERIFICACIONES RELATIVAS A LA SEGURIDAD DE LA INFORMACIÓN Verificación de la gestión de usuarios y el control de accesos de los usuarios internos. Verificación de la gestión de usuarios y el control de accesos de los usuarios externos. Comprobación de la obtención y utilización de la información cedida a órganos externos. Análisis de los accesos calificados como disconformes con la aclaración del usuario y de las medidas disciplinarias adoptadas. 10.SERVICIO DE AUDITORÍA INTERNA

65 65 www.agenciatributaria.es

Descargar ppt "1 SERVICIO DE AUDITORÍA INTERNA Madrid, mayo de 2011 SEGURIDAD DE LA INFORMACIÓN EN LA AGENCIA TRIBUTARIA."

Presentaciones similares

LEY DE PROTECCIÓN DE DATOS

LEY DE PROTECCIÓN DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
PROTECCION DE DATOS DE CARÁCTER PERSONAL

PROTECCION DE DATOS DE CARÁCTER PERSONAL
Convenio para realizar la

Convenio para realizar la
LEY 1314 DE 2009 ERIKA MARQUEZ SALAZAR

LEY 1314 DE 2009 ERIKA MARQUEZ SALAZAR
Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla

Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.

PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistema de Control de Gestión.

Sistema de Control de Gestión.
Red nacional de información

Red nacional de información
Gestión de Recursos Humanos

Gestión de Recursos Humanos
Guía rápida de la Protección de Datos Personales en España

Guía rápida de la Protección de Datos Personales en España
Actividades de control

Actividades de control
USO FIRMA ELECTRONICA EN LA ADMINISTRACION DEL ESTADO Cesar Ladrón de Guevara P. Abogado Proyecto de Reforma y Modernización del Estado Ministerio Secretaría.

USO FIRMA ELECTRONICA EN LA ADMINISTRACION DEL ESTADO Cesar Ladrón de Guevara P. Abogado Proyecto de Reforma y Modernización del Estado Ministerio Secretaría.
Modelo Estándar de Control Interno Actualización Decreto 943 de 2014

Modelo Estándar de Control Interno Actualización Decreto 943 de 2014
CÓDIGO DE LAS MEJORES PRACTICAS CORPORATIVAS

CÓDIGO DE LAS MEJORES PRACTICAS CORPORATIVAS
AUDITORIA LEGAL EN INTERNET

AUDITORIA LEGAL EN INTERNET
GUÍA de Protección de Datos para Responsables de Ficheros

GUÍA de Protección de Datos para Responsables de Ficheros

Presentaciones similares

Anuncios Google