1 Implicaciones ENS y ENI
Índice ENS ENI Experiencias ENS y ENI en la URV
ENS I RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica ─Derivado de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos ─Objetivo: establecer los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permitan una protección adecuada de la información, garantizando el derecho de los ciudadanos a relacionarse electrónicamente con la Administración de forma segura.
¿Ámbito de aplicación? –Por definición: Servicios de la administración electrónica –Por derivación del modelo explícito de Sistema Global de Seguridad de la Información(SGSI) algunos principios y medidas serán extensivos a todos los ámbitos de actuación de la organización. –La seguridad no depende de una unidad o departamento, sino que afecta a todos y cada uno de los miembros de la comunidad universitaria.
ENS II Confianza del ciudadano en la AAPP Asegurar los derechosSeguridadRD 3/2010 Sistema Global de Seguridad de la Información - SGSI
ENS III Seguridad Medidas (principio de proporcionalidad) Identificación de activos Clasificación y categorización de la información Proyecto interdisciplinar: Organizativo y político Normativo Funcional Tecnológico
ENI I RD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica –Derivado de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos –Su finalidad es ofrecer transparencia ¿Ámbito de aplicación? –Por definición: Servicios de administración electrónica –Por coherencia, simplificación, y eficiencia será extensible a otros ámbitos de actuación de la organización –La interoperabilidad es una cuestión de todos
ENI II Principio de administración electrónica: No pedir información al ciudadano de la cual se disponga ya en otra AP Derechos: Consentimiento y finalidad Procedimiento y seguridad Normas comunes y garantías
ENI III Cambio cultural Formación continua Recursos € No es fácil!!! Las Universidades no podemos ser islas, no podemos estar al margen de la AGE, es una cuestión de todos
EXPERIENCIA ENS Y ENI EN LA URV
Plan adecuación ENS: Alcance 2012: URV adjudica mediante concurso público la elaboración del Plan de adecuación al ENS –Adjudicatario: ALTRAN –Se incluye en el objeto la obligación de generar versiones “blancas” de la documentación Alcance: –Identificación del nivel de cumplimiento actual con el Esquema Nacional de Seguridad (ENS) y establecimiento de un Plan Director con las medidas a aplicar.
FASE 0 - Dirección y coordinación del proyecto Revisión de la Organización en el tratamiento y gestión de la seguridad Inventariado y valoración de activos: información, servicios y datos personales FASE 1 Análisis FASE 2 GAP Análisis FASE 3 Elaboración del Plan de adecuación al ENS FASE 4 Documentación Categorización de los sistemas Análisis y adecuación de la Política de Seguridad de los sistemas Análisis de riesgos Declaración de la aplicabilidad de controles Identificación y verificación de las medidas de seguridad ya implantadas Determinación del GAP entre la situación deseada y la situación actual Valoración y priorización de las medidas de seguridad a implantar Plan de mejora de la seguridad Establecimiento de los criterios de diseño de la documentación a presentar Elaboración de la documentación Plan adecuación ENS: Plan de proyecto
Auditoria ENS 1.Visitas y inspección visual 2.Entrevistas 3.Revisión procedimientos y cumplimiento normativo (ficheros declarados, esquemas de red, etc.) 4.Conclusiones y propuestas de mejora Departamentos auditados Secretaria General Organización Planificación económica Coordinación TIC Gerencia Recursos Humanos Gabinete Jurídico C. Docencia Plan adecuación ENS: Trabajo realizado Investigación, transferencia y innovación Infraestructuras Recursos para el aprendizaje y la investigación Sistemas de Información – DataWareHouse Servicio de Informática
Plan adecuación ENS: Inventario y valoración de activos
Plan adecuación ENS: Herramienta PILAR
Informes textuales y gráficos GAP ENS y GAP ISO Plan adecuación ENS: ENS y ISO 27002
Plan adecuación ENS: Medidas a implantar I
■ Redactar procedimientos esenciales. ■ Todo procedimento suficietemente importante ha de estar redactado y ser conocido por todos. Elaborar el Plan Director. ■ Establecer unos controles de madureza y evolución sobre la Seguridad de la Información ■ Todo el mundo debe estar implicado ■ Concienciación activa sobre la seguridad ■ La seguridad és responsabilidad de todos. Nos hemos de concienciar ■ Creación de un Comite de Seguridad de la Información ■ Un órgano dedicado a la seguridad de la información que reporta a Dirección ■ Formación relacionada con la seguridad a todo el personal ■ La seguridad no depende de un departamento, afecta a todos Plan adecuación ENS: Medidas a implantar II
Plan de adecuación al ENS en la URV: compartición de información URV hizo cesión de toda la documentación a CRUE el subgrupo de trabajo del ENS del grupo de trabajo de administración electrónica de CRUE-TIC ha “limipado” la documentación blanca y se hará accesible: –Mediante espacio colaborativo CRUE-TIC –Mediante grupo IRIS-ENS de RedIRIS
Documentación disponible: 1.Política de Seguridad - Propuesta 2.Análisis y categorización de Riesgos 3.Propuesta de Organización de la Seguridad - Responsabilidades y Funciones 4.Análisis del Nivel de adecuación 5.Diagnóstico de Rendimiento 6.Gap Análisis: Evaluación de las medidas de seguridad a implantar 7.Plan de Gestión del Cambio Plan de adecuación al ENS en la URV: compartición de información
ENI en la URV I
ENI en la URV II Año 2004: SOA como arquitectura para la interoperabilidad
ENI en la URV III “Dato único”: Interoperabilidad semántica –Punto explícito del programa del Rector –Acciones específicas dentro del plan de mejora de la gestión, alineado con programa Rector, con seguimiento trimestral y anual
ENI en la URV IV “No man is an island” (John Donne ) “Human beings do not thrive when isolated from others”
29 Gracias per su atención. ¿Cuestiones?