Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...
C. serrano nuevo modelo de seguridad tic en la generalitat valenciana semanainformatica.com 2013
1. NUEVO MODELO DE SEGURIDAD TIC
EN LA GENERALITAT VALENCIANA
Gestión Integral de la Seguridad en la GVA
Carmen Serrano Durbá
Jefa de Servicio de Seguridad
Dirección General de Tecnologías de la Información
1
2. • CONTEXTO
• OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD
• PLAN OPERATIVO DE SEGURIDAD
• 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV
• POLÍTICA DE SEGURIDAD
• ORGANIZACIÓN DE SEGURIDAD
• PLAN DE DESPLIEGUE
• AVANCE PROYECTOS PLAN
2
NUEVO MODELO DE SEGURIDAD TIC EN LA
GENERALITAT VALENCIANA
3. ● MARCO ORGANIZATIVO: MODELO CENTRALIZADO DE GESTIÓN TIC
Concentración de
competencias
Centralización Y
Reorganización de recursos
Consolidación de equipos y
tecnologías
● PROCESO
● MARCO ESTRATEGICO: ESTRATEGIA TIC 2011-2015
Racionalización TIC
Innovación GVA
Sociedad digital
3
CONTEXTO
Objetivos Prioritarios
4. OBJETIVOS
CUMPLIR LA LEGISLACIÓN VIGENTE
GESTIONAR LA SEGURIDAD
OPTIMIZAR LOS RECURSOS
SINCRONIZARNOS EN EL PROCESO
DE CENTRALIZACIÓN Y
CONSOLIDACIÓN
VISIÓN INTEGRAL E INTEGRADORA
RETOS
CAMBIO DE MODELO
MODELO EN EVOLUCIÓN
FUNCIONALIDAD
REORDENACIÓN DE RECURSOS Y
FUNCIONALIDADES
IMPLICAR AGENTES
OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD
• Garantizar la seguridad de la información y servicios
• Garantizar los derechos de los ciudadanos
• Generar condiciones de confianza en la administración electrónica
• Cumplimiento normativo
4
5. LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE
SEGURIDAD
LINEA 2: PLAN DIRECTOR DE SEGURIDAD
LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD
• Gestión de Incidentes de Seguridad
• Servicios proactivos de seguridad
• Auditorías de Seguridad
• Seguridad aplicada a la adquisición, desarrollo y mantenimiento de los sistemas
de información (ciclo de vida de los proyectos).
• Análisis de riesgos y plan de continuidad.
• Determinar el estado de Seguridad de la Organización.
• Confección del Plan Director de Seguridad.
• Elaboración de la Política de Seguridad de la GVA.
• Difusión de la Política de Seguridad de la GVA y buenas prácticas en materia de
Seguridad.
• Confección del Plan de Adecuación al ENS. (Fecha tope 30/01/2014)
• Cumplimiento LOPD.
GESTIÓN GLOBAL
SEGURIDAD
PLAN
DIRECTOR
Cumplimiento
NORMATIVO
PLAN OPERATIVO DE SEGURIDAD
5
7. Certificación de CSIRT-CV en ISO 27001
2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV
7Redefinición de la ISO 27001 de la AVFGA
8. Gobierno
Determinan los requisitos de
seguridad de la información y los
servicios y datos personales
Comité de Seguridad
de la Información
Responsable de la
Información
Responsable del
Servicio
Responsable de
Ficheros LOPD
Ejecutivo
Determinan las decisiones para
satisfacer los requisitos de seguridad
de la información, los servicios y los
datos personales
Responsable de
Seguridad
Responsable de
Seguridad LOPD
Operaciones
Planificar e implantar las medidas de
seguridad, monitorizar y gestionar la
seguridad.
Responsable del
Sistema
Administradores de la
Seguridad del Sistema
Administradores de la
Seguridad LOPD
E.N.S.L.O.P.D
ORGANIZACIÓN DE LA SEGURIDAD
El decreto de Organización de la seguridad establece todas las responsabilidades del ENS y la LOPD y sus funciones para
implantar la Gestión integral de la seguridad en la GVA.
8
9. Universalidad
•Una PS para toda la organización, a diferencia de otras AAPP que han optado por una PS por
cada órgano superior.
•Un marco organizativo común, a excepción de Sanidad
Búsqueda de implicación de los directivos públicos
•Legitimidad mediante la aprobación de dos decretos aprobados por el Consell una orden del
Conseller de Sanidad
•Responsable de la Información: CITEC (Todos los Subsecretarios presididos por el Secretario
Autonómico con competencias en TI)
•Responsables de Ficheros LOPD: Subsecretarios.
•Comité de Seguridad de la Información: DGTI, SGAs, Abogacía, Responsable del sistema
archivístico
Visión integrada de la Seguridad
•La Organización integra las responsabilidades de ENS y LOPD
Flexibilidad para adaptarse a una estructura en proceso de cambio
•Establece las competencias para dictar normas de desarrollo, y nombramientos.
•Se adapta a los cambios de la estructura organizativa: Modelo de responsabilidades que se
replica para cada Conselleria/Entidad Autónoma
Granularidad máxima: implantación de medidas y adaptación al proceso de cambio
• Flexibilidad de nombramiento de Administradores de Seguridad
•Posibilidad de delegación de funciones de Responsables de Seguridad y Del Sistema delegados
en subsistemas
Seguridad Integral
•Posibilita la adhesión a la PS a las entidades que no están en el ámbito de aplicación y a las que
la DGTI presta servicios
ORGANIZACIÓN DE LA SEGURIDAD
9
10. 10
Tareas
CONSE
LL/CON
SELLER CSI RINFO RSERV RSEG RSIS ASS
niveles de seguridad requeridos por la
información
A
(7.2.c) I(7.2.c) R(11.2.a)
C(11.2.
a)
niveles de seguridad requeridos por el
servicio
I(11.2.d
)
A(10.2.
d) R(11.2.b)
C(11.2.
b)
plan estratégico
A
(8.3.d) R(8.3.d) I
determinación de la categoría del sistema
I
(11.2.d)
I
(11.2.d)
A/R
(11.2.d) I
análisis de riesgos
I
(11.2.e)
I
(11.2.e)
A/R
(11.2.e) C
aceptación del riesgo residual A(7.2.d)A(7.2.d) R(11.2.h)
I(11.2.h
)
declaración de aplicabilidad I I
A/R
(11.2.f) C
revisar política de seguridad y
organización A(8.3.f) C(7.2.f) R(11.2.l) C
aprobar política de seguridad y
organización A(8.3.f) R(8.3.f)
memoria anual de seguridad I(8.3.b) A(8.3.b) R(11.2.k)
aprobar normativa de seguridad A C(8.3.g) R(11.2.m) I
definición procedimientos de seguridad
R
/A(11.2.n) C I
Implantación procedimientos seguridad
A(13.2.
d)
R
(14.2.d)
implantación de las medidas de seguridad I I C
A(13.2.
b) R (14.2.a)
supervisión de las medidas de seguridad I I C A
R
(14.2.b)
estado de seguridad del sistema I I I A I R (14.2.g)
planes de mejora de la seguridad A(8.3.l) R(11.2.p)
C(11.2.
p)
planes de concienciación y formación
A(11.2.
s) R(11.2.r) C I
planes de continuidad
A(13.2.f
) C(11.2.q)
R
(13.2.f)
suspensión temporal del servicio I I I C
A
(13.2.c)
R
(14.2.2.b)
seguridad en el ciclo de vida
R/A(11.2.
g) C I
Tareas RINF
RFLOP
D
RSLOP
D RSEG RSIS
ASLOP
D
Elaborar e implantar la normativa de
seguridad A(9.2)
Recabar el consentimiento A(9.2)
Ejercicio de los derechos ARCO A(9.2) R(15.2)
Notificación al Registro de Ficheros A(9.2) R(15.2)
Elaborar un documento de seguridad A(9.2) R(15.2)
Control de accesos A(9.2)
Plan de formación A(9.2)
Aprobación puesta en marcha
aplicaciones A(9.2)
Supervisar encargados de tratamiento A(9.2)
Garantizar calidad de los datos A(9.2)
Aprobar procedimiento entrada y
salida soportes A(9.2)
Aprobar procedimiento asignación
contraseñas A(9.2)
Aprobar procedimiento copias de
seguridad A(9.2)
Aprobar medidas correctoras
auditorias A(9.2)
código tipo
A(7.2.e
) I
R(11.2.i
) C
definir medidas de seguridad C
R/A(11.
2.j) C
coordinar y controlar medidas
seguridad LOPD R(12.2)
Implantar medidas ficheros
automatizados
R(13.2.
j)
Implantar medidas ficheros no
automatizados
R(15.2.
i)
Realizar las auditorias I
R(11.3.f
)
RACI
E.N.S.
LOPD
11. 11
• Centro de referencia en seguridad
de la Generalitat Valenciana. ¡No
sólo CERT!
• Alineado con los modelos de
centros internacionales
• Modelo de gestión : Certificado
en ISO 27001
• Nuevo catálogo de servicios
mucho más centrado en la
prevención
• Equipo multidisciplinar. Expertos
en seguridad técnica, organizativa y
legal
• Líneas de trabajo: Visión holística,
potenciar colaboración intercambio
de información con principales
Certs , FF y CC S. E. Y Asociados TIC
Ámbito de actuación
•Administración Pública CV
•Ciudadanos
•PYMES
13. LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE
SEGURIDAD
LINEA 2: PLAN DIRECTOR DE SEGURIDAD
LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD
• Gestión de Incidentes de Seguridad
• Servicios proactivos de seguridad
• Auditorías de Seguridad: Plan
• Seguridad en el ciclo de vida de los proyectos GV LOGOS- Seg. Requisitos.
• Análisis de riesgos y plan de continuidad
• Análisis estado de Seguridad de la Organización.
• Confección del Plan Director de Seguridad
• Elaboración de la Política de Seguridad de la GVA. Desarrollo Política
• Plan de formación 2012 y 2013
• Adecuación al ENS (Fecha tope 30/01/2014)
• Revisión y adecuación LOPD al nuevo modelo de responsabilidades
GESTIÓN GLOBAL
SEGURIDAD
PLAN
DIRECTOR
Cumplimiento
NORMATIVO
13
AVANCE DEL PLAN
FORMACIÓN
RESPONSABLES
POLÍTICA
14. Gracias por su atención
Carmen Serrano Durbá
serrano_car@gva.es
Jefa de Servicio de Seguridad
Dirección General de Tecnologías de la Información
CONSELLERIA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA
C/ Miguelete, 5, entresuelo
46001-Valencia
14