Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
BoletındivulgativodeInnovacionyNuevasTecnologıasPublicadoporelGabineteTecnológico
DireccióndeInformáticayTelecomunicaciones
Todoslosejemplaresestandisponiblesenwww.euskadi.eus/informatica Enviadvuestrassugerenciasa:[email protected]
L a unica forma que tiene una entidad para mejorar el servicio queofreceasusclientesesanalizandosusprocesos.Paraello,primeroesnecesario saber que procedimientos tiene y como los tieneorganizados.Coneseobjetivo,elGobiernoVascoestaimplantandoen
todos los Departamentos y Organismos Autonomos un Modelo de GestionPublicaavanzada,conocidocomoAurrerabide.
Con esta metodologıa se pretende que las Direcciones y Serviciosdepartamentalesdispongandeunaherramientaquelesayudeaconocercualessu situacion, ydeesta formapuedanoptimizar aquellos aspectos susceptiblesde ser perfeccionados. Gracias a ello, se podra ofrecer unmejor servicio a laciudadanıa.Alolargodelprimertema,portanto,haremosunaintroducciondeestametodologıa.
Dentrodelsegundotema,que llevaportıtulo«FormacióndesdeelpuntodevistadelENS»,osadelantaremosloscontenidosdelaformacionqueenel ambitodelaseguridadinformaticaestapreparandoelGobiernoVasco.Setratadecursosquevandirigidosatodoelpersonalynospermitirareducir lasconsecuenciasdeunataque informatico,asıcomosaberporquees importanteconcienciaratodaslaspersonasdelosDepartamentosyOrganismosAutonomos,etc.
El apartado «Alboan» lo hemos dedicado en esta ocasion a los Estandarestecnologicos del Gobierno Vasco, pieza fundamental para de inir lascaracterısticas tecnicas de la infraestructura horizontal que soporta laAdministracionElectronicavasca,lospuestosdetrabajo,etc.
Porultimo,ytraslosrecientesataqueshabidosporelmalware«WannaCry»,yla gran repercusion que ha tenido tanto para las personas responsables de laciberseguridad y para la ciudadanıa en general, hemos querido dedicar elapartado «Breves» a dos temas directamente relacionados con la seguridadinformatica. En el primero de ellos os presentamos una nueva version de laaplicacion«CONANmobile»y,enelsegundodeellos,oshablamosdeunaspectonovedosodelaciberseguridadysurelacionconlamujer,unanuevaperspectivaque recientemente ha sido analizada en el «IForoInternacionaldeGéneroyCiberseguridad»,organizadoporIncibe.
ÍNDICE
Inicia va
Aurrerabide
Pág. 2
Formación desde el
punto de vista del
ENS
Pág. 6
Alboan:
Revisión y
actualización de los
Estándares
tecnológicos del
Gobierno Vasco
Pág. 10
Breves:
CONAN mobile
Género y
Ciberseguridad
Pág. 12
60 URRERA! junio 2017
2 junio 2017
bole n AURRERA! nº 60
Inicia va Aurrerabide
Todaorganizaciondebeestarconstantementeevolucionandosusprocesosparapoderofrecercadadıaunmejorservicioasuclientelayseguirsiendocompetitiva frentealrestodeempresas.EnelcasodelasAdministracionesPublicas,ocurreexactamentelomismo, ya que tambien ellas deben revisar sus procesos internos para mejorar elservicioqueseofrecealasociedadalaquepertenecen.
E nmuchas ocasiones, a la hora dedescribir el funcionamiento de laAdministracion Publica, se habladefaltadee icaciaye iciencia,de
poca lexibilidadydelentitudparaadaptarsealoscambiosrequeridosporlaciudadanıa.
YaenelPlandeInnovacionPublica(PIP)delGobierno Vasco, elaborado por la Direccionde Atencion a la Ciudadanıa, Innovacion yMejora de la Administracion (DACIMA), seindicaba que «LaAdministraciónPúblicaesuna pieza clave en una sociedad avanzada.Una Administración Pública moderna, ágil ye iciente es determinante para lograr unasociedadconmayorescuotasdebienestarydecalidad de vida. Necesitamos, pues, unaAdministración Pública capaz de respondercon e icacia a las demandas que nuestrasociedad, compleja, cambiante y diversa, leplanteaencadamomento».
Conobjetodemejorar los serviciospublicosqueseofrecena lasociedadvasca,enelPIPse incluyo un Eje cuyo in era implantar unModelo de Gestión Avanzada en elGobiernoVascoysusorganismosautonomos,elcualrecibioelnombrede«Aurrerabide».
Segun laplani icacion inicial,estabaprevisto
queenunperiododetresanos(entrefebrerode 2014 y enero de 2017) todas lasDirecciones del Gobierno realizasen laformacion‐accioncorrespondiente.
Enestosmomentos,todoslosDepartamentosyOrganismosAutonomosdelGobiernoVascoestanparticipando.
Amododereferencia, indicarqueenlastresconvocatorias de 2014, 2015 y 2016 hanparticipado un total de 110 Direcciones,Organismos Autonomos o Delegaciones.Directamente han participado en el proceso685 directores/ as, delegados/as, laspersonas responsables de servicio yresponsables de area, y mas de 1.000personasestanimplicadasdeformaindirecta.
EstainiciativadelaViceconsejerıadeFuncionPublica(incluidaenelPIP2014‐2016),esunproyectoestrategicoparaelGobiernoVasco1,que tiene su continuidad en el nuevo PlanEstrategico de Gobernanza e InnovacionPublica2020.
¿CÓMO FUNCIONA AURRERABIDE?
Cabe destacar que una de las principalescaracterısticas de Aurrerabide es que es unmodelopropio,disenadoydesarrolladoporpersonasdelGobierno,pensadoparanuestraAdministracion, que se centra mas en lamejora del proceso en sı, que en la parteformaldelmismo.
Al igual que otras muchas Direcciones, laDireccion de Informatica yTelecomunicaciones (DIT) ha participado enla iniciativa Aurrerabide. A lo largo de losproximos apartados, y por si puede ser deutilidad, contaremos la experiencia y tareasllevadas a cabo por la DIT dentro de estainiciativa.
1Proyectoestratégico:ElGobiernoVascohapublicadolasiguientenormativarelacionadaconAurrerabide:
AcuerdodeConsejodeGobiernosobreelPIP2014‐2016(17/junio/2014)
AcuerdodeConsejodeGobiernosobreAurrerabide(14/octubre/2014)
AcuerdodeConsejodeGobiernosobreEvaluaciones,PlanesdeConsolidacionyMejorayReddeColaboradores(7/junio/2016)
ProyectodeLeydeOrganizacionyFuncionamientodelSectorPublicoVasco
nº 60 bole n AURRERA!
junio 2017 3
El primer paso, tal y como ocurre encualquierprocesodemejoracontinuadeltipoPDCA2, ha consistido en realizar una
autoevaluaciónparaconocercualesnuestrasituacion respecto al Modelo de GestionAvanzadaquesirvedebase:identi icandolospuntos fuertes, las debilidades, posiblesoportunidades, ası como las amenazas a lasque tendremos que hacer frente. Asimismo,se ha ido elaborando, entre otrosdocumentos, el Catalogo de Servicios denuestra Direccion. Todo ello para concretarencompromisosespecı icosquedeberanserdesarrolladosposteriormente.
Una vez aprobado, el proyecto se ejecutarıaporfases.
¿PARA QUÉ SIRVE?
SisellevanacabolostemasexpuestosenlasdistintassesionesqueincluyelaMetodologıa,ello nos permitira transformarnos en unaadministracion tal y como nos quiere laciudadanıa: mas transparentes, cercanos,lexibles, corresponsables, participativos,innovadores, que trabajemos con objetivosqueseevaluen,yqueseamosmase icientes,esto es, que hagamos un mejor uso de losrecursospublicos.
Para ello, el Modelo presta una atencionespecialatemasrelacionadoscon:
1.Estrategia: plani icacion de objetivos,alineados con estrategia global delGobierno.
2.Servicios: gestion de servicios para querespondanaloquelaciudadanıademanda.
3.Personas: gestion de personas encondicionesquepotenciensucompromiso.
4. Innovación: creacion de contexto parainnovar y gestionar las ideas y proyectosinnovadores.
5.Sociedad:promociondelbuengobiernoyla eticapublica,del trabajocolaborativoyasuncion de la responsabilidad con la
2PDCA:elCiclodeDeming(deEdwardsDeming),tambienconocidocomocırculoPDCA(delinglesPlan‐Do‐Check‐Act,esdecir,Plani icar‐Hacer‐Veri icar‐Actuar)oespiraldemejoracontinua,esunaestrategiademejoracontinuadelacalidadencuatropasos,basadaenunconceptoideadoporWalterA.Shewhart.
[fuente:Wikipedia]
4 junio 2017
bole n AURRERA! nº 60
sostenibilidad, la igualdad y lanormalizaciondelusodeleuskera.
6.Resultados:seguimientoderesultadosenrelacionconcadaunodelosejes.
EGITEN IKASI
Tal y como hemos comentado, Aurrerabidepretende ser lo mas practico posible. Paraello se basa en un proceso de formacion‐accionyacompanamientocontinuoalahorade implantar los elementos basicos delModelo de Gestion en cada una de lasDirecciones o Servicios participantes, y lohace a traves del proyecto conocido como«Egiten Ikasi» («Aprender haciendo», encastellano).
Esteprocesosecentraenayudarapensaryescribir en grupo sobre buenas formas dehacer que se puedan aplicar con el resto decompaneros y companeras. Con ello, seimpulsaeldisenocolaborativo.
Tal es ası que para trabajar en el diseno de
«EgitenIkasi» se constituyo en su momentounGrupodeTrabajo con la participacion derepresentantesdelaDirecciondeAtencionala Ciudadanıa e Innovacion y Mejora de laAdministracion(DACIMA),delInstitutoVascode Administracion Publica (IVAP), y de laDirecciondeFuncionPublica.EUSKALIT3,porsu parte, aporto su experiencia en laorganizacion y desarrollo de los cursosKnowInndeformacion‐accion.
Posteriormente, se contrasto la estructura yel contenido en sesiones con Direcciones deServicio,ResponsablesdeServicioypersonaltecnico, que hicieron aportaciones quesirvieronparamejorarlapropuestainicial.
En el caso de la Direccion de Informatica yTelecomunicaciones, al igual que el resto deDirecciones participantes, ha participado enuna formacion basada en el aprendizajecompartido y en talleres practicos. Ası,durante un ano se han organizado 10sesiones(de5horasdeduracioncadaunadeellas) con los Directores/as y con laspersonas responsables de cada Servicio,
3Euskalit:eslaFundacionVascaparaelFomentodelaCalidad,quefuecreadael15dediciembrede1992.
Esunafundacion,propiciadaporelGobiernoVasco,cuyoobjetivoespromoverlaGestionAvanzadaenlasorganizacionesvascasycontribuiramejorarsucompetitividad.
http://www.euskalit.net
RED DE COLABORADORES
Y COLABORADORAS
Las personas que actúan
como «colaboradoras» son
una de las piezas clave de
este Modelo de Ges ón, ya
que se trata del agente ac vo
que permi rá impulsar el
cambio cultural necesario
para alcanzar el éxito de esta
inicia va.
Es importante destacar que
este colec vo está compuesto por personas
del propio Gobierno Vasco que, coordinadas
por el Equipo Aurrerabide de
la Viceconsejería de Función
Pública, trabajan en red para
apoyar y extender esta nueva
cultura de ges onar los
procesos en sus unidades
organiza vas (Servicios,
Direcciones...) y en el resto
del Gobierno Vasco. Así
mismo, colaboran con otros
compañeros/as en la
realización y contraste de
evaluaciones de ges ón en
otras unidades organiza vas de otros
Departamentos y Organismos Autónomos.
«Aurrerabide pretende ser un
modelo o programa para ges onar
mejor los servicios que ofrece el
Gobierno Vasco a la ciudadanía.»
nº 60 bole n AURRERA!
junio 2017 5
acompanadas por una persona especialista,quehaactuadocomo«entrenadora».
Enesassesiones...
Se ha explicado las caracterısticas delmodelo
Se ha formado en herramientasrelacionadasconlabuenagestion.
Sehancomentadoexperienciasdeexito.
Sehafacilitadoestandares
Se lesha tutorizadoparaqueelaboren,yadentrodesusdireccionesyentresesiones,la documentacion basica que les deberaservir en su trabajo posterior. Comopueden ser, entre otros, los siguientes«entregables»: el Catalogo de servicios, elMapa de procesos, las Fichas de losprocesos operativos y la Plani icacionbasicaadosanos.
Asimismo, la DIT ha hecho uso de unaplataforma informatica (conocida con elnombre de «Txoko de Aurrerabide») para
facilitar la carga y descarga de los distintoscontenidos (documentos), la resolucion de
dudas por parte de la persona queactuado como facilitador/a y larelacion con el resto de personasparticipantes.
FASES Y DESARROLLO
Dado que se trata de un procesocontinuo, la metodologıa incluye unaseriede fasesy tareasquehayque irrealizando,comosonlassiguientes:
Elaboracion o actualizacion dela Memoria «Eginez Gara» («Haciendosomos»,encastellano),quereunetodoslosdocumentos inalesdeltrabajorealizado.
Autoevaluacion(porpersonaldelaunidadorganizativa)
Cumplimentacion de los cuestionariosdeevaluacion
Priorizacion para concretar areas deconsolidacionymejora
ElaborarelPlandeConsolidacionyMejora
DE CARA A FUTURO
Con vistas al futuro, Aurrerabide plantea,entreotrosobjetivos,extendersuModelodeGestion a la administracion del sectoreducativo, sanitario y al resto de laadministracion institucional y del sectorpublico, ası como a todas aquellas
administracionespublicasquelosoliciten.
En la actualidad, los responsables deAurrerabide y el equipo de personascolaboradorasestanencontactoconotrasentidades4 (Diputaciones Forales deGipuzkoa y Bizkaia, Asociacion deMunicipios Vascos [EUDEL],Ayuntamiento de Vitoria‐Gasteiz y Q‐epea)paraseguirextendiendoelModelo.
En de initiva, Aurrerabide pretende serun modelo o programa para gestionarmejorlosserviciosqueofreceelGobiernoVasco a la ciudadanıa y, como cualquierotro Modelo de mejora, requiere de unproceso continuo para seguir mejorandonuestrosprocesosinternos.
4Entidades:
DiputacionForaldeGipuzkoa
www.gipuzkoa.eus
DiputacionForaldeBizkaia
www.bizkaia.eus
AsociaciondeMunicipiosVascos(EUDEL)
www.eudel.eus
Ayto.deVitoria‐Gasteiz
www.vitoria‐gasteiz.org
ParamasinformacionpodeisponerosencontactoconelEquipoAurrerabidedelaViceconsejerıadeFuncionPublicaenelsiguientecorreoelectronico:
Oconsultandolainformacionquepublicanenlapaginawebdelproyecto:
http://www.euskadi.eus/gobierno‐vasco/innovacion‐publica‐mejora‐administracion/gestion‐avanzada‐aurrerabide/inicio/
6 junio 2017
bole n AURRERA! nº 60
E lartıculo15.«Profesionalidad»delENS,ensuapartadosegundo,diceque «el personal de lasAdministracionesPúblicas recibirá
la formación especí ica necesaria paragarantizar la seguridadde las tecnologíasdela información aplicables a los sistemas yserviciosdelaAdministración».
CONCIENCIACIÓN Y FORMACIÓN
Esta claro que la concienciación yformación del personal que trabaja en lasAdministraciones Publicas es de vitalimportancia para garantizar la seguridad delos sistemas, servicios, yde losdatosque semanejan, y, por ende, crear la con ianzanecesariaparaconlaciudadanıayempresas,de tal modo que se incentive el uso de losmedios telematicos en sus gestiones con lasAdministraciones.
Todaslaspersonasexpertascoincidenenquelasproteccionesenelcampodelaseguridad(cortafuegos, software antivirus, iltrosantiSpam,sistemasdedeteccionyprevencionde intrusiones…) son insu icientes ante loserrores humanos. Como ya se apunto en elanteriorboletınAurrera!(nº59,demarzode2017) «laconcienciación,lautilización debuenas prácticas de uso, y el sentidocomún sonlasmejoresarmasparadefenderseante los ataques que recibimos (las personasdelincuentes cibernéticas utilizan técnicas deingenieríasocialparaperpetrarsusataques)»,a todo esto hay que anadir, junto con las«armas» mencionadas, la formaciónadecuada, y, de este modo, conseguiremosunaprotecciontambienadecuada.
Un caso real: el de la personaque recibe ensu buzonde correo corporativo unmensaje,de un remitente que desconoce, sobre un
asuntoconelquenotienerelacionalguna,yque incluye un enlace (link) o archivosadjuntos, dentro de un mensaje que puedeestarmalredactadooconfaltasdeortografıa,conunasuntocomo,porejemplo, «ustedeselganadordeunpremio…», «tieneunafactura,pincheelsiguienteenlace…», «harecibidounpaquetedecorreos…», etc.; nuestro sentidocomundesaconsejaqueestetipodecorreosseanabiertos,ymuchomenosquevayamosalos enlaces que se indican, o abramos losarchivos adjuntos. Siempre que recibamoseste tipo de correos u otros que seansospechosos, lo mas adecuado es avisar anuestroservicio informatico,oalserviciodeCentro de Atencion a personas Usuarias(CAU5),paraque tomencartasenelasunto,y este sea tratado como un incidente deseguridad. Los ataques de ransomware6suelen iniciarse en las organizaciones atraves de correos electronicos como el quehemosexplicadoenlaslıneasanteriores.
PROGRAMA DE FORMACIÓN PROPIO
DesdeGureSeK7(GureSegurtasunKudeaketa,proceso de gestion de seguridad de lainformacion del Gobierno Vasco) se estade iniendo y redactando un programa
Formación desde el punto de vista del ENS
El Esquema Nacional de Seguridad (ENS) es un Real Decreto (RD 3/2010, de 8 deenero) que obliga a que el personal de las Administraciones Publicas reciba unaformacionadecuadadetalmodoquesegaranticelaseguridaddelastecnologıasdelainformacion quemanejan los Sistemas de Informacion, para que estos ultimos estenprotegidos.
5CAU:CentrodeAtencionapersonasUsuariasdelosSistemasdeInformaciondelGobiernoVasco,accesibleatravesdeltelefono440.
6Ransomware:(delinglesransom,«rescate»,yware,porsoftware).Esunsoftwareoprogramainformatico(deltipomalware)quecifradeterminadosarchivosocarpetasimpidiendoquesepuedanvolverausar.El inultimodeestemalwareesconseguirdineroatravesdeunpagoelectronico,gene‐ralmenteenBitcoins(monedavirtual),aunquerealizandoestaaccionnohaygarantıasdequepodamosrecupe‐rardichosarchivos.
7GureSeK:SistemadeGestiondelaSeguridaddelaInformacion(SGSI)delGobiernoVasco.
UnSGSI«esunconjuntodeprocesosquepermitenestablecer,implementar,mantenerymejorardemaneracontinualase‐guridaddelainforma‐ción,tomandocomobaseparaellolosriesgosalosqueseenfrentalaorga‐nización».(«Cómoim‐plantarunSGSIsegúnUNE‐ISO/IEC27001:2014ysuaplicaciónenelEsquemaNacionaldeSeguridad»,AENORediciones)
nº 60 bole n AURRERA!
junio 2017 7
denominado Programa de formación delSistema de Gestión de la Seguridad de laInformación del Gobierno Vasco, a traves deun documento, entroncado con la formacionreglada que se realiza desde el IVAP8, queestablecelasdirectricesaseguirpararegularlasacciones formativasydecapacitaciondelpersonal delGobiernoVasco con respecto alproceso de gestion de la seguridadcorporativa.
Acontinuacion,vamosatratardeexplicarlascaracterısticas principales de esta formacion(las acciones formativas deberán seraprobadas formalmente en los Comitésque sehan creadoen elAcuerdodeConsejode Gobierno sobre la organizacion de laseguridad del Gobierno Vasco9, aprobado el30 de junio de 2015: «Acuerdopor elque seaprueba la estructura organizativa yasignación de roles de seguridad para laadministración electrónica del GobiernoVasco»).
ALCANCE Y OBJETIVOS DE LA
FORMACIÓN GURESEK
La formacion que se establece en esteprograma compete a todas las personas quetrabajanenlosDepartamentosyOrganismosAutonomosdelGobiernoVasco.
Losobjetivosespecı icosdeesteprogramadeformacionsonlossiguientes:
Dar a conocer todos los aspectosrelacionadoscon laspolıticasde seguridad
en la utilizacion de medios electronicosrecogidasenelENS.
Dar a conocer y concienciar sobre lasobligaciones generales para las personasusuariasdelGobiernoVasco.
Aprenderaidenti icarlosriesgosalosquepuede estar sometido un sistema deinformacion(yasehanrealizado,porpartede las personas responsables, lasvaloracionesdelosservicioselectronicos)
Reconocer los aspectos basicosrelacionadosconlagestiondelaseguridadylarespuestaaincidentesdeseguridad.
Conocer losrolesdeseguridadasociadosanuestroambitodeactuacion.
MÓDULOS DE FORMACIÓN
OFERTADOS
Dispondremosdetresmodulosdeformacion:
Introduccionalaseguridad.
Formacionbasicaenseguridad.
Formacionavanzadaenseguridad.
MÓDULO DE INTRODUCCIÓN A LA
SEGURIDAD
Estemodulo de introduccion a la seguridadtienecomoobjetivos:
Conocerelmarcoregulatorioenmateriadeseguridad.
Conocer los principios generales (normas)que se deben respetar y asumir en elpuesto de trabajo como persona usuariarespecto a la seguridad de la informacion.(recogidos en el documento «Obligacionesgenerales para las personas usuarias—Gobierno Vasco», estas normas vienenderivadas de las obligaciones legalesaplicables en materia de proteccion dedatos de caracter personal—RDLOPD—yde seguridad de los servicios electronicos—ENSyMSPLATEA—).
Los contenidos de este curso seran lossiguientes:
Introduccion a la seguridad: seguridad dela informacion, garantıas de seguridad
8IVAP:eselInstitutoVascodeAdministracionPublica,esunorganismoautonomoadscritoalactualDepartamentodeGobernanzaPublicayAutogobiernodelGobiernoVasco,cuyacreacion,estructurayfuncionesseestablecenenlaLeyde16/1983,de27dejulio.UnodelostresgrandesambitosdeactuaciondelInstitutoeslaseleccionyformaciondelpersonaldelaAdministracionvasca.
Masinformacionen:
www.ivap.euskadi.eus
9AcuerdodeConsejodeGobiernosobrelaorganizacióndelaseguridaddelGobiernoVasco:siquereissaberlasobligacionesquetenemoscomoentidadenelambitodelaseguridaddelainformacion,documentacionquedebemosprepararycomoestaorganizadalaseguridadenelGobiernoVasco,entreotrosaspectos,podeisconsultarelboletınAurreranº56(publicadoenjuniode2016),yenconcretoelartıculotitulado«PolíticadeSeguridaddelaInformación(PSI)».
8 junio 2017
bole n AURRERA! nº 60
DICAT (Disponibilidad, Integridad,
Con idencialidad,AutenticidadyTrazabilidad),Esquema Nacional de Seguridad,legislacion respecto a la proteccion dedatosdecaracterpersonal,amenazas,etc.
Polıticadeseguridaddelainformacion.
Soportes externos de informacion:dispositivos USB, otros dispositivosexternos,utilizaciondelpapel,dispositivosmultifuncion.
El puesto de trabajo: polıtica decontrasenas (SARgune10), polıtica deescritoriolimpio,limpiezademetadatos...
MÓDULO DE FORMACIÓN BÁSICA EN
SEGURIDAD
Los objetivos de este modulo, respecto alpersonal,sonlossiguientes:
Dar a conocer unas nociones basicas delmarco regulatorioaplicable enmateriadeSeguridaddelainformacion.
Asumir, por parte del personal, unasmınimas funciones relacionadas con laseguridad como una parte mas de lastareashabituales.
Conocer la estructuray el funcionamientodeGureSeK.
Ser conscientes de las repercusiones deGureSeKenelpuestodetrabajo.
10SARgune:eselsistemadeaccesoalosserviciosdelaRedCorporativa,cuyoobjetivoesmejorarlaseguridadylacalidad,alavezquefacilitarelaccesoalosserviciosdelaRedCorporativa(correoelectronico,aplicaciones,sistemas...).Llevaimplıcitounapolıticadecontrasenasfuertedeaccesoalosequipos.
Módulo de introducción a la seguridad:
dimensiones de Seguridad DICAT
Las dimensiones de seguridad, también
llamadas garan as de seguridad, suelen ser
las siguientes:
Disponibilidad: las en dades o procesos
autorizados enen acceso a los mismos
cuando lo requieren.
Integridad: la información no ha sido
alterada de manera no autorizada.
Confidencialidad: la información ni se pone
a disposición, ni se revela a personas,
en dades o procesos no autorizados.
Auten cidad: una en dad es quien dice ser
o garan za la fuente de la que proceden los
datos.
Trazabilidad: Las actuaciones de una
en dad pueden ser imputadas exclusi‐
vamente a dicha en dad.
Para cada servicio se analizan todas las
dimensiones de seguridad que hemos citado,
asignándoles a cada una de estas dimensiones
un nivel BAJO, MEDIO o ALTO.
BAJO. Si el incidente de seguridad ene un
perjuicio LIMITADO (reducción apreciable
de la capacidad opera va para atender las
obligaciones corrientes, daño menor a los
ac vos de la organización, incumplimiento
formal de alguna ley o regulación, que tenga
carácter de subsanable, perjuicio menor a
alguna persona…)
MEDIO. Si el incidente de seguridad ene
un perjuicio GRAVE (reducción SIGNIFI‐
CATIVA de la capacidad opera va para
atender las obligaciones corrientes, daño
SIGNIFICATIVO a los ac vos de la
organización, incumplimiento MATERIAL de
alguna ley o regulación, o incumplimiento
formal NO SUBSANABLE, perjuicio
SIGNIFICATIVO a alguna persona, de di cil
reparación...)
ALTO. Si el incidente de seguridad ene un
perjuicio MUY GRAVE (ANULACIÓN de la
capacidad opera va para atender las
obligaciones FUNDAMENTALES, daño MUY
GRAVE O IRREPARABLE a los ac vos de la
organización, incumplimiento GRAVE de
alguna ley o regulación, perjuicio GRAVE a
alguna persona, de di cil o imposible
reparación…)
«La formación de este programa
compete a todas las personas que
trabajan en el Gobierno Vasco.»
nº 60 bole n AURRERA!
junio 2017 9
Laspersonasdestinatariasdeestemodulodeformacion basica, y del primer modulo deintroduccion,sonTODASlasquetrabajanenel Gobierno Vasco, siendo obligatorio larealizacion de ambos; para ello, el IVAPpondra a disposicion de las personasadscritas a losDepartamentos yOrganismosAutonomos del Gobierno Vasco, a traves desu catalogo general de cursos de formacionanual, y con la periodicidad que dichoOrganismo estime oportuno, una formacionon‐line para que todo el personal delGobierno Vasco tenga la oportunidad yobligacion de realizar. Si este modulo deformacionbasicayasehubiesecursado,yloscontenidos del curso hubiesen cambiadosigni icativamente, se debera volver arealizar.
MÓDULO DE FORMACIÓN AVANZADA
EN SEGURIDAD
Los contenidos de este modulo avanzadoseranlossiguientes:
Introduccion. Resumen de los contenidosdelmodulobasicodeseguridad.
GureSeK. El proceso de seguridad delGobierno Vasco: roles, funciones yresponsabilidadesdelproceso;actividadesdelproceso; evaluacion y seguimientodelproceso.
GureSeK.Aplicacionpractica:gestiondelaseguridad (programa de mantenimientoGureSeK,metodologıadeanalisisygestionde riesgos, procedimiento de gestiondocumental, procedimiento de gestion deincidentesdeseguridad,procedimientodeauditorıa, sistematica de mejoracontinua...) y seguridad tecnologica(requisitos mınimos de arquitectura deseguridad, polıtica de actualizacion deinfraestructuras, polıtica de deteccion yprevencion de intrusiones, plan decontinuidad…)
Estemodulodeformacionsedesarrollarademanera presencial, a partir de unaexplicacion teorico‐practica con soporteaudiovisual.
Laspersonasquedebenasistiraestemoduloformativo son aquellas cuyo trabajo esta enrelacion directa con la seguridad de lainformacion en el ambito de laadministracionelectronica.
11SCORM:SharableContentObjectReferenceModel,esunconjuntodeespeci icacionestecnicasenelambitodeaprendizajeatravesdeInternet(e‐learning)quede inenlaestructuradeloscontenidos,sucomportamientoyeldelasplataformasdeaprendizajealahoradealojardichoscontenidosydeejecutarlos.
Formación a través del CCN‐CERT
El CCN (Centro Criptológico Nacional), a través
de su web, pone a disposición de cualquier
persona, en su parte pública, dos cursos:
Esquema Nacional de Seguridad: consta de
nueve unidades o módulos con
documentación de referencia:
1. La Administración Electrónica y la
Seguridad de la Información.
2. Introducción al Esquema Nacional de
Seguridad.
3. Los requisitos mínimos de Seguridad de
Información.
4. Infraestructura y Herramientas de
Seguridad.
5. Auditorías de seguridad y Respuesta a
incidentes
6. Órganos y Organismos de referencia.
7. Categorización de Sistemas y Medidas de
Seguridad.
8. Ejercicio prác co.
9. Las Guías CCN‐STIC del ENS e Información
complementaria.
Análisis y Ges ón de Riesgos de los
Sistemas de Información: cuyo obje vo es
tratar todos los aspectos teóricos
relacionados con la ges ón y el análisis de
riesgos en los sistemas de información
(Introducción, Proceso de ges ón de riesgos,
Elementos de un análisis de riesgos, Ac vos,
Amenazas, Impacto y riesgo, Salvaguardas,
Tratamiento de los riesgos, Con nuidad de
las operaciones, y Conclusiones)
También han creado una serie de cursos
relacionados con la seguridad en su parte
privada.
Los cursos del CCN‐CERT están desarrollados
sobre el conjunto de especificaciones técnicas
denominado SCORM11.
h ps://www.ccn‐cert.cni.es/
10 junio 2017
bole n AURRERA! nº 60
ALBOAN:
Revisión y actualización de los Estándares
tecnológicos del Gobierno Vasco
L a Direccion de Informatica yTelecomunicaciones (DIT) delGobierno Vasco tiene entre suscompetencias la de actuar como
autoridad central encargada de la«observancia, control y seguimiento de losestándares», tal y como se indica en elDecreto 35/1997, de 18 de febrero, por elque se regula la plani icacion, organizacion,distribucion de funciones y modalidades degestion en materia de sistemas deinformacionytelecomunicaciones.
La de inicion de estandares es consideradauna iniciativaestratégicaynecesariaparaelGobiernoVasco,porcuantocontribuyedeforma directa a la consecucion de losobjetivos estrategicos de nuestraAdministracion,comoson,porejemplo:
Incrementar y garantizar la maximacalidad en los servicios destinados a laciudadanıayempresas
Tenderalamaximae icaciaye icienciaenlosprocesosinternosdelaAdministracion
Facilitareldesplieguedeunentornoyredcolaborativos entre Instituciones yOrganismos Publicos relacionados con elGobiernoVasco
El denominado Documento de EstandaresTecnologicos del Gobierno Vasco recoge lasespeci icacionesyrequisitostecnicosquedansoporte a los servicios desplegados por laAdministracion vasca en el ambito de lasnuevas tecnologıas, de acuerdo siempre conlosobjetivosestrategicos establecidospor elpropio Gobierno Vasco a traves de susdiferentesplanes,yquesongestionadosporla Sociedad Informatica del Gobierno Vasco,EJIE,S.A.
Para ello, el Documento de Estandarestecnologicosde ineunaseriedeestandaresoproductos, considerados corporativos otroncales, que daran soporte a los distintosSistemas de Informacion de losDepartamentos/OrganismosAutonomosdelpropioGobiernoVasco.
Dada la continua evolucion de los distintosentornos tecnologicos que soportan lainfraestructura de la AdministracionElectronica vasca, ası como las diferentesiniciativas que van surgiendo en losDepartamentos y Organismos Autonomosque la componen, se ha consideradonecesario abordar las tareasnecesariaspararevisar y actualizar el contenido de losEstandares tecnologicosdel Gobierno Vasco,siempre con la idea dedar una adecuadarespuesta(desdeelpuntodevistadelaintegracion,calidad y seguridad) atodaslasnecesidadesquese plantean, ası comopoder establecer el marco tecnologico quedebesersoportadoenlosproximosanos.
Por todo ello, y con objeto de cumplir loestablecidoenelDecreto35/1997, laDIThalanzado una iniciativa para proceder a la
ALB
OA
N
«La definición de
estándares es
considerada una
inicia va
estratégica y
necesaria para el
Gobierno Vasco»
nº 60 bole n AURRERA!
junio 2017 11
Una de las novedades que van a incorporaren esta nueva edicion los Estandarestecnologicosesquevamosadejarde lado laidea de «DOCUMENTO» y pasaremos todosloscontenidosaunformatode«FICHAS»queestaranaccesiblestambienenlaweb,locualpermitira adoptar un diseno «webresponsive», facilitando de esta forma elaccesoyconsultadesdecualquierdispositivo(ordenador, tableta, smartphone…). Ademas,gracias a los «links» o enlaces que seincluiran en cada icha, podremos ver larelacion existente entre un estandar y otro,ası como su equivalente con las normasinternacionales (ISO...), fecha en la que hasidoactualizadalainformacion,etc.
LOGOTIPO
Una vez actualizada la informacion ocontenidodelas ichas,seabordotambienlatareadedisenarun logotipoque identi icasea los Estandares Tecnologicos y a toda ladocumentacionrelacionadaconellos.
Ellogotipo inalmenteseleccionadotienelassiguientescaracterısticas:
Laletra«E»harıareferenciaa«Euskadi»yalospropios«Estándares».
Simboliza la integracion y conexionexistente entre los distintos contenidos(estandaresyproductos)
Representa laseguridad,robustezyuniondeloscontenidos.
El color oscuro (gris oscuro) es el colorasociadohabitualmentealatecnologıa
El color azul, por su parte, representa laseguridad y la iabilidad, y se asimilaademas con el azul de laweb corporativaactual.
Si bien el trabajo de actualizacion hainalizado, esto no signi ica que lainformacion que se publique sea ija oestatica,yaquegraciasalaestructuraquesele ha dado (mediante ichas), se podraactualizar cualquier dato de una manerarapiday lexible.
revision y actualizacion de los EstandarestecnologicosdelGobiernoVasco.
DEL DOCUMENTO A LA WEB
Hasta ahora, toda la informacion referida alos Estandares tecnologicos estaba incluidaen un documento denominado «Documentode Estándares tecnológicos», el cual seestructuraba en un documento principal yuna serie de Anexos que lo complementan,todoelloaccesibleenlawebdelaDIT.Dichosanexoseranlossiguientes:
1.ModelodeInterconexionconJASOySARA
2. EstandarestecnologicosPLATEA
3. CatalogodeEstandaresenel ambitode laeAdministracion
4. PolıticadeFirmayCerti icados
5.Metodologıadegestiondelcambio
6.Directricesdedesarrollo
7. Formatosadmitidosdedocumentos
8. Versiones actualizadas de los productos /tecnologıasde inidas
9. EstandaresenelambitoFLOSS
Mediante la iniciativa anteriormentemencionada, se han llevado a cabo lostrabajos necesarios para revisar y actualizarla informacion recogida a dıa de hoy comoEstandarestecnologicos,asıcomoadaptarloaunformatoweb.
Paraello,yalolargodelasultimassemanas,la DIT, con la colaboracion de las personasresponsables de cada tema en EJIE, se haencargado de revisar y actualizar loscontenidos del documento principal y susanexos.
ALB
OA
N
«Una de las
novedades de
esta edición es
que se ha
pasado del
formato
DOCUMENTO al
formato FICHA»
[+info]:
WebdelosEstandares
Tecnologicosdel
GobiernoVasco
http://
www.euskadi.eus/
informatica
(apartado
«Estándares
tecnológicos»)
CONAN mobile
L aO icinadeSeguridaddelInternauta(OSI)deIncibe(InstitutoNacionaldeCiberseguridad),uno de cuyos objetivos es reforzar lacon ianzadelaspersonasenelambitodigital
a traves de la formacion en ciberseguridad, pone adisposicion del publico en general una herramientagratuita para analizar y proteger dispositivos moviles(smartphone, tablet…) que tengan instalado el sistemaoperativoAndroid(version2.2osuperior).
Estaherramientaoaplicacion(decuyaprimeraversionyaosinformamosenelboletınAurreranº 49) se puede descargar desde latienda de GooglePlay y te permiteconocer el nivel de seguridad de tudispositivo Android a traves de unanalisis del mismo (se requiere teneraccesoaInternet).
Elresultadodelanalisisindicaelestadoglobal de seguridad del equipoanalizado: EN RIESGO, REQUIERE
ATENCIÓN,CORRECTOyPENDIENTE;ysedivideasuvezencincoapartados:
1. Con iguracion (si tiene problemas o requiereatencion,enfunciondelosresultadosdelanalisisdelsistemaoperativo)
2.Aplicaciones (analisisdepeligrosidadde lasaplicacionesinstaladas)
3. Permisos (categorizadosporaltos,mediosybajos; asociados a los permisos que se hanconcedidoalasaplicacionesinstaladas)
4. Servicio proactivo (alerta sobre eventos yconexiones que realizan las aplicaciones instaladas:conexiones WiFi inseguras, llamadas y mensajes anumerosdetari icacionespecial...)
5. ConsejosOSI(paramejorarlaseguridaddelterminalmovil,seconectadirectamenteconlapaginawebdeIncibe).
Web:https://www.osi.es/es/conan‐mobile
60 junio 2017
Género y Ciberseguridad
A l hilo de la gran repercusion que ha tenidorecientemente el ataquemasivo sufridopormuchas companıas e instituciones dedistintos paıses a manos del ya famoso
malware«WannaCry», mucha gentesehadadocuentadelaimportanciaquetienelaciberseguridad.
Son muchos los aspectosrelacionados con la seguridadinformatica que hay que tener encuenta frente a estas amenazas,como pueden ser, entre otros, lalabordeconcienciacionquehayquehacerconlosusuariosyusuariasdeunaentidadparaevitarlosataques,y tener en cuenta las perdidaseconomicasquenospuedeocasionarunvirusomalwaredeestetipo,porejemplo.
Sin embargo, existeotra vertienteopuntodevistaquetambienconvienetenerencuenta,setratadelarelacionque existe entre Ciberseguridad y la perspectiva deGenero.
A este respecto, Incibe (Instituto Nacional deCiberseguridad)acabadeorganizarenLeon(losdıas5y6 de junio) el «I Foro Internacional de Género y
Ciberseguridad», donde se hananalizado varias vertientes de laseguridad informatica y el tema degenero, como pueden ser: laimportancia de la diversidad degenero en el ambito tecnologico y la
ciberseguridad, o las acciones contra la violencia degenero en el ambito digital, ası como los delitos degeneroenlared.
Podeis consultar la relacion de participantes y lasponenciasenlawebdeIncibe.
Paginaweb:https://www.incibe.es
¡¡BREVES!!