NUEVO MODELO DE SEGURIDAD TIC EN LA GENERALITAT VALENCIANA Gestión Integral de la Seguridad en la GVA

Carmen Serrano Durbá

Jefa de Servicio de Seguridad

Dirección General de Tecnologías de la Información

1

• CONTEXTO

• OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD

• PLAN OPERATIVO DE SEGURIDAD

• 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV

• POLÍTICA DE SEGURIDAD

• ORGANIZACIÓN DE SEGURIDAD

• PLAN DE DESPLIEGUE

• AVANCE PROYECTOS PLAN

2

NUEVO MODELO DE SEGURIDAD TIC EN LA

GENERALITAT VALENCIANA

● MARCO ORGANIZATIVO: MODELO CENTRALIZADO DE GESTIÓN TIC

Concentración de competencias

Centralización Y Reorganización de recursos

Consolidación de equipos y tecnologías

● PROCESO

● MARCO ESTRATEGICO: ESTRATEGIA TIC 2011-2015

Racionalización TIC Innovación GVA Sociedad digital

3

CONTEXTO

Objetivos Prioritarios

OBJETIVOS

CUMPLIR LA LEGISLACIÓN VIGENTE

GESTIONAR LA SEGURIDAD

OPTIMIZAR LOS RECURSOS

SINCRONIZARNOS EN EL PROCESO

DE CENTRALIZACIÓN Y

CONSOLIDACIÓN

VISIÓN INTEGRAL E INTEGRADORA

RETOS

CAMBIO DE MODELO

MODELO EN EVOLUCIÓN

FUNCIONALIDAD

REORDENACIÓN DE RECURSOS Y

FUNCIONALIDADES

IMPLICAR AGENTES

OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD

• Garantizar la seguridad de la información y servicios

• Garantizar los derechos de los ciudadanos

• Generar condiciones de confianza en la administración electrónica

• Cumplimiento normativo

4

LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE

SEGURIDAD

LINEA 2: PLAN DIRECTOR DE SEGURIDAD

LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD

• Gestión de Incidentes de Seguridad

• Servicios proactivos de seguridad

• Auditorías de Seguridad

• Seguridad aplicada a la adquisición, desarrollo y mantenimiento de los sistemas de información (ciclo de vida de los proyectos).

• Análisis de riesgos y plan de continuidad.

• Determinar el estado de Seguridad de la Organización. • Confección del Plan Director de Seguridad.

• Elaboración de la Política de Seguridad de la GVA. • Difusión de la Política de Seguridad de la GVA y buenas prácticas en materia de Seguridad. • Confección del Plan de Adecuación al ENS. (Fecha tope 30/01/2014) • Cumplimiento LOPD.

GESTIÓN GLOBAL SEGURIDAD

PLAN DIRECTOR

Cumplimiento NORMATIVO

PLAN OPERATIVO DE SEGURIDAD

5

2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV

6

Certificación de CSIRT-CV en ISO 27001

2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV

7 Redefinición de la ISO 27001 de la AVFGA

Gobierno Determinan los requisitos de

seguridad de la información y los servicios y datos personales

Comité de Seguridad de la Información

Responsable de la Información

Responsable del Servicio

Responsable de Ficheros LOPD

Ejecutivo Determinan las decisiones para

satisfacer los requisitos de seguridad de la información, los servicios y los

datos personales

Responsable de Seguridad

Responsable de Seguridad LOPD

Operaciones Planificar e implantar las medidas de seguridad, monitorizar y gestionar la

seguridad.

Responsable del Sistema

Administradores de la Seguridad del Sistema

Administradores de la Seguridad LOPD

E.N.S.

L.O.P.D

.

ORGANIZACIÓN DE LA SEGURIDAD

El decreto de Organización de la seguridad establece todas las responsabilidades del ENS y la LOPD y sus funciones para implantar la Gestión integral de la seguridad en la GVA.

8

Universalidad

•Una PS para toda la organización, a diferencia de otras AAPP que han optado por una PS por cada órgano superior.

•Un marco organizativo común, a excepción de Sanidad

Búsqueda de implicación de los directivos públicos

•Legitimidad mediante la aprobación de dos decretos aprobados por el Consell una orden del Conseller de Sanidad

•Responsable de la Información: CITEC (Todos los Subsecretarios presididos por el Secretario Autonómico con competencias en TI)

•Responsables de Ficheros LOPD: Subsecretarios.

•Comité de Seguridad de la Información: DGTI, SGAs, Abogacía, Responsable del sistema archivístico

Visión integrada de la Seguridad

• La Organización integra las responsabilidades de ENS y LOPD

Flexibilidad para adaptarse a una estructura en proceso de cambio

•Establece las competencias para dictar normas de desarrollo, y nombramientos.

•Se adapta a los cambios de la estructura organizativa: Modelo de responsabilidades que se replica para cada Conselleria/Entidad Autónoma

Granularidad máxima: implantación de medidas y adaptación al proceso de cambio

• Flexibilidad de nombramiento de Administradores de Seguridad

•Posibilidad de delegación de funciones de Responsables de Seguridad y Del Sistema delegados en subsistemas

Seguridad Integral

•Posibilita la adhesión a la PS a las entidades que no están en el ámbito de aplicación y a las que la DGTI presta servicios

ORGANIZACIÓN DE LA SEGURIDAD

9

10

Tareas

CONSELL/CONSELLER CSI RINFO RSERV RSEG RSIS ASS

niveles de seguridad requeridos por la información

A (7.2.c) I(7.2.c) R(11.2.a)

C(11.2.a)

niveles de seguridad requeridos por el servicio

I(11.2.d)

A(10.2.d) R(11.2.b)

C(11.2.b)

plan estratégico A

(8.3.d) R(8.3.d) I

determinación de la categoría del sistema I

(11.2.d) I

(11.2.d) A/R

(11.2.d) I

análisis de riesgos I

(11.2.e) I

(11.2.e) A/R

(11.2.e) C

aceptación del riesgo residual A(7.2.d) A(7.2.d) R(11.2.h) I(11.2.h

)

declaración de aplicabilidad I I A/R

(11.2.f) C revisar política de seguridad y organización A(8.3.f) C(7.2.f) R(11.2.l) C aprobar política de seguridad y organización A(8.3.f) R(8.3.f)

memoria anual de seguridad I(8.3.b) A(8.3.b) R(11.2.k)

aprobar normativa de seguridad A C(8.3.g) R(11.2.m) I

definición procedimientos de seguridad R

/A(11.2.n) C I

Implantación procedimientos seguridad A(13.2.

d) R

(14.2.d)

implantación de las medidas de seguridad I I C A(13.2.

b) R (14.2.a)

supervisión de las medidas de seguridad I I C A R

(14.2.b)

estado de seguridad del sistema I I I A I R (14.2.g)

planes de mejora de la seguridad A(8.3.l) R(11.2.p) C(11.2.

p)

planes de concienciación y formación A(11.2.

s) R(11.2.r) C I

planes de continuidad A(13.2.f

) C(11.2.q) R

(13.2.f)

suspensión temporal del servicio I I I C A

(13.2.c) R

(14.2.2.b)

seguridad en el ciclo de vida R/A(11.2.

g) C I

Tareas RINF RFLOP

D RSLOP

D RSEG RSIS ASLOP

D

Elaborar e implantar la normativa de seguridad A(9.2)

Recabar el consentimiento A(9.2)

Ejercicio de los derechos ARCO A(9.2) R(15.2)

Notificación al Registro de Ficheros A(9.2) R(15.2)

Elaborar un documento de seguridad A(9.2) R(15.2)

Control de accesos A(9.2)

Plan de formación A(9.2)

Aprobación puesta en marcha aplicaciones A(9.2)

Supervisar encargados de tratamiento A(9.2)

Garantizar calidad de los datos A(9.2)

Aprobar procedimiento entrada y salida soportes A(9.2)

Aprobar procedimiento asignación contraseñas A(9.2)

Aprobar procedimiento copias de seguridad A(9.2)

Aprobar medidas correctoras auditorias A(9.2)

código tipo A(7.2.e

) I R(11.2.i

) C

definir medidas de seguridad C R/A(11.

2.j) C

coordinar y controlar medidas seguridad LOPD R(12.2)

Implantar medidas ficheros automatizados

R(13.2.j)

Implantar medidas ficheros no automatizados

R(15.2.i)

Realizar las auditorias I R(11.3.f

)

RACI

E.N.S.

LOPD

11

• Centro de referencia en seguridad de la Generalitat Valenciana. ¡No sólo CERT! • Alineado con los modelos de centros internacionales • Modelo de gestión : Certificado en ISO 27001 • Nuevo catálogo de servicios mucho más centrado en la prevención • Equipo multidisciplinar. Expertos en seguridad técnica, organizativa y legal • Líneas de trabajo: Visión holística, potenciar colaboración intercambio de información con principales Certs , FF y CC S. E. Y Asociados TIC

Ámbito de actuación •Administración Pública CV •Ciudadanos •PYMES

PLAN DE DESPLIEGUE Línea 1

12

LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE

SEGURIDAD

LINEA 2: PLAN DIRECTOR DE SEGURIDAD

LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD

• Gestión de Incidentes de Seguridad

• Servicios proactivos de seguridad

• Auditorías de Seguridad: Plan

• Seguridad en el ciclo de vida de los proyectos GV LOGOS- Seg. Requisitos.

• Análisis de riesgos y plan de continuidad

• Análisis estado de Seguridad de la Organización. • Confección del Plan Director de Seguridad

• Elaboración de la Política de Seguridad de la GVA. Desarrollo Política • Plan de formación 2012 y 2013 • Adecuación al ENS (Fecha tope 30/01/2014) • Revisión y adecuación LOPD al nuevo modelo de responsabilidades

GESTIÓN GLOBAL SEGURIDAD

PLAN DIRECTOR

Cumplimiento NORMATIVO

13

AVANCE DEL PLAN

FORMACIÓN

RESPONSABLES

POLÍTICA

Gracias por su atención Carmen Serrano Durbá

serrano_car@gva.es

Jefa de Servicio de Seguridad

Dirección General de Tecnologías de la Información

CONSELLERIA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA

C/ Miguelete, 5, entresuelo

46001-Valencia 14