Upload
coiicv
View
690
Download
1
Embed Size (px)
DESCRIPTION
Ponencia: Nuevo modelo de seguridad TIC en la Generalitat Valenciana. COIICV: IX Congreso de la Ingeniería Informática de la Comunidad Valenciana.
Citation preview
NUEVO MODELO DE SEGURIDAD TIC EN LA GENERALITAT VALENCIANA Gestión Integral de la Seguridad en la GVA
Carmen Serrano Durbá
Jefa de Servicio de Seguridad
Dirección General de Tecnologías de la Información
1
• CONTEXTO
• OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD
• PLAN OPERATIVO DE SEGURIDAD
• 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV
• POLÍTICA DE SEGURIDAD
• ORGANIZACIÓN DE SEGURIDAD
• PLAN DE DESPLIEGUE
• AVANCE PROYECTOS PLAN
2
NUEVO MODELO DE SEGURIDAD TIC EN LA
GENERALITAT VALENCIANA
● MARCO ORGANIZATIVO: MODELO CENTRALIZADO DE GESTIÓN TIC
Concentración de competencias
Centralización Y Reorganización de recursos
Consolidación de equipos y tecnologías
● PROCESO
● MARCO ESTRATEGICO: ESTRATEGIA TIC 2011-2015
Racionalización TIC Innovación GVA Sociedad digital
3
CONTEXTO
Objetivos Prioritarios
OBJETIVOS
CUMPLIR LA LEGISLACIÓN VIGENTE
GESTIONAR LA SEGURIDAD
OPTIMIZAR LOS RECURSOS
SINCRONIZARNOS EN EL PROCESO
DE CENTRALIZACIÓN Y
CONSOLIDACIÓN
VISIÓN INTEGRAL E INTEGRADORA
RETOS
CAMBIO DE MODELO
MODELO EN EVOLUCIÓN
FUNCIONALIDAD
REORDENACIÓN DE RECURSOS Y
FUNCIONALIDADES
IMPLICAR AGENTES
OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD
• Garantizar la seguridad de la información y servicios
• Garantizar los derechos de los ciudadanos
• Generar condiciones de confianza en la administración electrónica
• Cumplimiento normativo
4
LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE
SEGURIDAD
LINEA 2: PLAN DIRECTOR DE SEGURIDAD
LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD
• Gestión de Incidentes de Seguridad
• Servicios proactivos de seguridad
• Auditorías de Seguridad
• Seguridad aplicada a la adquisición, desarrollo y mantenimiento de los sistemas de información (ciclo de vida de los proyectos).
• Análisis de riesgos y plan de continuidad.
• Determinar el estado de Seguridad de la Organización. • Confección del Plan Director de Seguridad.
• Elaboración de la Política de Seguridad de la GVA. • Difusión de la Política de Seguridad de la GVA y buenas prácticas en materia de Seguridad. • Confección del Plan de Adecuación al ENS. (Fecha tope 30/01/2014) • Cumplimiento LOPD.
GESTIÓN GLOBAL SEGURIDAD
PLAN DIRECTOR
Cumplimiento NORMATIVO
PLAN OPERATIVO DE SEGURIDAD
5
2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV
6
Certificación de CSIRT-CV en ISO 27001
2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV
7 Redefinición de la ISO 27001 de la AVFGA
Gobierno Determinan los requisitos de
seguridad de la información y los servicios y datos personales
Comité de Seguridad de la Información
Responsable de la Información
Responsable del Servicio
Responsable de Ficheros LOPD
Ejecutivo Determinan las decisiones para
satisfacer los requisitos de seguridad de la información, los servicios y los
datos personales
Responsable de Seguridad
Responsable de Seguridad LOPD
Operaciones Planificar e implantar las medidas de seguridad, monitorizar y gestionar la
seguridad.
Responsable del Sistema
Administradores de la Seguridad del Sistema
Administradores de la Seguridad LOPD
E.N.S.
L.O.P.D
.
ORGANIZACIÓN DE LA SEGURIDAD
El decreto de Organización de la seguridad establece todas las responsabilidades del ENS y la LOPD y sus funciones para implantar la Gestión integral de la seguridad en la GVA.
8
Universalidad
•Una PS para toda la organización, a diferencia de otras AAPP que han optado por una PS por cada órgano superior.
•Un marco organizativo común, a excepción de Sanidad
Búsqueda de implicación de los directivos públicos
•Legitimidad mediante la aprobación de dos decretos aprobados por el Consell una orden del Conseller de Sanidad
•Responsable de la Información: CITEC (Todos los Subsecretarios presididos por el Secretario Autonómico con competencias en TI)
•Responsables de Ficheros LOPD: Subsecretarios.
•Comité de Seguridad de la Información: DGTI, SGAs, Abogacía, Responsable del sistema archivístico
Visión integrada de la Seguridad
• La Organización integra las responsabilidades de ENS y LOPD
Flexibilidad para adaptarse a una estructura en proceso de cambio
•Establece las competencias para dictar normas de desarrollo, y nombramientos.
•Se adapta a los cambios de la estructura organizativa: Modelo de responsabilidades que se replica para cada Conselleria/Entidad Autónoma
Granularidad máxima: implantación de medidas y adaptación al proceso de cambio
• Flexibilidad de nombramiento de Administradores de Seguridad
•Posibilidad de delegación de funciones de Responsables de Seguridad y Del Sistema delegados en subsistemas
Seguridad Integral
•Posibilita la adhesión a la PS a las entidades que no están en el ámbito de aplicación y a las que la DGTI presta servicios
ORGANIZACIÓN DE LA SEGURIDAD
9
10
Tareas
CONSELL/CONSELLER CSI RINFO RSERV RSEG RSIS ASS
niveles de seguridad requeridos por la información
A (7.2.c) I(7.2.c) R(11.2.a)
C(11.2.a)
niveles de seguridad requeridos por el servicio
I(11.2.d)
A(10.2.d) R(11.2.b)
C(11.2.b)
plan estratégico A
(8.3.d) R(8.3.d) I
determinación de la categoría del sistema I
(11.2.d) I
(11.2.d) A/R
(11.2.d) I
análisis de riesgos I
(11.2.e) I
(11.2.e) A/R
(11.2.e) C
aceptación del riesgo residual A(7.2.d) A(7.2.d) R(11.2.h) I(11.2.h
)
declaración de aplicabilidad I I A/R
(11.2.f) C revisar política de seguridad y organización A(8.3.f) C(7.2.f) R(11.2.l) C aprobar política de seguridad y organización A(8.3.f) R(8.3.f)
memoria anual de seguridad I(8.3.b) A(8.3.b) R(11.2.k)
aprobar normativa de seguridad A C(8.3.g) R(11.2.m) I
definición procedimientos de seguridad R
/A(11.2.n) C I
Implantación procedimientos seguridad A(13.2.
d) R
(14.2.d)
implantación de las medidas de seguridad I I C A(13.2.
b) R (14.2.a)
supervisión de las medidas de seguridad I I C A R
(14.2.b)
estado de seguridad del sistema I I I A I R (14.2.g)
planes de mejora de la seguridad A(8.3.l) R(11.2.p) C(11.2.
p)
planes de concienciación y formación A(11.2.
s) R(11.2.r) C I
planes de continuidad A(13.2.f
) C(11.2.q) R
(13.2.f)
suspensión temporal del servicio I I I C A
(13.2.c) R
(14.2.2.b)
seguridad en el ciclo de vida R/A(11.2.
g) C I
Tareas RINF RFLOP
D RSLOP
D RSEG RSIS ASLOP
D
Elaborar e implantar la normativa de seguridad A(9.2)
Recabar el consentimiento A(9.2)
Ejercicio de los derechos ARCO A(9.2) R(15.2)
Notificación al Registro de Ficheros A(9.2) R(15.2)
Elaborar un documento de seguridad A(9.2) R(15.2)
Control de accesos A(9.2)
Plan de formación A(9.2)
Aprobación puesta en marcha aplicaciones A(9.2)
Supervisar encargados de tratamiento A(9.2)
Garantizar calidad de los datos A(9.2)
Aprobar procedimiento entrada y salida soportes A(9.2)
Aprobar procedimiento asignación contraseñas A(9.2)
Aprobar procedimiento copias de seguridad A(9.2)
Aprobar medidas correctoras auditorias A(9.2)
código tipo A(7.2.e
) I R(11.2.i
) C
definir medidas de seguridad C R/A(11.
2.j) C
coordinar y controlar medidas seguridad LOPD R(12.2)
Implantar medidas ficheros automatizados
R(13.2.j)
Implantar medidas ficheros no automatizados
R(15.2.i)
Realizar las auditorias I R(11.3.f
)
RACI
E.N.S.
LOPD
11
• Centro de referencia en seguridad de la Generalitat Valenciana. ¡No sólo CERT! • Alineado con los modelos de centros internacionales • Modelo de gestión : Certificado en ISO 27001 • Nuevo catálogo de servicios mucho más centrado en la prevención • Equipo multidisciplinar. Expertos en seguridad técnica, organizativa y legal • Líneas de trabajo: Visión holística, potenciar colaboración intercambio de información con principales Certs , FF y CC S. E. Y Asociados TIC
Ámbito de actuación •Administración Pública CV •Ciudadanos •PYMES
PLAN DE DESPLIEGUE Línea 1
12
LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DE
SEGURIDAD
LINEA 2: PLAN DIRECTOR DE SEGURIDAD
LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD
• Gestión de Incidentes de Seguridad
• Servicios proactivos de seguridad
• Auditorías de Seguridad: Plan
• Seguridad en el ciclo de vida de los proyectos GV LOGOS- Seg. Requisitos.
• Análisis de riesgos y plan de continuidad
• Análisis estado de Seguridad de la Organización. • Confección del Plan Director de Seguridad
• Elaboración de la Política de Seguridad de la GVA. Desarrollo Política • Plan de formación 2012 y 2013 • Adecuación al ENS (Fecha tope 30/01/2014) • Revisión y adecuación LOPD al nuevo modelo de responsabilidades
GESTIÓN GLOBAL SEGURIDAD
PLAN DIRECTOR
Cumplimiento NORMATIVO
13
AVANCE DEL PLAN
FORMACIÓN
RESPONSABLES
POLÍTICA
Gracias por su atención Carmen Serrano Durbá
Jefa de Servicio de Seguridad
Dirección General de Tecnologías de la Información
CONSELLERIA DE HACIENDA Y ADMINISTRACIÓN PÚBLICA
C/ Miguelete, 5, entresuelo
46001-Valencia 14