1
Sevilla, 11 de mayo de 2012
Seguridad TIC en Seguridad TIC en el el
Servicio Andaluz Servicio Andaluz de Empleo de Empleo
((Experiencia Práctica)Experiencia Práctica)
2
Control de versiones
Versión Fecha Comentario Autor
0.5 02/05/2012 Aurelio Holgado Ramos
1.0 07/05/2012 Aurelio Holgado Ramos
2.0 09/05/2012 Aurelio Holgado Ramos
3
Índice de Contenidos
1. La Organización
2. ¿De dónde venimos? (antes de 2011)
3. Primeros Pasos
4. Situación Actual
5. ¿Y ahora qué…?
5
Servicio Andaluz de Empleo
DIRECCIÓN DIRECCIÓN GERENCIA DEL SAEGERENCIA DEL SAE
DIRECCIÓN GENERAL DE EMPLEABILIDAD Y FORM.
PROFESIONAL
D.G.AUTÓNOMOS,IGUALDAD Y FOM.EMPLEO
Coordinación de calidad y gestión del conocimiento
Coordinación de planificación y desarrollo
normativo
SV. Prospección del mercado de trabajo
SV. Iniciativas y Prog. comunitarios
Sv. Orientación Y Atención Demanda
Sv. Intermediación En El Empleo Sv. Proyectos e iniciativas
emprendedoras
Sv. Análisis y Planificación de la Formación para el
empleo
Sv. Promoción Del Desarrollo Local
Sv. Gestión Y Programación F.P.O Sv. Centros, Programas Formativos y Formación
Continua
Sv. Programas de Empleo
Sv. Incentivos a la contratación
9
Hasta enero de 2011 el Servicio Andaluz de Empleo como tal, no había abordado ningún proyecto ni realizado ninguna tarea en relación a la Seguridad y la Protección de Datos propiamente dicha.
Existe Documento de Seguridad realizado desde la Consejería de Empleo, incluyendo algunos de los ficheros del SAE, pero no de forma organizada
Se hace una Auditoría LOPD en 2007 en CEM y SAE La Seguridad no es en absoluto algo prioritario. En SAE lo
importante es poner las bases de los sistemas de información No obstante, se realizan entre 2007 y 2010 dos sesiones de
sensibilización en materia de Protección de Datos. Se empiezan a tener en cuenta las cláusulas de Protección de
Datos en las distintas aplicaciones y programas de la casa. A nivel de Sistemas del SAE se empiezan a procedimentar los
procesos, así como a recoger y categorizar las incidencias y las peticiones.
La situación en la Fundación adscrita al SAE es distinta. En Faffe hay dinero, estructura, tiempo y personal dedicado…
En la antigua Faffe Existía Comité de Seguridad, Política de Seguridad, Normas de uso de los Sistemas de Información, Documento de Seguridad aprobado, revisado y auditado, Centro de Soporte…
¿De dónde venimos?
13
Primeros Pasos
• Se desarrolla una Normativa de Explotación de los Sistemas de Información del SAE, creando el Área de Calidad y Seguridad
• Se nombre responsable de Seguridad, por primera vez
• El Mayo de 2011 en SAE se constituye en Agencia de régimen especial y se inicia la integración del personal faffe, así como la migración de los Sistemas de la extinta faffe a los Sistemas del SAE
• Se ponen las bases de la migración de antiguas aplicaciones en uso que actualmente se encuentran en el CPD de CEM
• Se redacta el primer borrador de Orden con Política de Seguridad y de creación de los Comités de Seguridad de CEM y SAE
• La Oficina de Proyectos establece Procedimientos de Gestión de Proyectos TIC, incluyendo estándares de seguridad en materia de desarrollo.
• Desde Sistemas se trabaja la gestión de incidencias centralizada y categorizada, basado en un Centro de Atención al Usuario centralizado
18
Situación Actual• A finales de 2011 se ha realizado el Plan de Adecuación al Esquema
Nacional de Seguridad de manera que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
• Se han establecido hasta 53 líneas de acción para ejecutar entre 2012 y 2014 encaminadas a minimizar los riesgos de la organización.
• En relación a la LOPD, en lo que va de 2012 se ha elaborado el Documento de Seguridad del Servicio Andaluz de Empleo, a fin de dar cumplimiento a la normativa de protección de datos de carácter personal, quedando a expensas de aprobación por parte de la Dirección Gerencia.
• Asimismo, se está procediendo a la actualización y regularización de los ficheros con datos de carácter personal publicados en la Agencia Española de Protección de Datos, dándolos de alta con la titularidad del Servicio Andaluz de Empleo.
• Además del propio Plan de Adecuación al ENS, se está realizando un Análisis de Riesgos de algunos servicios críticos en colaboración con CEIC
• En materia de Desarrollo, se intenta que todo lo que se elabore nuevo se haga con una metodología adaptada a los estándares.
• Colaboración con AndalucíaCERT en la detección de incidentes de Seguridad
21
¿Y ahora qué…?
sino más bien porque susdetractores terminanmuriendo y las
no triunfa convenciendo a sus detractores y
22
Retos de Futuro…
• Creación del Comité de Seguridad, con la venia de…
• Elaboración de una Política de Seguridad propia o heredada. La falta de respaldo institucional no puede hacernos parar…
• Adecuación real al Esquema Nacional de Seguridad
• Cursos de Sensibilización (Personal SAE / Personal TIC)
• Definición de las políticas de seguridad del Área de Explotación de Sistemas de Información: Gestión de Copias de Respaldo, monitorización, fortalecimiento del entorno, gestión de vulnerabilidades, gestión de segmentación y filtrado de red…
• Gestión de Usuarios de aplicaciones centralizada y coherente.
• Tratamiento especial de Datos de Discapacidad y en general de los datos de nivel alto
23
En la NASA, hay un póster de una abeja, el cual
dice así: "Aerodinámicamente el cuerpo de una
abeja no está hecho para volar, lo bueno es que la
abeja no lo sabe".
En conclusión, no se nos puede olvidar que en el SAE trabajamos para que las personas puedan trabajar…
No se olviden de los objetivos.