1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

  • View
    216

  • Download
    0

Embed Size (px)

Text of 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

  • *Implicaciones ENS y ENI

  • ndiceENSENIExperiencias ENS y ENI en la URV

  • ENS IRD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin ElectrnicaDerivado de la ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios PblicosObjetivo: establecer los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permitan una proteccin adecuada de la informacin, garantizando el derecho de los ciudadanos a relacionarse electrnicamente con la Administracin de forma segura.

  • mbito de aplicacin?Por definicin: Servicios de la administracin electrnicaPor derivacin del modelo explcito de Sistema Global de Seguridad de la Informacin(SGSI) algunos principios y medidas sern extensivos a todos los mbitos de actuacin de la organizacin.La seguridad no depende de una unidad o departamento, sino que afecta a todos y cada uno de los miembros de la comunidad universitaria.

  • ENS II

  • ENS III

  • ENI IRD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin ElectrnicaDerivado de la ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios PblicosSu finalidad es ofrecer transparenciambito de aplicacin?Por definicin: Servicios de administracin electrnicaPor coherencia, simplificacin, y eficiencia ser extensible a otros mbitos de actuacin de la organizacinLa interoperabilidad es una cuestin de todos

  • ENI IIPrincipio de administracin electrnica:No pedir informacin al ciudadano de la cual se disponga ya en otra AP

    Derechos:Consentimiento y finalidad Procedimiento y seguridad

    Normas comunes y garantas

  • ENI IIICambio culturalFormacin continuaRecursos No es fcil!!!

    Las Universidades no podemos ser islas, no podemos estar al margen de la AGE, es una cuestin de todos

  • EXPERIENCIA ENS Y ENI EN LA URV

  • Plan adecuacin ENS: Alcance2012: URV adjudica mediante concurso pblico la elaboracin del Plan de adecuacin al ENSAdjudicatario: ALTRANSe incluye en el objeto la obligacin de generar versiones blancas de la documentacin

    Alcance: Identificacin del nivel de cumplimiento actual con el Esquema Nacional de Seguridad (ENS) y establecimiento de un Plan Director con las medidas a aplicar.

  • FASE 0 - Direccin y coordinacin del proyectoRevisin de la Organizacin en el tratamiento y gestin de la seguridadInventariado y valoracin de activos: informacin, servicios y datos personalesFASE 1AnlisisFASE 2GAP AnlisisFASE 3Elaboracin del Plan de adecuacin al ENSFASE 4DocumentacinCategorizacin de los sistemasAnlisis y adecuacin de la Poltica de Seguridad de los sistemasAnlisis de riesgosDeclaracin de la aplicabilidad de controlesIdentificacin y verificacin de las medidas de seguridad ya implantadasDeterminacin del GAP entre la situacin deseada y la situacin actualValoracin y priorizacin de las medidas de seguridad a implantarPlan de mejora de la seguridadEstablecimiento de los criterios de diseo de la documentacin a presentarElaboracin de la documentacinPlan adecuacin ENS: Plan de proyecto

  • Auditoria ENSVisitas y inspeccin visualEntrevistasRevisin procedimientos y cumplimiento normativo (ficheros declarados, esquemas de red, etc.)Conclusiones y propuestas de mejoraDepartamentos auditados Secretaria General Organizacin Planificacin econmica Coordinacin TIC Gerencia Recursos Humanos Gabinete Jurdico C. Docencia Plan adecuacin ENS: Trabajo realizadoInvestigacin, transferencia y innovacin Infraestructuras Recursos para el aprendizaje y la investigacin Sistemas de Informacin DataWareHouse Servicio de Informtica

  • Plan adecuacin ENS: Inventario y valoracin de activos

  • Plan adecuacin ENS: Herramienta PILAR

  • Informes textuales y grficosGAP ENS y GAP ISO 27002Plan adecuacin ENS: ENS y ISO 27002

  • Plan adecuacin ENS: Medidas a implantar I

  • Redactar procedimientos esenciales.Todo procedimento suficietemente importante ha de estar redactado y ser conocido por todos. Elaborar el Plan Director.Establecer unos controles de madureza y evolucin sobre la Seguridad de la InformacinTodo el mundo debe estar implicadoConcienciacin activa sobre la seguridadLa seguridad s responsabilidad de todos. Nos hemos de concienciarCreacin de un Comite de Seguridad de la InformacinUn rgano dedicado a la seguridad de la informacin que reporta a DireccinFormacin relacionada con la seguridad a todo el personalLa seguridad no depende de un departamento, afecta a todosPlan adecuacin ENS: Medidas a implantar II

  • Plan de adecuacin al ENS en la URV: comparticin de informacinURV hizo cesin de toda la documentacin a CRUE el subgrupo de trabajo del ENS del grupo de trabajo de administracin electrnica de CRUE-TIC ha limipado la documentacin blanca y se har accesible:Mediante espacio colaborativo CRUE-TICMediante grupo IRIS-ENS de RedIRIS

  • Documentacin disponible:

    Poltica de Seguridad - PropuestaAnlisis y categorizacin de RiesgosPropuesta de Organizacin de la Seguridad - Responsabilidades y FuncionesAnlisis del Nivel de adecuacin Diagnstico de RendimientoGap Anlisis: Evaluacin de las medidas de seguridad a implantarPlan de Gestin del Cambio

    Plan de adecuacin al ENS en la URV: comparticin de informacin

  • ENI en la URV I

  • ENI en la URV IIAo 2004: SOA como arquitectura para la interoperabilidad

  • ENI en la URV IIIDato nico: Interoperabilidad semntica

    Punto explcito del programa del Rector 2010-2014

    Acciones especficas dentro del plan de mejora de la gestin, alineado con programa Rector, con seguimiento trimestral y anual

  • ENI en la URV IVNo man is an island (John Donne 1572-1631)

    Human beings do not thrive when isolated from others

  • *Gracias per su atencin. Cuestiones?

    Confianza del ciudadano en la AAPP Derechos Seguridad RD 3/2010 Primera norma con rango de ley para tratar la seguridad de la informacin de manera global (Sistema Global de Seguridad de la Informacin SGSI)

    *Seguridad MedidasMedidas Principio de proporcionalidad Elementos/activos a protegerElementos/activos a proteger Clasificacin y CategorizacinClasificacin/categorizacin Organizacional/poltico ; Normativo ; Funcional y Tecnolgico

    *El plan de adecuacin ha incluido tambin el anlisis del GAP respecto a la ISO de seguridad 27002*Resaltar la diversidad de los mbitos/agentes, pasar a la siguiente y comentar la transversalidad (como ya se ha dicho anteriormente) del conjunto de medidas *