Transcript
Page 1: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

1

Implicaciones ENS y ENIImplicaciones ENS y ENI

Page 2: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Índice

• ENS

• ENI

• Experiencias ENS y ENI en la URV

Page 3: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV
Page 4: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENS I

• RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

─ Derivado de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos

─ Objetivo: establecer los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permitan una protección adecuada de la información, garantizando el derecho de los ciudadanos a relacionarse electrónicamente con la Administración de forma segura.

Page 5: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

• ¿Ámbito de aplicación?– Por definición: Servicios de la administración electrónica

– Por derivación del modelo explícito de Sistema Global de Seguridad de la Información(SGSI) algunos principios y medidas serán extensivos a todos los ámbitos de actuación de la organización.

– La seguridad no depende de una unidad o departamento, sino que afecta a todos y cada uno de los miembros de la comunidad universitaria.

Page 6: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENS II

Page 7: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENS III

Page 8: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV
Page 9: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI I• RD 4/2010, de 8 de enero, por el que se regula el

Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica– Derivado de la ley 11/2007, de 22 de junio, de acceso

electrónico de los ciudadanos a los Servicios Públicos

– Su finalidad es ofrecer transparencia

• ¿Ámbito de aplicación?– Por definición: Servicios de administración electrónica– Por coherencia, simplificación, y eficiencia será

extensible a otros ámbitos de actuación de la organización

– La interoperabilidad es una cuestión de todos

Page 10: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI II

• Principio de administración electrónica:

No pedir información al ciudadano de la cual se disponga ya en otra AP

• Derechos:

Consentimiento y finalidad

Procedimiento y seguridad

• Normas comunes y garantías

Page 11: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI III

• Cambio cultural

• Formación continua

• Recursos € No es fácil!!!

• Las Universidades no podemos ser islas, no podemos estar al margen de la AGE, es una cuestión de todos

Page 12: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

EXPERIENCIA ENS Y ENI EN LA URV

Page 13: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV
Page 14: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Plan adecuación ENS: Alcance

• 2012: URV adjudica mediante concurso público la elaboración del Plan de adecuación al ENS– Adjudicatario: ALTRAN– Se incluye en el objeto la obligación de generar

versiones “blancas” de la documentación

• Alcance: – Identificación del nivel de cumplimiento actual con el

Esquema Nacional de Seguridad (ENS) y establecimiento de un Plan Director con las medidas a aplicar.

Page 15: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

FASE 0 - Dirección y coordinación del proyecto

Revisión de la Organización en el

tratamiento y gestión de la seguridad

Inventariado y valoración de activos: información,

servicios y datos personales

FASE 1

Análisis

FASE 2

GAP Análisis

FASE 3

Elaboración del Plan de adecuación al ENS

FASE 4

Documentación

Categorización de los sistemas

Análisis y adecuación de la Política de Seguridad de los

sistemas

Análisis de riesgos

Declaración de la aplicabilidad de controles

Identificación y verificación de las medidas de seguridad

ya implantadas

Determinación del GAP entre la situación deseada y

la situación actual

Valoración y priorización de las medidas de seguridad

a implantar

Plan de mejora de la seguridad

Establecimiento de los criterios de diseño de la

documentación a presentar

Elaboración de la documentación

Plan adecuación ENS: Plan de proyecto

Page 16: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Auditoria ENS1. Visitas y inspección visual

2. Entrevistas

3. Revisión procedimientos y cumplimiento normativo (ficheros declarados, esquemas de red, etc.)

4. Conclusiones y propuestas de mejora

Departamentos auditados

• Secretaria General

• Organización

• Planificación económica

• Coordinación TIC Gerencia

• Recursos Humanos

• Gabinete Jurídico

• C. Docencia

Plan adecuación ENS: Trabajo realizado

•Investigación, transferencia y innovación

• Infraestructuras

• Recursos para el aprendizaje y la investigación

• Sistemas de Información – DataWareHouse

• Servicio de Informática

Page 17: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Plan adecuación ENS: Inventario y valoración de activos

Page 18: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Plan adecuación ENS: Herramienta PILAR

Page 19: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Informes textuales y gráficos

GAP ENS y GAP ISO 27002

Plan adecuación ENS: ENS y ISO 27002

Page 20: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Direcció

Vicegerent Gabinet Jurídic

Estudiants

Docència Investigació, transferència i

innovació

Infraestructures Recursos per l’aprenentatge i

la Innovació

Organització Planificació Econòmica

RRHH PAS

Equip SRIiTIC

Sistemes d’Informació -

DWH

TIC

Gerència: Transversals

Gerència: Verticals

Coordinació TIC

Plan adecuación ENS: Medidas a implantar I

Page 21: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

■Redactar procedimientos esenciales.■ Todo procedimento suficietemente importante ha de estar redactado y ser conocido por

todos. Elaborar el Plan Director.

■Establecer unos controles de madureza y evolución sobre la Seguridad de la Información

■ Todo el mundo debe estar implicado

■Concienciación activa sobre la seguridad■ La seguridad és responsabilidad de todos. Nos hemos de concienciar

■Creación de un Comite de Seguridad de la Información

■ Un órgano dedicado a la seguridad de la información que reporta a Dirección

■Formación relacionada con la seguridad a todo el personal

■ La seguridad no depende de un departamento, afecta a todos

Plan adecuación ENS: Medidas a implantar II

Page 22: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

Plan de adecuación al ENS en la URV: compartición de información

• URV hizo cesión de toda la documentación a CRUE

• el subgrupo de trabajo del ENS del grupo de trabajo de administración electrónica de CRUE-TIC ha “limipado” la documentación blanca y se hará accesible:– Mediante espacio colaborativo CRUE-TIC– Mediante grupo IRIS-ENS de RedIRIS

Page 23: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

• Documentación disponible:

1. Política de Seguridad - Propuesta

2. Análisis y categorización de Riesgos

3. Propuesta de Organización de la Seguridad - Responsabilidades y Funciones

4. Análisis del Nivel de adecuación

5. Diagnóstico de Rendimiento

6. Gap Análisis: Evaluación de las medidas de seguridad a implantar

7. Plan de Gestión del Cambio

Plan de adecuación al ENS en la URV: compartición de información

Page 24: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV
Page 25: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI en la URV I

Page 26: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI en la URV II

Usuarios y servicios: roles yautoritzaciones

Orquestación de Procesos (BPEL) o de Trámites ( XPDL-BPMN)

Capa de integración - BUS de interoperabilidad y intercambio con persistencia

XM

L y

XSL (c

on so

porte

de

versi o

nado)

Extractor de metadatos

Gestión de identidad

Gestión de Roles yrepresentación

Portafirmas yaprobador de flujo(pendiente, firmado,

aprobado)

Relaciones deconfianza

Plataforma de firmaelectrónica,

Portafirmas, Appletde firma XML

Xades, Digidoc, X-L

Certificación digital

eVerificación-CSV

eImpresión yeDigitalitzación

Gestión de evidéncias

Catálogo de procesos, procedimientos y servicios

Normalización de lógica de datos, formatos, y tipos de datos

Normativa para regular los nuevos canales telemáticos

Centralita atenciónmulticanal

Portal Server

Canal presencial

Gestor expedientes

Gestión Académica

SistemasHeredados

Gestión RRRHH

Gestión Eco-Fin

GestiónInvestigación

eLearning

Gestión Espacios

GestiónNombramientos

Gestión deportes

...

Gate

way X

ML

Gate

way

Web

Serv

ice

Repositorio LDAP

Web

Sede electrónica

Gestor documental

Repositorio objetosdigitales+GW-OAI

Visión Integrada - Cuadros de mando

DataWareHouse

Herramientas colaborativasSMTP/POP3/ FOROs/IRC/etc.

BBDD Estado Procesosy Trámites

HSM

Aplicaciones ligeras

Bus

Inte

r opera

bili d

ad

Inte

r-Univ

eristá

ria y

Adm

inistra

tiva

Modelador y tramitador deprocedimientosCatálogo servicios y

procesos

Cuadro de interoperabilidad Pago telemáticoEntidad financiera

Normalización documental

Gestor Archivo - Recordmanagement

Año 2004: SOA como arquitectura para la interoperabilidad

Page 27: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI en la URV III

• “Dato único”: Interoperabilidad semántica

– Punto explícito del programa del Rector 2010-2014

– Acciones específicas dentro del plan de mejora de la gestión, alineado con programa Rector, con seguimiento trimestral y anual

Page 28: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

ENI en la URV IV

• “No man is an island” (John Donne 1572-1631)

“Human beings do not thrive when isolated from others”

Page 29: 1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

29

Gracias per su atención. ¿Cuestiones?