1
Implicaciones ENS y ENIImplicaciones ENS y ENI
Índice
• ENS
• ENI
• Experiencias ENS y ENI en la URV
ENS I
• RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
─ Derivado de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos
─ Objetivo: establecer los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permitan una protección adecuada de la información, garantizando el derecho de los ciudadanos a relacionarse electrónicamente con la Administración de forma segura.
• ¿Ámbito de aplicación?– Por definición: Servicios de la administración electrónica
– Por derivación del modelo explícito de Sistema Global de Seguridad de la Información(SGSI) algunos principios y medidas serán extensivos a todos los ámbitos de actuación de la organización.
– La seguridad no depende de una unidad o departamento, sino que afecta a todos y cada uno de los miembros de la comunidad universitaria.
ENS II
ENS III
ENI I• RD 4/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica– Derivado de la ley 11/2007, de 22 de junio, de acceso
electrónico de los ciudadanos a los Servicios Públicos
– Su finalidad es ofrecer transparencia
• ¿Ámbito de aplicación?– Por definición: Servicios de administración electrónica– Por coherencia, simplificación, y eficiencia será
extensible a otros ámbitos de actuación de la organización
– La interoperabilidad es una cuestión de todos
ENI II
• Principio de administración electrónica:
No pedir información al ciudadano de la cual se disponga ya en otra AP
• Derechos:
Consentimiento y finalidad
Procedimiento y seguridad
• Normas comunes y garantías
ENI III
• Cambio cultural
• Formación continua
• Recursos € No es fácil!!!
• Las Universidades no podemos ser islas, no podemos estar al margen de la AGE, es una cuestión de todos
EXPERIENCIA ENS Y ENI EN LA URV
Plan adecuación ENS: Alcance
• 2012: URV adjudica mediante concurso público la elaboración del Plan de adecuación al ENS– Adjudicatario: ALTRAN– Se incluye en el objeto la obligación de generar
versiones “blancas” de la documentación
• Alcance: – Identificación del nivel de cumplimiento actual con el
Esquema Nacional de Seguridad (ENS) y establecimiento de un Plan Director con las medidas a aplicar.
FASE 0 - Dirección y coordinación del proyecto
Revisión de la Organización en el
tratamiento y gestión de la seguridad
Inventariado y valoración de activos: información,
servicios y datos personales
FASE 1
Análisis
FASE 2
GAP Análisis
FASE 3
Elaboración del Plan de adecuación al ENS
FASE 4
Documentación
Categorización de los sistemas
Análisis y adecuación de la Política de Seguridad de los
sistemas
Análisis de riesgos
Declaración de la aplicabilidad de controles
Identificación y verificación de las medidas de seguridad
ya implantadas
Determinación del GAP entre la situación deseada y
la situación actual
Valoración y priorización de las medidas de seguridad
a implantar
Plan de mejora de la seguridad
Establecimiento de los criterios de diseño de la
documentación a presentar
Elaboración de la documentación
Plan adecuación ENS: Plan de proyecto
Auditoria ENS1. Visitas y inspección visual
2. Entrevistas
3. Revisión procedimientos y cumplimiento normativo (ficheros declarados, esquemas de red, etc.)
4. Conclusiones y propuestas de mejora
Departamentos auditados
• Secretaria General
• Organización
• Planificación económica
• Coordinación TIC Gerencia
• Recursos Humanos
• Gabinete Jurídico
• C. Docencia
Plan adecuación ENS: Trabajo realizado
•Investigación, transferencia y innovación
• Infraestructuras
• Recursos para el aprendizaje y la investigación
• Sistemas de Información – DataWareHouse
• Servicio de Informática
Plan adecuación ENS: Inventario y valoración de activos
Plan adecuación ENS: Herramienta PILAR
Informes textuales y gráficos
GAP ENS y GAP ISO 27002
Plan adecuación ENS: ENS y ISO 27002
Direcció
Vicegerent Gabinet Jurídic
Estudiants
Docència Investigació, transferència i
innovació
Infraestructures Recursos per l’aprenentatge i
la Innovació
Organització Planificació Econòmica
RRHH PAS
Equip SRIiTIC
Sistemes d’Informació -
DWH
TIC
Gerència: Transversals
Gerència: Verticals
Coordinació TIC
Plan adecuación ENS: Medidas a implantar I
■Redactar procedimientos esenciales.■ Todo procedimento suficietemente importante ha de estar redactado y ser conocido por
todos. Elaborar el Plan Director.
■Establecer unos controles de madureza y evolución sobre la Seguridad de la Información
■ Todo el mundo debe estar implicado
■Concienciación activa sobre la seguridad■ La seguridad és responsabilidad de todos. Nos hemos de concienciar
■Creación de un Comite de Seguridad de la Información
■ Un órgano dedicado a la seguridad de la información que reporta a Dirección
■Formación relacionada con la seguridad a todo el personal
■ La seguridad no depende de un departamento, afecta a todos
Plan adecuación ENS: Medidas a implantar II
Plan de adecuación al ENS en la URV: compartición de información
• URV hizo cesión de toda la documentación a CRUE
• el subgrupo de trabajo del ENS del grupo de trabajo de administración electrónica de CRUE-TIC ha “limipado” la documentación blanca y se hará accesible:– Mediante espacio colaborativo CRUE-TIC– Mediante grupo IRIS-ENS de RedIRIS
• Documentación disponible:
1. Política de Seguridad - Propuesta
2. Análisis y categorización de Riesgos
3. Propuesta de Organización de la Seguridad - Responsabilidades y Funciones
4. Análisis del Nivel de adecuación
5. Diagnóstico de Rendimiento
6. Gap Análisis: Evaluación de las medidas de seguridad a implantar
7. Plan de Gestión del Cambio
Plan de adecuación al ENS en la URV: compartición de información
ENI en la URV I
ENI en la URV II
Usuarios y servicios: roles yautoritzaciones
Orquestación de Procesos (BPEL) o de Trámites ( XPDL-BPMN)
Capa de integración - BUS de interoperabilidad y intercambio con persistencia
XM
L y
XSL (c
on so
porte
de
versi o
nado)
Extractor de metadatos
Gestión de identidad
Gestión de Roles yrepresentación
Portafirmas yaprobador de flujo(pendiente, firmado,
aprobado)
Relaciones deconfianza
Plataforma de firmaelectrónica,
Portafirmas, Appletde firma XML
Xades, Digidoc, X-L
Certificación digital
eVerificación-CSV
eImpresión yeDigitalitzación
Gestión de evidéncias
Catálogo de procesos, procedimientos y servicios
Normalización de lógica de datos, formatos, y tipos de datos
Normativa para regular los nuevos canales telemáticos
Centralita atenciónmulticanal
Portal Server
Canal presencial
Gestor expedientes
Gestión Académica
SistemasHeredados
Gestión RRRHH
Gestión Eco-Fin
GestiónInvestigación
eLearning
Gestión Espacios
GestiónNombramientos
Gestión deportes
...
Gate
way X
ML
Gate
way
Web
Serv
ice
Repositorio LDAP
Web
Sede electrónica
Gestor documental
Repositorio objetosdigitales+GW-OAI
Visión Integrada - Cuadros de mando
DataWareHouse
Herramientas colaborativasSMTP/POP3/ FOROs/IRC/etc.
BBDD Estado Procesosy Trámites
HSM
Aplicaciones ligeras
Bus
Inte
r opera
bili d
ad
Inte
r-Univ
eristá
ria y
Adm
inistra
tiva
Modelador y tramitador deprocedimientosCatálogo servicios y
procesos
Cuadro de interoperabilidad Pago telemáticoEntidad financiera
Normalización documental
Gestor Archivo - Recordmanagement
Año 2004: SOA como arquitectura para la interoperabilidad
ENI en la URV III
• “Dato único”: Interoperabilidad semántica
– Punto explícito del programa del Rector 2010-2014
– Acciones específicas dentro del plan de mejora de la gestión, alineado con programa Rector, con seguimiento trimestral y anual
ENI en la URV IV
• “No man is an island” (John Donne 1572-1631)
“Human beings do not thrive when isolated from others”
29
Gracias per su atención. ¿Cuestiones?