1

Sevilla, 11 de mayo de 2012

Seguridad TIC en Seguridad TIC en el el

Servicio Andaluz Servicio Andaluz de Empleo de Empleo

((Experiencia Práctica)Experiencia Práctica)

2

Control de versiones

Versión Fecha Comentario Autor

0.5 02/05/2012 Aurelio Holgado Ramos

1.0 07/05/2012 Aurelio Holgado Ramos

2.0 09/05/2012 Aurelio Holgado Ramos

3

Índice de Contenidos

1. La Organización

2. ¿De dónde venimos? (antes de 2011)

3. Primeros Pasos

4. Situación Actual

5. ¿Y ahora qué…?

4

La Organización

5

Servicio Andaluz de Empleo

DIRECCIÓN DIRECCIÓN GERENCIA DEL SAEGERENCIA DEL SAE

DIRECCIÓN GENERAL DE EMPLEABILIDAD Y FORM.

PROFESIONAL

D.G.AUTÓNOMOS,IGUALDAD Y FOM.EMPLEO

Coordinación de calidad y gestión del conocimiento

Coordinación de planificación y desarrollo

normativo

SV. Prospección del mercado de trabajo

SV. Iniciativas y Prog. comunitarios

Sv. Orientación Y Atención Demanda

Sv. Intermediación En El Empleo Sv. Proyectos e iniciativas

emprendedoras

Sv. Análisis y Planificación de la Formación para el

empleo

Sv. Promoción Del Desarrollo Local

Sv. Gestión Y Programación F.P.O Sv. Centros, Programas Formativos y Formación

Continua

Sv. Programas de Empleo

Sv. Incentivos a la contratación

6

¿De dónde venimos?

7

¿De dónde venimos?

8

¿De dónde venimos?

9

Hasta enero de 2011 el Servicio Andaluz de Empleo como tal, no había abordado ningún proyecto ni realizado ninguna tarea en relación a la Seguridad y la Protección de Datos propiamente dicha.

Existe Documento de Seguridad realizado desde la Consejería de Empleo, incluyendo algunos de los ficheros del SAE, pero no de forma organizada

Se hace una Auditoría LOPD en 2007 en CEM y SAE La Seguridad no es en absoluto algo prioritario. En SAE lo

importante es poner las bases de los sistemas de información No obstante, se realizan entre 2007 y 2010 dos sesiones de

sensibilización en materia de Protección de Datos. Se empiezan a tener en cuenta las cláusulas de Protección de

Datos en las distintas aplicaciones y programas de la casa. A nivel de Sistemas del SAE se empiezan a procedimentar los

procesos, así como a recoger y categorizar las incidencias y las peticiones.

La situación en la Fundación adscrita al SAE es distinta. En Faffe hay dinero, estructura, tiempo y personal dedicado…

En la antigua Faffe Existía Comité de Seguridad, Política de Seguridad, Normas de uso de los Sistemas de Información, Documento de Seguridad aprobado, revisado y auditado, Centro de Soporte…

¿De dónde venimos?

10

Primeros Pasos

11

Primeros Pasos

12

Primeros Pasos

13

Primeros Pasos

• Se desarrolla una Normativa de Explotación de los Sistemas de Información del SAE, creando el Área de Calidad y Seguridad

• Se nombre responsable de Seguridad, por primera vez

• El Mayo de 2011 en SAE se constituye en Agencia de régimen especial y se inicia la integración del personal faffe, así como la migración de los Sistemas de la extinta faffe a los Sistemas del SAE

• Se ponen las bases de la migración de antiguas aplicaciones en uso que actualmente se encuentran en el CPD de CEM

• Se redacta el primer borrador de Orden con Política de Seguridad y de creación de los Comités de Seguridad de CEM y SAE

• La Oficina de Proyectos establece Procedimientos de Gestión de Proyectos TIC, incluyendo estándares de seguridad en materia de desarrollo.

• Desde Sistemas se trabaja la gestión de incidencias centralizada y categorizada, basado en un Centro de Atención al Usuario centralizado

14

Situación Actual

15

Situación Actual

16

Situación Actual

17

Situación Actual

18

Situación Actual• A finales de 2011 se ha realizado el Plan de Adecuación al Esquema

Nacional de Seguridad de manera que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

• Se han establecido hasta 53 líneas de acción para ejecutar entre 2012 y 2014 encaminadas a minimizar los riesgos de la organización.

• En relación a la LOPD, en lo que va de 2012 se ha elaborado el Documento de Seguridad del Servicio Andaluz de Empleo, a fin de dar cumplimiento a la normativa de protección de datos de carácter personal, quedando a expensas de aprobación por parte de la Dirección Gerencia.

• Asimismo, se está procediendo a la actualización y regularización de los ficheros con datos de carácter personal publicados en la Agencia Española de Protección de Datos, dándolos de alta con la titularidad del Servicio Andaluz de Empleo.

• Además del propio Plan de Adecuación al ENS, se está realizando un Análisis de Riesgos de algunos servicios críticos en colaboración con CEIC

• En materia de Desarrollo, se intenta que todo lo que se elabore nuevo se haga con una metodología adaptada a los estándares.

• Colaboración con AndalucíaCERT en la detección de incidentes de Seguridad

19

¿Y ahora qué…?

20

¿Y ahora qué…?

21

¿Y ahora qué…?

sino más bien porque susdetractores terminanmuriendo y las

no triunfa convenciendo a sus detractores y

22

Retos de Futuro…

• Creación del Comité de Seguridad, con la venia de…

• Elaboración de una Política de Seguridad propia o heredada. La falta de respaldo institucional no puede hacernos parar…

• Adecuación real al Esquema Nacional de Seguridad

• Cursos de Sensibilización (Personal SAE / Personal TIC)

• Definición de las políticas de seguridad del Área de Explotación de Sistemas de Información: Gestión de Copias de Respaldo, monitorización, fortalecimiento del entorno, gestión de vulnerabilidades, gestión de segmentación y filtrado de red…

• Gestión de Usuarios de aplicaciones centralizada y coherente.

• Tratamiento especial de Datos de Discapacidad y en general de los datos de nivel alto

23

En la NASA, hay un póster de una abeja, el cual

dice así: "Aerodinámicamente el cuerpo de una

abeja no está hecho para volar, lo bueno es que la

abeja no lo sabe".

En conclusión, no se nos puede olvidar que en el SAE trabajamos para que las personas puedan trabajar…

No se olviden de los objetivos.

24

Mi abuela ya lo decía…