Seguridad e Interoperabilidad en la Administración 2.0 Emilio García García Consejero Técnico Subdirección General de Coordinación y Estudios Dirección General para el Impulso de la Administración Electrónica Ministerio de Presidencia

Introducción Visión panorámica de los Esquemas Nacionales de Interoperabilidad y Seguridad

Ley 11/2007, Artículo 42. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad. El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad . El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información . Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente . En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos. ENI = Criterios y recomendaciones para garantizar interoperabilidad ENS = Política de seguridad de la información de las AAPP Elaboración de Real Decreto en modo colaborativo Incluyen instrumentos para su actualización continua Alineados con recomendaciones internacionales y estándares

El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad .

El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información .

Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente .

En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

Back-office Front-office Organizativa Semántica Técnica Infraestructuras y servicios asociados Modelos e integración de datos Accesibilidad Multicanal Integrada Segura Integración de sistemas y servicios Dimensiones de la interoperabilidad Norma e Instrumentos Cadena de interoperabilidad Infraestructuras Internet Red SARA sTESTA ... eIDM DNI-e @Firma Interoperabilidad en el tiempo Esquema Nacional de Interoperabilidad Principios básicos Cualidad integral Multidimensionalidad Soluciones Multilaterales

Política de seguridad Principios básicos Requisitos mínimos Desarrollo e Implementación del Esquema Servicios Esquema Nacional de Seguridad Instrumentos y especialización Formación Series CCN-STIC Normalización STIC nacional e internacional Análisis y gestión de riesgos Magerit v2, PILAR Normalización STIC nacional e internacional ... + Política de firma-e Esquema Nacional de Seguridad

Los Esquemas Nacionales y la Evolución de la Administración Electrónica Seguridad e Interoperabilidad en la Administración 2.0

Papel coadyuvante de la Administración Electrónica “ La Administración electrónica es la aplicación de tecnologías de la información y la comunicación en las administraciones públicas, junto con el cambio organizativo y el desarrollo de nuevas habilidades, para mejorar los servicios públicos, los procesos democráticos y las políticas públicas” http :// europa . eu . int / information _ society / soccul / egov / index _en. htm La Administración Electrónica sigue los pasos de la Administración como la sombra al cuerpo

… y la Administración está cambiando ... Cambios demográficos Retos complejos e interconectados Información más accesible y reusable Creación de valor público Participación ciudadana Co-diseño y Co-producción Recesión económica Administración 2.0 Ciudamistrador

… y con ella la Administración Electrónica Web 1.0 eAdministración Transaccional Eficiencia 2000 eAdministración User-centric Efectividad 2010 Administración 2.0 Empowerment 2020 Web 2.0 Web 2.0

… dan lugar a nuevas arquitecturas ... Infraestructura Back-Office Web Services Canal Interfaz Autenticación e Identificación Usuarios de los servicios Ciudadanía Administración Fuente: “Future Technology Needs for Future eGovernment Services”, Comisión Europea

... y modelos de provisión de servicios ...

… con nuevas necesidades de interoperabilidad ... Integración con proveedores de identificación de redes sociales Firma Electrónica Versiones alternativas junto con versiones adaptadas. Accesibilidad Servicios transfronterizos, nuevas lenguas Multilingüismo Dirigidas por los ciudadanos (demand-driven) Reutilización aplicaciones y datos Modelo cloud-computing, integrando nubes de distintos actores Infraestructuras comunes Mayor hincapié en los estándares Interoperabilidad Técnica Modelos de datos para facilitar la reutilización de la información del sector público Interoperabilidad Semántica Integración con Redes y Medios Sociales Interoperabilidad Organizativa

… y nuevos requisitos de seguridad. Delimitar marcos legales de aplicación Protección de la información Delimitar dominios y responsabilidades Gestión de incidentes Establecer SLAs con colaboradores Continuidad de la actividad Difuminación en datos, canales y servicios Perímetro Obligaciones de conducta en medios sociales, protección de la imagen Personal ¿Y si no existen? Instalaciones Aprender a transferir el riesgo Gestión de Riesgos Hacer participes a colaboradores Organización y política de seguridad

Referencias “ The future of Government is no Government”, Abril 2009, Gartner “ Value for citizens: A vision of public governance in 2020”, Diciembre 2008, Comisión Europea “ Social Media and the Federal Government: Perceived and real barriers and Potential Solutions”, Diciembre 2008, Federal Web Managers Council

“ The future of Government is no Government”, Abril 2009, Gartner

“ Value for citizens: A vision of public governance in 2020”, Diciembre 2008, Comisión Europea

“ Social Media and the Federal Government: Perceived and real barriers and Potential Solutions”, Diciembre 2008, Federal Web Managers Council

Muchas gracias

Principios básicos: Seguridad integral Gestión de riesgos Prevención reacción y recuperación Líneas de defensa Reevaluación periódica La seguridad como función diferenciada Esquema Nacional de Seguridad Principios y Requisitos Requisitos mínimos: Política de seguridad en base a los principios básicos y satisfaciendo los siguientes requisitos mínimos : Organización e implantación del proceso de seguridad. Análisis y gestión de riesgos. Protección de las instalaciones. Gestión de personal. Prevención ante otros SI interconectados. Continuidad de la actividad. Actualización del sistema. Profesionalidad. Seguridad por defecto. Registro y atención de incidentes de seguridad. Protección de información almacenada y en tránsito. Adquisición de productos. Mejora continua del proceso de seguridad.

Principios básicos:

Seguridad integral

Gestión de riesgos

Prevención reacción y

recuperación

Líneas de defensa

Reevaluación periódica

La seguridad como función

diferenciada

Requisitos mínimos:

Política de seguridad en base a los

principios básicos y satisfaciendo

los siguientes requisitos mínimos :

Organización e implantación del proceso

de seguridad.

Análisis y gestión de riesgos.

Protección de las instalaciones.

Gestión de personal.

Prevención ante otros SI interconectados.

Continuidad de la actividad.

Actualización del sistema.

Profesionalidad.

Seguridad por defecto.

Registro y atención de incidentes de seguridad.

Protección de información almacenada y

en tránsito.

Adquisición de productos.

Mejora continua del proceso de seguridad.

a) Marco organizativo - Política de seguridad - Normativa de seguridad - Procedimientos de seguridad - Proceso de autorización - Auditorías de seguridad b) Marco operacional - Planificación - Control de acceso - Explotación - Servicios externos - Continuidad del servicio - Monitorización del sistema c) Medidas de protección - Protección de las instalaciones e infraestructuras - Gestión del personal - Protección de los equipos - Protección de las comunicaciones - Protección de los soportes de información - Protección de las aplicaciones informáticas - Protección de la información - Protección de los servicios Medidas dependientes de categoría: Esquema Nacional de Seguridad Medidas