NUEVO MODELO DE SEGURIDAD TICEN LA GENERALITAT VALENCIANAGestión Integral de la Seguridad en la GVACarmen Serrano DurbáJef...
• CONTEXTO• OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD• PLAN OPERATIVO DE SEGURIDAD• 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE L...
● MARCO ORGANIZATIVO: MODELO CENTRALIZADO DE GESTIÓN TICConcentración decompetenciasCentralización YReorganización de recu...
OBJETIVOS CUMPLIR LA LEGISLACIÓN VIGENTE GESTIONAR LA SEGURIDAD OPTIMIZAR LOS RECURSOS SINCRONIZARNOS EN EL PROCESODE ...
 LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DESEGURIDAD LINEA 2: PLAN DIRECTOR DE SEGURIDAD LINEA 3: GESTIÓN...
2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV6
Certificación de CSIRT-CV en ISO 270012012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV7Redefinición de la ISO 27001 de la AV...
GobiernoDeterminan los requisitos deseguridad de la información y losservicios y datos personalesComité de Seguridadde la ...
 Universalidad•Una PS para toda la organización, a diferencia de otras AAPP que han optado por una PS porcada órgano supe...
10TareasCONSELL/CONSELLER CSI RINFO RSERV RSEG RSIS ASSniveles de seguridad requeridos por lainformaciónA(7.2.c) I(7.2.c) ...
11• Centro de referencia en seguridadde la Generalitat Valenciana. ¡Nosólo CERT!• Alineado con los modelos decentros inter...
PLAN DE DESPLIEGUE Línea 112
 LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DESEGURIDAD LINEA 2: PLAN DIRECTOR DE SEGURIDAD LINEA 3: GESTIÓN...
Gracias por su atenciónCarmen Serrano Durbáserrano_car@gva.esJefa de Servicio de SeguridadDirección General de Tecnologías...
Upcoming SlideShare
Loading in …5
×

C. serrano nuevo modelo de seguridad tic en la generalitat valenciana semanainformatica.com 2013

694 views

Published on

Ponencia: Nuevo modelo de seguridad TIC en la Generalitat Valenciana. COIICV: IX Congreso de la Ingeniería Informática de la Comunidad Valenciana.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
694
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

C. serrano nuevo modelo de seguridad tic en la generalitat valenciana semanainformatica.com 2013

  1. 1. NUEVO MODELO DE SEGURIDAD TICEN LA GENERALITAT VALENCIANAGestión Integral de la Seguridad en la GVACarmen Serrano DurbáJefa de Servicio de SeguridadDirección General de Tecnologías de la Información1
  2. 2. • CONTEXTO• OBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD• PLAN OPERATIVO DE SEGURIDAD• 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV• POLÍTICA DE SEGURIDAD• ORGANIZACIÓN DE SEGURIDAD• PLAN DE DESPLIEGUE• AVANCE PROYECTOS PLAN2NUEVO MODELO DE SEGURIDAD TIC EN LAGENERALITAT VALENCIANA
  3. 3. ● MARCO ORGANIZATIVO: MODELO CENTRALIZADO DE GESTIÓN TICConcentración decompetenciasCentralización YReorganización de recursosConsolidación de equipos ytecnologías● PROCESO● MARCO ESTRATEGICO: ESTRATEGIA TIC 2011-2015Racionalización TICInnovación GVASociedad digital3CONTEXTOObjetivos Prioritarios
  4. 4. OBJETIVOS CUMPLIR LA LEGISLACIÓN VIGENTE GESTIONAR LA SEGURIDAD OPTIMIZAR LOS RECURSOS SINCRONIZARNOS EN EL PROCESODE CENTRALIZACIÓN YCONSOLIDACIÓN VISIÓN INTEGRAL E INTEGRADORARETOS CAMBIO DE MODELO MODELO EN EVOLUCIÓN FUNCIONALIDAD REORDENACIÓN DE RECURSOS YFUNCIONALIDADES IMPLICAR AGENTESOBJETIVOS ESTRATÉGICOS DGTI SEGURIDAD• Garantizar la seguridad de la información y servicios• Garantizar los derechos de los ciudadanos• Generar condiciones de confianza en la administración electrónica• Cumplimiento normativo4
  5. 5.  LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DESEGURIDAD LINEA 2: PLAN DIRECTOR DE SEGURIDAD LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD• Gestión de Incidentes de Seguridad• Servicios proactivos de seguridad• Auditorías de Seguridad• Seguridad aplicada a la adquisición, desarrollo y mantenimiento de los sistemasde información (ciclo de vida de los proyectos).• Análisis de riesgos y plan de continuidad.• Determinar el estado de Seguridad de la Organización.• Confección del Plan Director de Seguridad.• Elaboración de la Política de Seguridad de la GVA.• Difusión de la Política de Seguridad de la GVA y buenas prácticas en materia deSeguridad.• Confección del Plan de Adecuación al ENS. (Fecha tope 30/01/2014)• Cumplimiento LOPD.GESTIÓN GLOBALSEGURIDADPLANDIRECTORCumplimientoNORMATIVOPLAN OPERATIVO DE SEGURIDAD5
  6. 6. 2012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV6
  7. 7. Certificación de CSIRT-CV en ISO 270012012. UN AÑO DECISIVO EN LA SEGURIDAD DE LA GV7Redefinición de la ISO 27001 de la AVFGA
  8. 8. GobiernoDeterminan los requisitos deseguridad de la información y losservicios y datos personalesComité de Seguridadde la InformaciónResponsable de laInformaciónResponsable delServicioResponsable deFicheros LOPDEjecutivoDeterminan las decisiones parasatisfacer los requisitos de seguridadde la información, los servicios y losdatos personalesResponsable deSeguridadResponsable deSeguridad LOPDOperacionesPlanificar e implantar las medidas deseguridad, monitorizar y gestionar laseguridad.Responsable delSistemaAdministradores de laSeguridad del SistemaAdministradores de laSeguridad LOPDE.N.S.L.O.P.DORGANIZACIÓN DE LA SEGURIDADEl decreto de Organización de la seguridad establece todas las responsabilidades del ENS y la LOPD y sus funciones paraimplantar la Gestión integral de la seguridad en la GVA.8
  9. 9.  Universalidad•Una PS para toda la organización, a diferencia de otras AAPP que han optado por una PS porcada órgano superior.•Un marco organizativo común, a excepción de SanidadBúsqueda de implicación de los directivos públicos•Legitimidad mediante la aprobación de dos decretos aprobados por el Consell una orden delConseller de Sanidad•Responsable de la Información: CITEC (Todos los Subsecretarios presididos por el SecretarioAutonómico con competencias en TI)•Responsables de Ficheros LOPD: Subsecretarios.•Comité de Seguridad de la Información: DGTI, SGAs, Abogacía, Responsable del sistemaarchivísticoVisión integrada de la Seguridad•La Organización integra las responsabilidades de ENS y LOPD Flexibilidad para adaptarse a una estructura en proceso de cambio•Establece las competencias para dictar normas de desarrollo, y nombramientos.•Se adapta a los cambios de la estructura organizativa: Modelo de responsabilidades que sereplica para cada Conselleria/Entidad AutónomaGranularidad máxima: implantación de medidas y adaptación al proceso de cambio• Flexibilidad de nombramiento de Administradores de Seguridad•Posibilidad de delegación de funciones de Responsables de Seguridad y Del Sistema delegadosen subsistemasSeguridad Integral•Posibilita la adhesión a la PS a las entidades que no están en el ámbito de aplicación y a las quela DGTI presta serviciosORGANIZACIÓN DE LA SEGURIDAD9
  10. 10. 10TareasCONSELL/CONSELLER CSI RINFO RSERV RSEG RSIS ASSniveles de seguridad requeridos por lainformaciónA(7.2.c) I(7.2.c) R(11.2.a)C(11.2.a)niveles de seguridad requeridos por elservicioI(11.2.d)A(10.2.d) R(11.2.b)C(11.2.b)plan estratégicoA(8.3.d) R(8.3.d) Ideterminación de la categoría del sistemaI(11.2.d)I(11.2.d)A/R(11.2.d) Ianálisis de riesgosI(11.2.e)I(11.2.e)A/R(11.2.e) Caceptación del riesgo residual A(7.2.d)A(7.2.d) R(11.2.h)I(11.2.h)declaración de aplicabilidad I IA/R(11.2.f) Crevisar política de seguridad yorganización A(8.3.f) C(7.2.f) R(11.2.l) Caprobar política de seguridad yorganización A(8.3.f) R(8.3.f)memoria anual de seguridad I(8.3.b) A(8.3.b) R(11.2.k)aprobar normativa de seguridad A C(8.3.g) R(11.2.m) Idefinición procedimientos de seguridadR/A(11.2.n) C IImplantación procedimientos seguridadA(13.2.d)R(14.2.d)implantación de las medidas de seguridad I I CA(13.2.b) R (14.2.a)supervisión de las medidas de seguridad I I C AR(14.2.b)estado de seguridad del sistema I I I A I R (14.2.g)planes de mejora de la seguridad A(8.3.l) R(11.2.p)C(11.2.p)planes de concienciación y formaciónA(11.2.s) R(11.2.r) C Iplanes de continuidadA(13.2.f) C(11.2.q)R(13.2.f)suspensión temporal del servicio I I I CA(13.2.c)R(14.2.2.b)seguridad en el ciclo de vidaR/A(11.2.g) C ITareas RINFRFLOPDRSLOPD RSEG RSISASLOPDElaborar e implantar la normativa deseguridad A(9.2)Recabar el consentimiento A(9.2)Ejercicio de los derechos ARCO A(9.2) R(15.2)Notificación al Registro de Ficheros A(9.2) R(15.2)Elaborar un documento de seguridad A(9.2) R(15.2)Control de accesos A(9.2)Plan de formación A(9.2)Aprobación puesta en marchaaplicaciones A(9.2)Supervisar encargados de tratamiento A(9.2)Garantizar calidad de los datos A(9.2)Aprobar procedimiento entrada ysalida soportes A(9.2)Aprobar procedimiento asignacióncontraseñas A(9.2)Aprobar procedimiento copias deseguridad A(9.2)Aprobar medidas correctorasauditorias A(9.2)código tipoA(7.2.e) IR(11.2.i) Cdefinir medidas de seguridad CR/A(11.2.j) Ccoordinar y controlar medidasseguridad LOPD R(12.2)Implantar medidas ficherosautomatizadosR(13.2.j)Implantar medidas ficheros noautomatizadosR(15.2.i)Realizar las auditorias IR(11.3.f)RACIE.N.S.LOPD
  11. 11. 11• Centro de referencia en seguridadde la Generalitat Valenciana. ¡Nosólo CERT!• Alineado con los modelos decentros internacionales• Modelo de gestión : Certificadoen ISO 27001• Nuevo catálogo de serviciosmucho más centrado en laprevención• Equipo multidisciplinar. Expertosen seguridad técnica, organizativa ylegal• Líneas de trabajo: Visión holística,potenciar colaboración intercambiode información con principalesCerts , FF y CC S. E. Y Asociados TICÁmbito de actuación•Administración Pública CV•Ciudadanos•PYMES
  12. 12. PLAN DE DESPLIEGUE Línea 112
  13. 13.  LINEA 1: CUMPLIMIENTO DE NORMATIVA VIGENTE EN MATERIA DESEGURIDAD LINEA 2: PLAN DIRECTOR DE SEGURIDAD LINEA 3: GESTIÓN GLOBAL DE LA SEGURIDAD• Gestión de Incidentes de Seguridad• Servicios proactivos de seguridad• Auditorías de Seguridad: Plan• Seguridad en el ciclo de vida de los proyectos GV LOGOS- Seg. Requisitos.• Análisis de riesgos y plan de continuidad• Análisis estado de Seguridad de la Organización.• Confección del Plan Director de Seguridad• Elaboración de la Política de Seguridad de la GVA. Desarrollo Política• Plan de formación 2012 y 2013• Adecuación al ENS (Fecha tope 30/01/2014)• Revisión y adecuación LOPD al nuevo modelo de responsabilidadesGESTIÓN GLOBALSEGURIDADPLANDIRECTORCumplimientoNORMATIVO13AVANCE DEL PLANFORMACIÓNRESPONSABLESPOLÍTICA
  14. 14. Gracias por su atenciónCarmen Serrano Durbáserrano_car@gva.esJefa de Servicio de SeguridadDirección General de Tecnologías de la InformaciónCONSELLERIA DE HACIENDA Y ADMINISTRACIÓN PÚBLICAC/ Miguelete, 5, entresuelo46001-Valencia14

×