1 Implicaciones ENS y ENI. Índice ENS ENI Experiencias ENS y ENI en la URV

  • Published on
    02-Feb-2016

  • View
    214

  • Download
    0

Embed Size (px)

Transcript

<ul><li><p>*Implicaciones ENS y ENI</p></li><li><p>ndiceENSENIExperiencias ENS y ENI en la URV</p></li><li><p>ENS IRD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin ElectrnicaDerivado de la ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios PblicosObjetivo: establecer los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permitan una proteccin adecuada de la informacin, garantizando el derecho de los ciudadanos a relacionarse electrnicamente con la Administracin de forma segura. </p></li><li><p>mbito de aplicacin?Por definicin: Servicios de la administracin electrnicaPor derivacin del modelo explcito de Sistema Global de Seguridad de la Informacin(SGSI) algunos principios y medidas sern extensivos a todos los mbitos de actuacin de la organizacin.La seguridad no depende de una unidad o departamento, sino que afecta a todos y cada uno de los miembros de la comunidad universitaria. </p></li><li><p>ENS II</p></li><li><p>ENS III</p></li><li><p>ENI IRD 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin ElectrnicaDerivado de la ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios PblicosSu finalidad es ofrecer transparenciambito de aplicacin?Por definicin: Servicios de administracin electrnicaPor coherencia, simplificacin, y eficiencia ser extensible a otros mbitos de actuacin de la organizacinLa interoperabilidad es una cuestin de todos</p></li><li><p>ENI IIPrincipio de administracin electrnica:No pedir informacin al ciudadano de la cual se disponga ya en otra AP</p><p>Derechos:Consentimiento y finalidad Procedimiento y seguridad</p><p>Normas comunes y garantas</p></li><li><p>ENI IIICambio culturalFormacin continuaRecursos No es fcil!!!</p><p>Las Universidades no podemos ser islas, no podemos estar al margen de la AGE, es una cuestin de todos</p></li><li><p>EXPERIENCIA ENS Y ENI EN LA URV</p></li><li><p>Plan adecuacin ENS: Alcance2012: URV adjudica mediante concurso pblico la elaboracin del Plan de adecuacin al ENSAdjudicatario: ALTRANSe incluye en el objeto la obligacin de generar versiones blancas de la documentacin</p><p>Alcance: Identificacin del nivel de cumplimiento actual con el Esquema Nacional de Seguridad (ENS) y establecimiento de un Plan Director con las medidas a aplicar.</p></li><li><p>FASE 0 - Direccin y coordinacin del proyectoRevisin de la Organizacin en el tratamiento y gestin de la seguridadInventariado y valoracin de activos: informacin, servicios y datos personalesFASE 1AnlisisFASE 2GAP AnlisisFASE 3Elaboracin del Plan de adecuacin al ENSFASE 4DocumentacinCategorizacin de los sistemasAnlisis y adecuacin de la Poltica de Seguridad de los sistemasAnlisis de riesgosDeclaracin de la aplicabilidad de controlesIdentificacin y verificacin de las medidas de seguridad ya implantadasDeterminacin del GAP entre la situacin deseada y la situacin actualValoracin y priorizacin de las medidas de seguridad a implantarPlan de mejora de la seguridadEstablecimiento de los criterios de diseo de la documentacin a presentarElaboracin de la documentacinPlan adecuacin ENS: Plan de proyecto</p></li><li><p> Auditoria ENSVisitas y inspeccin visualEntrevistasRevisin procedimientos y cumplimiento normativo (ficheros declarados, esquemas de red, etc.)Conclusiones y propuestas de mejoraDepartamentos auditados Secretaria General Organizacin Planificacin econmica Coordinacin TIC Gerencia Recursos Humanos Gabinete Jurdico C. Docencia Plan adecuacin ENS: Trabajo realizadoInvestigacin, transferencia y innovacin Infraestructuras Recursos para el aprendizaje y la investigacin Sistemas de Informacin DataWareHouse Servicio de Informtica</p></li><li><p>Plan adecuacin ENS: Inventario y valoracin de activos</p></li><li><p>Plan adecuacin ENS: Herramienta PILAR</p></li><li><p>Informes textuales y grficosGAP ENS y GAP ISO 27002Plan adecuacin ENS: ENS y ISO 27002</p></li><li><p>Plan adecuacin ENS: Medidas a implantar I</p></li><li><p>Redactar procedimientos esenciales.Todo procedimento suficietemente importante ha de estar redactado y ser conocido por todos. Elaborar el Plan Director.Establecer unos controles de madureza y evolucin sobre la Seguridad de la InformacinTodo el mundo debe estar implicadoConcienciacin activa sobre la seguridadLa seguridad s responsabilidad de todos. Nos hemos de concienciarCreacin de un Comite de Seguridad de la InformacinUn rgano dedicado a la seguridad de la informacin que reporta a DireccinFormacin relacionada con la seguridad a todo el personalLa seguridad no depende de un departamento, afecta a todosPlan adecuacin ENS: Medidas a implantar II</p></li><li><p>Plan de adecuacin al ENS en la URV: comparticin de informacinURV hizo cesin de toda la documentacin a CRUE el subgrupo de trabajo del ENS del grupo de trabajo de administracin electrnica de CRUE-TIC ha limipado la documentacin blanca y se har accesible:Mediante espacio colaborativo CRUE-TICMediante grupo IRIS-ENS de RedIRIS</p></li><li><p>Documentacin disponible:</p><p>Poltica de Seguridad - PropuestaAnlisis y categorizacin de RiesgosPropuesta de Organizacin de la Seguridad - Responsabilidades y FuncionesAnlisis del Nivel de adecuacin Diagnstico de RendimientoGap Anlisis: Evaluacin de las medidas de seguridad a implantarPlan de Gestin del Cambio</p><p>Plan de adecuacin al ENS en la URV: comparticin de informacin</p></li><li><p>ENI en la URV I</p></li><li><p>ENI en la URV IIAo 2004: SOA como arquitectura para la interoperabilidad</p></li><li><p>ENI en la URV IIIDato nico: Interoperabilidad semntica</p><p>Punto explcito del programa del Rector 2010-2014</p><p>Acciones especficas dentro del plan de mejora de la gestin, alineado con programa Rector, con seguimiento trimestral y anual</p></li><li><p>ENI en la URV IVNo man is an island (John Donne 1572-1631)</p><p>Human beings do not thrive when isolated from others</p></li><li><p>*Gracias per su atencin. Cuestiones?</p><p>Confianza del ciudadano en la AAPP Derechos Seguridad RD 3/2010 Primera norma con rango de ley para tratar la seguridad de la informacin de manera global (Sistema Global de Seguridad de la Informacin SGSI)</p><p>*Seguridad MedidasMedidas Principio de proporcionalidad Elementos/activos a protegerElementos/activos a proteger Clasificacin y CategorizacinClasificacin/categorizacin Organizacional/poltico ; Normativo ; Funcional y Tecnolgico</p><p>*El plan de adecuacin ha incluido tambin el anlisis del GAP respecto a la ISO de seguridad 27002*Resaltar la diversidad de los mbitos/agentes, pasar a la siguiente y comentar la transversalidad (como ya se ha dicho anteriormente) del conjunto de medidas *</p></li></ul>