1. Agenda Digital de la
Comunitat Valenciana
Seguridad y confianza en la Red
Infoday Regional. Sociedades seguras, oportunidades de
financiación en H2020
Valencia, 15 de abril de 2014
Sofia Bellés Ramos
Directora General de Tecnologías de la Información
2. La seguridad en Horizon 2020
Pilar “Retos Sociales”
Temática “Sociedades Seguras – Proteger la libertad y la seguridad de
Europa y sus ciudadanos”
1.695 Mill € (2014-2020)
Políticas que ayuden a crear las condiciones necesarias para la
seguridad de la información, para impulsar una sociedad que confía
en Internet y en la Administración electrónica, y que hace uso de ellas
habitualmente.
3. La seguridad en la Generalitat
La seguridad de la información como
prioridad transversal de la política TIC de la
Generalitat:
● Cambio organizativo.
Competencias centralizadas en materia de
seguridad de la información (Servicio de Seguridad y
CSIRT-CV).
● Prioridad estratégica.
Eje específico en materia de seguridad en Estrategia
TIC 2011-2015 y Agenda Digital 2014-2020.
5. PEM@V
MODERNIZA
AVANTIC
ESTRATEGIA TIC
AGENDA DIGITAL CV
Informática
Administración
Educación
Justicia
Hacienda
DG TECNOLOGÍAS DE LA INFORMACIÓN
A partir de 2011
1996
2000
2004
2011
22001133
COMPETENCIAS TIC EN LA
GENERALITAT
Sociedad
Digital,
Telecom
Administración
electrónica
Informática
Sanidad
La centralización, decisión
estratégica del Consell
7. El Servicio de Seguridad
Servicio de
Seguridad
Funciones
● Definición y seguimiento de la Política de
Seguridad
● Definición de medidas y controles de
Seguridad
● Realización de las auditorias exigibles
Perfiles
● Técnicos en seguridad
● Consultores en seguridad técnica y legal
8. Qué es
Centro de referencia de seguridad de la Comunidad Valenciana
.
No sólo centro de respuesta ante incidentes de seguridad
(CERT), sino que además realiza tareas de prevención
Ámbito de actuación
● Administraciones públicas CV, y también
● Ciudadanos
● PYMES
9. Recursos
Equipo multidisciplinar (10 personas)
Expertos en seguridad técnica, organizativa y legal
Principios de actuación
Catálogo de servicios centrado en la prevención, con actualización
permanente frente a nuevas amenazas.
Líneas de trabajo:
- Seguridad técnica, organizativa y legal. Visión integral.
- Intercambio de información entre CERT, Fuerzas y Cuerpos de Seguridad del
Estado.
- Colaboración pública-privada en materia de seguridad con la red de Asociados TIC
de la Comunidad Valenciana.
10. La hoja de ruta en el nuevo modelo
centralizado
Aprovechar el potencial de las TIC para
conseguir:
una administración pública más
eficaz y eficiente en la prestación de
servicios públicos
generar crecimiento y empleo
basado en la innovación y el conocimiento
en la Comunitat Valenciana.
11. La hoja de ruta en el nuevo modelo
centralizado
Racionalización TIC
Racionalización
TIC
Innovación
GVA
Sociedad
Digital
Racionalización TIC
EJE 1 Gestión centralizada
EJE 2 Estandarización y directrices
comunes
Línea 2.1 Seguridad de las TIC
EJE 3 Consolidación de activos TIC
EJE 4 Implantación de tecnologías para el
ahorro
Actuaciones orientadas a la
Administración Pública
12. Agenda Digital de la Comunitat
Valenciana
A D CV 2014-2020
3 EJES ESTRATÉGICOS
17 LÍNEAS DE ACTUACIÓN
73 ACTUACIONES
PRESUPUESTO TOTAL: 636,6 Mill €
13. Agenda Digital de la Comunitat
Valenciana
Objetivos estratégicos
O3. Aumentar el nivel de seguridad
de la red y la confianza en el uso
14. La seguridad en la Agenda Digital
Ciudadanía Digital
L1 Las TIC para la Salud
L2 Las TIC para la Educación
L3 Las TIC para la Justicia
L4 Gobierno Abierto, transparencia y
participación activa
L5 Ciudades inteligentes
L6 Seguridad y confianza en la red
L7 Inclusión digital
Actuaciones orientadas a la
Administración Pública
Ciudadanos
Empresas
15. La seguridad en la Agenda Digital
Ciudadanía Digital
L6 Seguridad y confianza en la red 9,10 Mill € (2014-2020)
A19. Confianza del ciudadano en la e-Administración.
● Desarrollar sistemas de gestión de la seguridad en las AAPP
● Mejorar los sistemas de prevención, detección y respuesta ante incidentes
A20. Apoyo en Ciberseguridad para ciudadanos.
● Inclusión tecnológica segura, facilitando la participación y comunicación on-line de los
ciudadanos
● Especial atención a menores y adolescentes
A21. Apoyo a la ciberseguridad para PYME.
● Favorecer su desarrollo digital seguro
● Aumentar su confianza en el mundo digital
● Impulso a la capacitación en materia de seguridad
16. Actuaciones realizadas
1. Definición del Marco Normativo: Modelo de Seguridad
2. Planes de formación y concienciación (2012-2014)
3. Adecuación al Esquema Nacional de Seguridad
4. Adecuación a la LOPD
5. Servicios de CSIRT-CV
17. 1. Definición del Marco Normativo
●POLÍTICA DE SEGURIDAD COMÚN: Principios de la Seguridad en la GVA
DECRETO 66/2012, de 27 de abril, del Consell, por el que se establece la
política de seguridad de la información de la Generalitat
Conjunto de directrices que rigen la forma en que la Generalitat gestiona
y protege la información y los servicios
●ORGANIZACIÓN DE SEGURIDAD: Responsabilidades y Funciones
DECRETO 130/2012, de 24 de agosto, del Consell, por el que se
establece la organización de la seguridad de la información en la
Generalitat
Define las responsabilidades y las funciones para la implantación
del modelo de seguridad en la Generalitat
18. 2. Planes de formación y concienciación (2012-2014)
Formación para usuarios
● Impartido por el IVAP dirigida a todos los empleados públicos para
sensibilizar sobre seguridad.
● Cursos
● Seguridad y Buenas Prácticas en el uso de los sistemas informáticos
(presencial)
● Seguridad informática (on-Line)
● Módulo de Seguridad de la Información:
Orientaciones básicas de seguridad de la información, marco legal y normas de
uso seguro de medios tecnológicos en la administración de la Generalitat en
todos los cursos del IVAP de Informática
TOTAL formados: 2.485
19. 2. Planes de formación y concienciación (2012-2014)
Formación para Informáticos
● Impartidos por el Servicio de Seguridad dirigido a personal técnico TIC
para mejorar su formación en las distintas áreas de la seguridad.
● Cursos:
● Seguridad para Informáticos
● Aplicaciones Web Seguras
● Talleres de seguridad:
Microinformática
Comunicaciones
Sistemas
TOTAL formados: 120
20. 2. Planes de formación y concienciación (2012-2014)
Concienciación de altos cargos
● Impartido por el Servicio de Seguridad dirigida a altos cargos
sobre el uso seguro de las tecnologías en usuarios con acceso
a información sensible.
● Contenido:
- Riesgos en el uso de la informática personal
- Buenas prácticas
● 5 jornadas en 2013
● 5 jornadas programadas en 2014
TOTAL formados : 215
21. 3. Adecuación al Esquema Nacional
de Seguridad
● Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el ámbito de la Administración Electrónica
Objeto
Finalidad
Establecer los principios básicos y los requisitos
mínimos para la protección de la información y los
servicios utilizados en la Administración Electrónica
Generar CONFIANZA en el uso de la Administración
Electrónica
22. 3. Adecuación al Esquema Nacional
de Seguridad
Política de
Seguridad
Organización
Seguridad
Identificación
Alcance
Análisis de
Riesgos
Definición de
Medidas
Implantación de
Medidas /Plan
adecuación
Auditoría
D.G.T.I. Consellerias D.G.T.I. +
Consellerias
● Tareas realizadas:
- Identificación de información y servicios afectados por el ENS
- Valoración de niveles de seguridad de los mismos
- Análisis de Riesgos de éstos
● En la actualidad:
- Implantando el Plan de Mejora de la Seguridad
23. 4. Adecuación a la LOPD
DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece
la organización de la seguridad de la información en la Generalitat
Asigna las responsabilidades de la LOPD a las Subsecretarías y
Secretarías Generales Administrativas para facilitar la gestión de forma
homogénea en todas las consellerias.
Tareas realizadas:
- Adecuación al nuevo modelo organizativo. Cambio de responsabilidades y funciones
- Homogeneización de los Documentos de Seguridad
Analisis
cumplimiento
actual
Nueva
organización de
responsabilidades.
Nombrar a los
Administradores
de Seguridad
LOPD.
Adecuar los
documentos de
seguridad y las
inscripciones en la
APD.
Seguir los
procedimientos
adecuados ante
los traslados al
CA9O.
Adecuar los
documentos de
seguridad a los
cambios
producidos.
Proponer una
herramienta para
la llevanza de la
LOPD.
Auditar el
cumplimiento de
la LOPD.
D.G.T.I. Consellerias D.G.T.I. +
Consellerias
24. 4. Adecuación a la LOPD
DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece
la organización de la seguridad de la información en la Generalitat
Analisis
cumplimiento
actual
Asigna las responsabilidades de la LOPD a las Subsecretarías y
Secretarías Generales Administrativas para facilitar la gestión de forma
homogénea en todas las consellerias.
Nueva
organización de
responsabilidades.
Nombrar a los
Administradores
de Seguridad
LOPD.
Adecuar los
documentos de
seguridad y las
inscripciones en la
APD.
Seguir los
procedimientos
adecuados ante
los traslados al
CA9O.
Adecuar los
documentos de
seguridad a los
cambios
producidos.
Proponer una
herramienta para
la llevanza de la
LOPD.
Auditar el
cumplimiento de
la LOPD.
D.G.T.I. Consellerias D.G.T.I. +
Consellerias
En la actualidad:
- Implantando una herramienta para la gestión de las tareas de adecuación a la LOPD
- Preparación auditorías
25. 5. Servicios de CSIRT-CV
Servicios para la Administración Pública
Servicios preventivos
214 Auditorías de seguridad
104 Servicios de consultoría
57 Tests de intrusión
Servicios de detección
177 Informes y alertas de monitorización
266 Monitorización malware web
Respuesta ante incidentes
5.715 Incidentes de seguridad resueltos
*Datos desde creación de CSIRT-cv en 2007
26. 5. Servicios de CSIRT-CV
Servicios para Ciudadanos la Administración y PYME
Pública
Información de seguridad a través de portal y redes sociales
Guías de seguridad
1.502.876 Visitas web
308.145 Descargas (guías, campañas y documentos técnicos)
2.983 Seguidores en las RRSS Facebook y Twitter
Formación on-line
16 Cursos on-line
21.321 Alumnos formados
Programas de concienciación
15 Campañas
*Datos desde creación de CSIRT-cv en 2007
- Seguridad en dispositivos móviles
- Mamá, papá... otros niños me acosan en Internet
- Ingeniería social, el arte del engaño
- WhatsApp... todo lo que realmente hay que saber
- Este verano...refresca tu seguridad!
- ¡Asegura la vuelta al cole!
- Certificados en la red
- Seguridad en dispositivos móviles
- Mamá, papá... otros niños me acosan en Internet
- Ingeniería social, el arte del engaño
- WhatsApp... todo lo que realmente hay que saber
- Este verano...refresca tu seguridad!
- ¡Asegura la vuelta al cole!
- Certificados en la red