SlideShare una empresa de Scribd logo

J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Diputación de Valencia. Semanainformatica.com 2014

COIICV
COIICV

El documento describe el proyecto de la Diputación de Valencia para migrar su Sistema de Información de Gestión y Recaudación de Tributos (SIGTR) a un modelo basado en la nube. Esto permitirá mejorar la disponibilidad, escalabilidad y seguridad del sistema, así como cumplir con estrictos SLA. La Diputación ha contratado a una empresa pública para dirigir el proyecto y se está trabajando en la adjudicación de un contrato público para implementar la nueva solución. El documento también detalla los requisitos de

Tecnología
1 de 22
Descargar para leer sin conexión
El Esquema Nacional de Seguridad y el Cloud Computing en la Diputación de Valencia José Benedito Agramunt Jefe Servicio de Informática Diputación de Valencia
LA DIPUTACIÓN PROVINCIAL Y EL ENS El Pleno de la Corporación, en sesión celebrada el 16 de octubre de 2012, aprobó el Plan de Adecuación de la Diputación de Valencia al ENS, en el que se establecen las acciones necesarias y los plazos de ejecución para que los sistemas de información se ajusten al ENS. El Responsable de Seguridad de la Diputación. Dentro del Plan de Adecuación al ENS se ha elaborado la Política de Seguridad y de la Protección de Datos Personales. Dicha Política fue objeto de aprobación por el Pleno de la Corporación, el 18 de junio de 2013, a través del Reglamento de Política de Seguridad y de la Protección de Datos de Carácter Personal de la Diputación de Valencia. El Comité de Seguridad TIC se constituyó el pasado 3 de abril de 2014. Se está trabajando desde el punto de vista normativo y organizativo y también desde el punto de vista técnico informático.
HACIA UN NUEVO MODELO DE SISTEMA DE INFORMACIÓN TRIBUTARIO (SIGTR). ¿PORQUÉ UN MODELO EN CLOUD?
DELEGACIONES 185 187 187 220 158 168 184 179 283 0 50 100 150 200 250 300 IBI-URB IBI-RUS IAE T. T. RESIDUOS URB IVTM OTRAS TASAS MULTAS EJECUTIVA CUOTAS URB TOTAL ENTIDADES TIPOSDEDELEGACIÓN Nº DE ENTIDADES ALGUNOS DATOS DE RECAUDACIÓN
GESTION DE TRIBUTOS RECAUDACIÓN Voluntaria Ejecutiva ASISTENCIA CONTRIBUYENTE ASESORAMIENTO TRIBUTARIO SISTEMA DE INFORMACIÓN DE GESTION Y RECAUDACIÓN DE TRIBUTOS Intercambio electrónico de datos y documentos EELL y Consorcios Entidades Publicas DiputacióndeValencia Empresas Privadas EEFF Contribuyente PresencialoTelefónico Servicio de atención a usuario Servicio de soporte técnico de sistemas Servicio de mantenimiento de la aplicación Sistema de Información Sistema de Información Sistema de Información Sistema de Información Sistema de Información Sistema de Información • El sistema soporta unos 1250 usuarios, más de 3.100.000 de recibos en 2013 (1.700.000 en 2010), más de 330 millones € recaudación en 2013 SITUACIÓN ACTUAL
•Crecimiento de la demanda de servicio (en los últimos años > 60%) •Mayor orientación al ciudadano/contribuyente •Servicios de administración electrónica •Mejorar la funcionalidad de los procesos de Gestión Tributaria •Facilitar el trabajo colaborativo entre los ayuntamientos y el SGT •Mejorar la productividad operacional. •Necesidad de plantear SLA’s muy exigentes. ¿PORQUÉ EL CAMBIO?
Disponibilidad del SIGTR del entorno de producción en horario estándar del periodo Disponibilidad del SIGTR del entorno de producción en horario extendido del periodo Porcentaje de resolución de incidencias durante el periodo dentro de plazo máximo de resolución según prioridad. Las prioridades serán: critica: 5 horas; media en 12 horas y baja en 48 horas Porcentaje de problemas resueltos (cierre) dentro del tiempo medio objetivo de resolución, durante el periodo Porcentaje de cambios estándares abiertos en periodo y enviados al Comité de Cambios. Se definirán los tipos de cambio durante el proyecto de implantación y establecimiento del servicio SLA,s 99,9 % (incluyendo el tiempo de inactividad programado) entre 99,60% y 99,97%. Descuento: 5% < 99,60%. Descuento: 10% 98,00 % (no incluye el tiempo de inactividad programado) < 98%. Descuento:5% 98,00 % (para cada prioridad) < 98% en alguna prioridad. Descuento: 5% 90 % en menos de 30 días naturales (tiempo medio objetivo) < 90%. Descuento:5% 99 % < 99%. Descuento:5% Ejemplo fórmula de cálculo
Tiempo de recuperación objetivo o indisponibilidad admisible (RTO Recovery Time Objective) del SIGTR Iniciativas mensuales orientadas a la mejora continua, que serán realizadas en el próximo periodo Porcentaje de resolución (cierre) de recomendaciones y acciones correctivas, respecto a los plazos acordados al final de las auditorías Porcentaje de documentación completado y entregado en periodo Porcentaje de cumplimiento de los hitos especificados por actividades planificadas, que estén asociadas al proyecto de implantación del SIGTR, incluida la migración de datos, y establecimiento del servicio SLA,s 36 horas (tanto en horario estándar como extendido) > 36 horas. Descuento: 10% 2 iniciativas al mes < 2 propuestas y realizadas al mes. Descuento: 5% 90 % en plazo < 90%. Descuento: 10% 100 % < 100%. Descuento: 5% 90 % < 90%. Descuento: 10%
Servicios de soporte operativo SISTEMA DE INFORMACIÓN DE GESTION Y RECAUDACIÓN DE TRIBUTOS Portalprivado EELL Entidades Publicas Diputación de Valencia Empresas Privadas y EEFF Gestión de Incidentes problemas Contribuyente Sist. InformaciónSist. Información Sist. InformaciónSist. Información Sist. InformaciónSist. Información EELL y Consorcios Proveedores de Servicios Gestión de Niveles de Servicios Plataformade Interoperabilidad Consumidores del Servicio Portal público Infraestructura y plataforma tecnológica como servicio (servidores, almacenamiento, redes, instalaciones, entornos) GESTION DE TRIBUTOS RECAUDACIÓN Voluntaria Ejecutiva ASISTENCIA CONTRIBUYENTE ASESORAMIENTO TRIBUTARIO Gestión de Capacidad, Disponibilidad y Rendimiento Gestión de Cambio Gestión de la Mejora Continua Servicioscloud Gestión de versiones Gestión de la seguridad NUEVO MODELO
Palancas que impulsan esta tecnología en la Diputación de Valencia y entidades locales: • Ahorro y elasticidad de costes: en el modelo de pago por uso, el coste asociado a los servicios es variable • Mejora de productividad • Mejora de gestión tecnológica • Mejora de gestión de la seguridad • Enfoque de estrategia tecnológica y de servicios, externalizando la parte de la responsabilidad y la gestión de las competencias TI • Acceso directo del ciudadano • Cumplimientos de unos SLA´s exigentes VENTAJAS DEL NUEVO MODELO
Nos encontramos con: • Diferencias del paradigma de la nube entre proveedores de servicios. • Nuevos modelos de prestación de servicio frente al modelo tradicional • Son transiciones complejas desde un modelo tradicional a la nube • Nuevas amenazas que pueden aprovechar las debilidades del servicios. Se hace necesario controlar y gestionar los riesgos: • Cumplimiento regulatorio, normativo y de protección de datos • Miedo a la pérdida de disponibilidad de la información y/o del servicio. • Pérdida/Fuga de información por fallo del proveedor/por ataques • Pérdida de Gobernanza por cesión de control • … PROBLEMÁTICA ASOCIADA
¡¡La Administración no está acostumbrada a este tipo de contratación!!
• La Diputación ha consignado a través de la empresa pública IMELSA (mediante una encomienda de gestión) el presupuesto necesario para abordar el proyecto. • Se ha trabajado a dos bandas: Diputación (SGT, SIO) e IMELSA para la definición del modelo de atención al contribuyente y el modelo tecnológico. • Pendiente de la adjudicación del concurso público. Importe de licitación de 3.000.000€ a tres años. • Se ha puesto en marcha el nuevo Call Center de asistencia tributaria con uso de tecnologia IP (Cisco) y gestión de llamadas con metodología ITIL y con la herramienta Proactivanet ESTADO DEL PROYECTO
LA SEGURIDAD Y EL ENS EN EL PROYECTO SIGTR
El pliego contempla en relación a la seguridad de la información tres aspectos básicos: La Confidencialidad de la información. Contempla el deber de mantener el secreto de cualquier tipo de información (información personal, administrativa, técnica, informática y de seguridad) de la que el adjudicatario tenga conocimiento con objeto de la prestación. Este deber se hace extensivo a los posibles subcontratistas, estableciendo una responsabilidad solidaria (adjudicatario principal y subcontratistas) en caso de incumplimiento. El deber debe mantenerse incluso después de finalizar el contrato. Seguridad de la información. Se establecen las condiciones de seguridad que deberán ser implementadas por el adjudicatario en el entorno de la prestación del servicio. Protección de datos de carácter personal. Se determinan, por un lado, las condiciones legales establecidas por la LOPD para que el tratamiento de datos personales por cuenta de terceros no sea considerado como “cesión de datos”, en el marco de una prestación de servicios. Por otro, se señalan las medidas de seguridad que debe aplicar el adjudicatario en el tratamiento de datos personales. SEGURIDAD DE LA INFORMACIÓN
La Visión de conjunto. Se intenta “homogenizar” las previsiones del ENS con las del RDLOPD (Reglamento de desarrollo LOPD, que contiene las medidas de seguridad para ficheros con datos de carácter personal) y con las del RPSyPDP (Reglamento de Política de Seguridad y de la Protección de Datos de Carácter Personal de la Diputación de Valencia). Determinación específica del contenido de las medidas de seguridad. Se establecen con detalle cada medida de seguridad que debe implementar el adjudicatario sobre el sistema de información. Para mejor comprensión se separan 2 anexos (I medidas del ENS y II medidas de protección de datos). Aplicación del principio de mayor protección. Se recoge este principio establecido en el RPSyPDP de la Diputación. Cuando sobre un mismo elemento, activo o aspecto del sistema de información deban aplicarse simultáneamente las medidas de seguridad del ANEXO I y del ANEXO II, serán de aplicación las medidas que ofrezcan mayor nivel de protección o de exigencia. Establecimiento de la organización, coordinación y control de la seguridad. El objetivo fundamental es que la Diputación (dueña y responsable del sistema de información) no pierda el control sobre la seguridad del sistema de información. Primero, se obliga al adjudicatario a tener personal debidamente preparado para atender las funciones de seguridad; también se le obliga a designar un responsable de seguridad, que servirá de interlocutor para el reporte de la información de seguridad que se determina, la supervisión del cumplimiento de la seguridad en el entorno del adjudicatario y la gestión de incidentes. La coordinación será con su homónimo de la Diputación (el responsable de seguridad de los sistemas de información de la Diputación). CONDICIONES DE SEGURIDAD
Análisis de riesgos y auditoría inicial de cumplimiento a cargo del adjudicatario. Para asegurarse de los riesgos que el entorno concreto de la prestación presenta y del grado de cumplimiento del adjudicatario de las condiciones de seguridad antes de que el sistema de información entre en fase de producción. Se traslada al adjudicatario esta obligación (a su cargo), fijando las características de la auditoría (alcance y auditores profesionales e independientes) y del análisis inicial de riesgos (alcance). Limitación de riesgos. Para minimizar en lo posible determinados riesgos. Por ejemplo: Prohibición de uso de dispositivos móviles (ordenadores portátiles, smartphones, tabletas, etc) El adjudicatario únicamente podrá hacer uso de dichos dispositivos, con carácter excepcional, y por circunstancias justificadas, si previamente recaba la autorización de la Diputación. Ubicación geográfica de la infraestructura tecnológica y de la información en territorio de la UE y, preferentemente, en la península ibérica, por razones horarias y de mayores facilidades para ejercer los controles y auditorías definidas; además permite identificar el marco legal aplicable y garantizar en mayor medida su cumplimiento. Mayores exigencias de seguridad. Aunque el sistema de información está categorizado como de nivel Medio, se han reforzado determinados requisitos de seguridad como resultado de los riesgos que van asociados a la externalización del servicio. Ejemplo: Exigencia de medios alternativos (instalaciones alternativas, comunicaciones alternativas, equipamiento alternativo, personal alternativo, etc). El adjudicatario debe garantizar la existencia y disponibilidad de estos medios alternativos, para poder seguir manteniendo los servicios prestados en idénticas condiciones en caso de que los medios habituales no estén disponibles por cualquier causa. Además, los medios alternativos han de tener las mismas garantías técnicas y de seguridad que los medios habituales. CLAUSURADO DE SEGURIDAD
En general, el clausulado de seguridad de la información está orientado no solo al cumplimiento del entorno de seguridad adecuado para el sistema de información afectado, sino a que la Diputación, como responsable del sistema, no pierda en ningún momento el control de la seguridad del sistema. Para ello se disponen algunos medios o instrumentos: Mediante el establecimiento de la estructura organizativa de seguridad, de la que se ha hablado anteriormente al referirnos al establecimiento de la organización, coordinación y control de la seguridad (roles de seguridad, funciones de cada responsable y características del personal especializado; determinación de vías o canales de comunicación Diputación- proveedor, etc) Todo tipo de documentación: informes, normativas, procedimientos, documentos requeridos legal o contractualmente, etc., que se generen por el adjudicatario en cumplimiento de los requisitos de seguridad que le impone el pliego técnico, pasaran a ser documentación de seguridad del sistema de información y, por tanto, deberán ponerse a disposición de la Diputación de Valencia Debe ponerse en conocimiento del Responsable de Seguridad de los Sistemas de Información de la Diputación de Valencia de forma inmediata cualquier hecho -evidente, indiciario o sospechoso- que, tras la revisión de los registros de actividad, pudiese ser constitutivo de la realización de actividades indebidas o no autorizadas. También debe notificarse cualquier incidencia de seguridad que afecte de forma importante al sistema. CLAUSULADO DE SEGURIDAD
•El adjudicatario deber entregar un informe mensual de seguimiento de los controles de seguridad, cuanto menos sobre los siguientes aspectos: o Gestión de incidentes de seguridad o Controles de acceso o Cumplimiento normativo y legislativo o Mecanismos de comprobación periódica de los controles de seguridad • De igual forma, deberá presentar trimestralmente los resultados de análisis de vulnerabilidades de las siguientes áreas: o escaneo de vulnerabilidad de la infraestructura de electrónica de red y comunicación o escaneo de vulnerabilidades de las bases de datos o escaneo de vulnerabilidades de las aplicaciones web. •La Diputación se reserva el derecho de instar al adjudicatario a modificar su normativa y procedimientos de seguridad para ajustarse a la propia que en cada momento pueda adoptar la Diputación de Valencia. De igual forma, está obligado a adoptar los cambios de seguridad que la Diputación le señale a la vista de los resultados de los análisis de riesgos y auditorías periódicas. CLAUSULADO DE SEGURIDAD
El adjudicatario debe recabar la autorización de la Diputación para determinadas actuaciones, como la entrada en producción de las aplicaciones tras pasar éstas el filtro de vulnerabilidades, o para dar acceso a usuarios y procesos al sistema de información. También debe estar a lo que la Diputación le indique en cada momento respecto a la política de contraseñas (calidad, períodos de renovación, número de intentos de acceso fallidos, etc) y de copias de respaldo (periodicidad, contenido, etc). Con independencia de las obligaciones de auditoría y análisis de riesgos que debe llevar a cabo el adjudicatario, la Diputación siempre se reserva el derecho de proceder a la inspección y supervisión del entorno físico y lógico en el que se desarrolla la prestación del servicio en el marco de la seguridad de la información y de la protección de datos personales. El adjudicatario y los posibles subcontratistas están obligados a facilitar este derecho de supervisión y disponer todo lo necesario para su pleno ejercicio. CLAUSULADO DE SEGURIDAD
CONCLUSIONES
José Benedito Agramunt Jefe de Servicio de Informática Delegación de Nuevas Tecnologías DIPUTACIÓN DE VALENCIA Tel: 963882893 e-mail: jose.benedito@dival.es ¡¡MUCHAS GRACIAS!!

Recomendados

25 RGPD - reglamento general de protección de datos
25 RGPD - reglamento general de protección de datos25 RGPD - reglamento general de protección de datos
25 RGPD - reglamento general de protección de datos
Rafael Alcón Díaz [LION]
 
Servicios de Consultoría asociados a Sedes Electrónicas
Servicios de Consultoría asociados a Sedes ElectrónicasServicios de Consultoría asociados a Sedes Electrónicas
Servicios de Consultoría asociados a Sedes Electrónicas
SIA Group
 
Que debes saber sobre la normativa ecommerce
Que debes saber sobre la normativa ecommerceQue debes saber sobre la normativa ecommerce
Que debes saber sobre la normativa ecommerce
adSalsa
 
Ens
EnsEns
Ens
Carmen Campos
 
Presentación Línea 123
Presentación Línea 123Presentación Línea 123
Presentación Línea 123
Concejo de Medellín
 
Presentación Multas
Presentación MultasPresentación Multas
Presentación Multas
gttgtt
 
Código de buenas prácticas en protección de datos para proyectos Big Data
Código de buenas prácticas en protección de datos para proyectos Big DataCódigo de buenas prácticas en protección de datos para proyectos Big Data
Código de buenas prácticas en protección de datos para proyectos Big Data
Alfredo Vela Zancada
 
SERVICIOS LOPD DATA ADVISOR
SERVICIOS LOPD DATA ADVISORSERVICIOS LOPD DATA ADVISOR
SERVICIOS LOPD DATA ADVISOR
Dénia Data Advisor
 

Recomendados

25 RGPD - reglamento general de protección de datos
25 RGPD - reglamento general de protección de datos25 RGPD - reglamento general de protección de datos
25 RGPD - reglamento general de protección de datos
Rafael Alcón Díaz [LION]
 
Servicios de Consultoría asociados a Sedes Electrónicas
Servicios de Consultoría asociados a Sedes ElectrónicasServicios de Consultoría asociados a Sedes Electrónicas
Servicios de Consultoría asociados a Sedes Electrónicas
SIA Group
 
Que debes saber sobre la normativa ecommerce
Que debes saber sobre la normativa ecommerceQue debes saber sobre la normativa ecommerce
Que debes saber sobre la normativa ecommerce
adSalsa
 
Ens
EnsEns
Ens
Carmen Campos
 
Presentación Línea 123
Presentación Línea 123Presentación Línea 123
Presentación Línea 123
Concejo de Medellín
 
Presentación Multas
Presentación MultasPresentación Multas
Presentación Multas
gttgtt
 
Código de buenas prácticas en protección de datos para proyectos Big Data
Código de buenas prácticas en protección de datos para proyectos Big DataCódigo de buenas prácticas en protección de datos para proyectos Big Data
Código de buenas prácticas en protección de datos para proyectos Big Data
Alfredo Vela Zancada
 
SERVICIOS LOPD DATA ADVISOR
SERVICIOS LOPD DATA ADVISORSERVICIOS LOPD DATA ADVISOR
SERVICIOS LOPD DATA ADVISOR
Dénia Data Advisor
 
José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
COIICV
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
Redit
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridad
Clinica Internacional
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
Miguel A. Amutio
 
Líneas 1 y 2_cibersegAnd15
Líneas 1 y 2_cibersegAnd15Líneas 1 y 2_cibersegAnd15
Líneas 1 y 2_cibersegAnd15
Ingeniería e Integración Avanzadas (Ingenia)
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICATecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Jesica Paez
 
Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)
Jesica Paez
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Miguel A. Amutio
 
TECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACIONTECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACION
carsuve
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
Dossier OSPI Ciberseguridad
Dossier OSPI CiberseguridadDossier OSPI Ciberseguridad
Dossier OSPI Ciberseguridad
Enrique Ávila
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
Miguel A. Amutio
 
J. benedito mesa informatica tributaria semanainformatica.com 2013
J. benedito mesa informatica tributaria semanainformatica.com 2013J. benedito mesa informatica tributaria semanainformatica.com 2013
J. benedito mesa informatica tributaria semanainformatica.com 2013
COIICV
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Miguel A. Amutio
 
Sistema de Protección de Datos Personales
Sistema de Protección de Datos PersonalesSistema de Protección de Datos Personales
Sistema de Protección de Datos Personales
SIA Group
 
AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013
AXPE Consulting
 
Carlos Garcia, ICC - Fe de vida con biometria y blockchain
Carlos Garcia, ICC - Fe de vida con biometria y blockchainCarlos Garcia, ICC - Fe de vida con biometria y blockchain
Carlos Garcia, ICC - Fe de vida con biometria y blockchain
COIICV
 
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemiaAntonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
COIICV
 

Más contenido relacionado

Similar a J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Diputación de Valencia. Semanainformatica.com 2014

Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
Miguel A. Amutio
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
girls2013
 
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICATecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Jesica Paez
 
Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)
Jesica Paez
 
TECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACIONTECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACION
carsuve
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013
AXPE Consulting
 

Similar a J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Diputación de Valencia. Semanainformatica.com 2014 (20)

José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
José Benedito, Diputación de Valencia - Proyectos SAAS en la Diputación. Expe...
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridad
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
 
Líneas 1 y 2_cibersegAnd15
Líneas 1 y 2_cibersegAnd15Líneas 1 y 2_cibersegAnd15
Líneas 1 y 2_cibersegAnd15
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
 
Tecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicaciónTecnologia de la informacion y de la comunicación
Tecnologia de la informacion y de la comunicación
 
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICATecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
Tecnologia de la informacion y de la comunicación, ADMINISTRACION PUBLICA
 
Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)Tecnologia de la informacion y de la comunicación (1)
Tecnologia de la informacion y de la comunicación (1)
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
TECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACIONTECNOLOGIA DE LA INFORMACION
TECNOLOGIA DE LA INFORMACION
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Dossier OSPI Ciberseguridad
Dossier OSPI CiberseguridadDossier OSPI Ciberseguridad
Dossier OSPI Ciberseguridad
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
J. benedito mesa informatica tributaria semanainformatica.com 2013
J. benedito mesa informatica tributaria semanainformatica.com 2013J. benedito mesa informatica tributaria semanainformatica.com 2013
J. benedito mesa informatica tributaria semanainformatica.com 2013
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Sistema de Protección de Datos Personales
Sistema de Protección de Datos PersonalesSistema de Protección de Datos Personales
Sistema de Protección de Datos Personales
 
AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013AXPE Consulting: news octubre 2013
AXPE Consulting: news octubre 2013
 

Más de COIICV

Más de COIICV (20)

Carlos Garcia, ICC - Fe de vida con biometria y blockchain
Carlos Garcia, ICC - Fe de vida con biometria y blockchainCarlos Garcia, ICC - Fe de vida con biometria y blockchain
Carlos Garcia, ICC - Fe de vida con biometria y blockchain
 
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemiaAntonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
Antonio Villalon, S2 Grupo - Seguridad en tiempos de pandemia
 
Rafa Vidal, Nunsys - Seguridad as a service: Como proteger el activo más crít...
Rafa Vidal, Nunsys - Seguridad as a service: Como proteger el activo más crít...Rafa Vidal, Nunsys - Seguridad as a service: Como proteger el activo más crít...
Rafa Vidal, Nunsys - Seguridad as a service: Como proteger el activo más crít...
 
Silvia Rueda, ETSE-UV - Falta de diversidad en estudios TIC ¿Elección libre o...
Silvia Rueda, ETSE-UV - Falta de diversidad en estudios TIC ¿Elección libre o...Silvia Rueda, ETSE-UV - Falta de diversidad en estudios TIC ¿Elección libre o...
Silvia Rueda, ETSE-UV - Falta de diversidad en estudios TIC ¿Elección libre o...
 
Sebastian Borreani, Jeff Customer Product - Creando el primer ecosistema omni...
Sebastian Borreani, Jeff Customer Product - Creando el primer ecosistema omni...Sebastian Borreani, Jeff Customer Product - Creando el primer ecosistema omni...
Sebastian Borreani, Jeff Customer Product - Creando el primer ecosistema omni...
 
Ruben Ruiz, UPV - Mesa: El valor del CIO Público
Ruben Ruiz, UPV - Mesa: El valor del CIO PúblicoRuben Ruiz, UPV - Mesa: El valor del CIO Público
Ruben Ruiz, UPV - Mesa: El valor del CIO Público
 
Amparo Cabo - Mesa: El valor del CIO Público
Amparo Cabo - Mesa: El valor del CIO PúblicoAmparo Cabo - Mesa: El valor del CIO Público
Amparo Cabo - Mesa: El valor del CIO Público
 
Guillermo Cortina - Construyendo una Cultura DevOps
Guillermo Cortina - Construyendo una Cultura DevOpsGuillermo Cortina - Construyendo una Cultura DevOps
Guillermo Cortina - Construyendo una Cultura DevOps
 
Manuel Lora - Internet of Things (IoT): el arte de conectar cualquier cosa a ...
Manuel Lora - Internet of Things (IoT): el arte de conectar cualquier cosa a ...Manuel Lora - Internet of Things (IoT): el arte de conectar cualquier cosa a ...
Manuel Lora - Internet of Things (IoT): el arte de conectar cualquier cosa a ...
 
Francisco Torrijos - Make the switch. Activa el cambio
Francisco Torrijos - Make the switch. Activa el cambioFrancisco Torrijos - Make the switch. Activa el cambio
Francisco Torrijos - Make the switch. Activa el cambio
 
José Manuel Ferri - DevOps la evolución de la fábrica de software
José Manuel Ferri - DevOps la evolución de la fábrica de softwareJosé Manuel Ferri - DevOps la evolución de la fábrica de software
José Manuel Ferri - DevOps la evolución de la fábrica de software
 
Silvia Rueda - Impulsando la presencia de mujeres en titulaciones TIC
Silvia Rueda - Impulsando la presencia de mujeres en titulaciones TICSilvia Rueda - Impulsando la presencia de mujeres en titulaciones TIC
Silvia Rueda - Impulsando la presencia de mujeres en titulaciones TIC
 
Mesa Redonda: Nuevas tendencias en ciberseguridad
Mesa Redonda: Nuevas tendencias en ciberseguridadMesa Redonda: Nuevas tendencias en ciberseguridad
Mesa Redonda: Nuevas tendencias en ciberseguridad
 
Rubén Antón - Como ser ágil sin enterrarse en deuda técnica
Rubén Antón - Como ser ágil sin enterrarse en deuda técnicaRubén Antón - Como ser ágil sin enterrarse en deuda técnica
Rubén Antón - Como ser ágil sin enterrarse en deuda técnica
 
Juan Carlos Egido - Estructuras de gestión de las TI en un contexto de Gobier...
Juan Carlos Egido - Estructuras de gestión de las TI en un contexto de Gobier...Juan Carlos Egido - Estructuras de gestión de las TI en un contexto de Gobier...
Juan Carlos Egido - Estructuras de gestión de las TI en un contexto de Gobier...
 
Cayetano Sánchez - Las nuevas tecnologías en el ámbito profesional de la abog...
Cayetano Sánchez - Las nuevas tecnologías en el ámbito profesional de la abog...Cayetano Sánchez - Las nuevas tecnologías en el ámbito profesional de la abog...
Cayetano Sánchez - Las nuevas tecnologías en el ámbito profesional de la abog...
 
Joaquín Garrido - Tecnologías emergentes aplicadas al entorno empresarial ali...
Joaquín Garrido - Tecnologías emergentes aplicadas al entorno empresarial ali...Joaquín Garrido - Tecnologías emergentes aplicadas al entorno empresarial ali...
Joaquín Garrido - Tecnologías emergentes aplicadas al entorno empresarial ali...
 
Borja Izquierdo - Programa Horizonte 2020
Borja Izquierdo - Programa Horizonte 2020Borja Izquierdo - Programa Horizonte 2020
Borja Izquierdo - Programa Horizonte 2020
 
Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...
Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...
Javier Mínguez - Medidas del IVACE para impulsar la I+D, la innovación y la d...
 
Maria Jose Tomás - Herramientas útiles para el desarrollo TI de empresas y or...
Maria Jose Tomás - Herramientas útiles para el desarrollo TI de empresas y or...Maria Jose Tomás - Herramientas útiles para el desarrollo TI de empresas y or...
Maria Jose Tomás - Herramientas útiles para el desarrollo TI de empresas y or...
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 

J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Diputación de Valencia. Semanainformatica.com 2014

  • 1. El Esquema Nacional de Seguridad y el Cloud Computing en la Diputación de Valencia José Benedito Agramunt Jefe Servicio de Informática Diputación de Valencia
  • 2. LA DIPUTACIÓN PROVINCIAL Y EL ENS El Pleno de la Corporación, en sesión celebrada el 16 de octubre de 2012, aprobó el Plan de Adecuación de la Diputación de Valencia al ENS, en el que se establecen las acciones necesarias y los plazos de ejecución para que los sistemas de información se ajusten al ENS. El Responsable de Seguridad de la Diputación. Dentro del Plan de Adecuación al ENS se ha elaborado la Política de Seguridad y de la Protección de Datos Personales. Dicha Política fue objeto de aprobación por el Pleno de la Corporación, el 18 de junio de 2013, a través del Reglamento de Política de Seguridad y de la Protección de Datos de Carácter Personal de la Diputación de Valencia. El Comité de Seguridad TIC se constituyó el pasado 3 de abril de 2014. Se está trabajando desde el punto de vista normativo y organizativo y también desde el punto de vista técnico informático.
  • 3. HACIA UN NUEVO MODELO DE SISTEMA DE INFORMACIÓN TRIBUTARIO (SIGTR). ¿PORQUÉ UN MODELO EN CLOUD?
  • 4. DELEGACIONES 185 187 187 220 158 168 184 179 283 0 50 100 150 200 250 300 IBI-URB IBI-RUS IAE T. T. RESIDUOS URB IVTM OTRAS TASAS MULTAS EJECUTIVA CUOTAS URB TOTAL ENTIDADES TIPOSDEDELEGACIÓN Nº DE ENTIDADES ALGUNOS DATOS DE RECAUDACIÓN
  • 5. GESTION DE TRIBUTOS RECAUDACIÓN Voluntaria Ejecutiva ASISTENCIA CONTRIBUYENTE ASESORAMIENTO TRIBUTARIO SISTEMA DE INFORMACIÓN DE GESTION Y RECAUDACIÓN DE TRIBUTOS Intercambio electrónico de datos y documentos EELL y Consorcios Entidades Publicas DiputacióndeValencia Empresas Privadas EEFF Contribuyente PresencialoTelefónico Servicio de atención a usuario Servicio de soporte técnico de sistemas Servicio de mantenimiento de la aplicación Sistema de Información Sistema de Información Sistema de Información Sistema de Información Sistema de Información Sistema de Información • El sistema soporta unos 1250 usuarios, más de 3.100.000 de recibos en 2013 (1.700.000 en 2010), más de 330 millones € recaudación en 2013 SITUACIÓN ACTUAL
  • 6. •Crecimiento de la demanda de servicio (en los últimos años > 60%) •Mayor orientación al ciudadano/contribuyente •Servicios de administración electrónica •Mejorar la funcionalidad de los procesos de Gestión Tributaria •Facilitar el trabajo colaborativo entre los ayuntamientos y el SGT •Mejorar la productividad operacional. •Necesidad de plantear SLA’s muy exigentes. ¿PORQUÉ EL CAMBIO?
  • 7. Disponibilidad del SIGTR del entorno de producción en horario estándar del periodo Disponibilidad del SIGTR del entorno de producción en horario extendido del periodo Porcentaje de resolución de incidencias durante el periodo dentro de plazo máximo de resolución según prioridad. Las prioridades serán: critica: 5 horas; media en 12 horas y baja en 48 horas Porcentaje de problemas resueltos (cierre) dentro del tiempo medio objetivo de resolución, durante el periodo Porcentaje de cambios estándares abiertos en periodo y enviados al Comité de Cambios. Se definirán los tipos de cambio durante el proyecto de implantación y establecimiento del servicio SLA,s 99,9 % (incluyendo el tiempo de inactividad programado) entre 99,60% y 99,97%. Descuento: 5% < 99,60%. Descuento: 10% 98,00 % (no incluye el tiempo de inactividad programado) < 98%. Descuento:5% 98,00 % (para cada prioridad) < 98% en alguna prioridad. Descuento: 5% 90 % en menos de 30 días naturales (tiempo medio objetivo) < 90%. Descuento:5% 99 % < 99%. Descuento:5% Ejemplo fórmula de cálculo
  • 8. Tiempo de recuperación objetivo o indisponibilidad admisible (RTO Recovery Time Objective) del SIGTR Iniciativas mensuales orientadas a la mejora continua, que serán realizadas en el próximo periodo Porcentaje de resolución (cierre) de recomendaciones y acciones correctivas, respecto a los plazos acordados al final de las auditorías Porcentaje de documentación completado y entregado en periodo Porcentaje de cumplimiento de los hitos especificados por actividades planificadas, que estén asociadas al proyecto de implantación del SIGTR, incluida la migración de datos, y establecimiento del servicio SLA,s 36 horas (tanto en horario estándar como extendido) > 36 horas. Descuento: 10% 2 iniciativas al mes < 2 propuestas y realizadas al mes. Descuento: 5% 90 % en plazo < 90%. Descuento: 10% 100 % < 100%. Descuento: 5% 90 % < 90%. Descuento: 10%
  • 9. Servicios de soporte operativo SISTEMA DE INFORMACIÓN DE GESTION Y RECAUDACIÓN DE TRIBUTOS Portalprivado EELL Entidades Publicas Diputación de Valencia Empresas Privadas y EEFF Gestión de Incidentes problemas Contribuyente Sist. InformaciónSist. Información Sist. InformaciónSist. Información Sist. InformaciónSist. Información EELL y Consorcios Proveedores de Servicios Gestión de Niveles de Servicios Plataformade Interoperabilidad Consumidores del Servicio Portal público Infraestructura y plataforma tecnológica como servicio (servidores, almacenamiento, redes, instalaciones, entornos) GESTION DE TRIBUTOS RECAUDACIÓN Voluntaria Ejecutiva ASISTENCIA CONTRIBUYENTE ASESORAMIENTO TRIBUTARIO Gestión de Capacidad, Disponibilidad y Rendimiento Gestión de Cambio Gestión de la Mejora Continua Servicioscloud Gestión de versiones Gestión de la seguridad NUEVO MODELO
  • 10. Palancas que impulsan esta tecnología en la Diputación de Valencia y entidades locales: • Ahorro y elasticidad de costes: en el modelo de pago por uso, el coste asociado a los servicios es variable • Mejora de productividad • Mejora de gestión tecnológica • Mejora de gestión de la seguridad • Enfoque de estrategia tecnológica y de servicios, externalizando la parte de la responsabilidad y la gestión de las competencias TI • Acceso directo del ciudadano • Cumplimientos de unos SLA´s exigentes VENTAJAS DEL NUEVO MODELO
  • 11. Nos encontramos con: • Diferencias del paradigma de la nube entre proveedores de servicios. • Nuevos modelos de prestación de servicio frente al modelo tradicional • Son transiciones complejas desde un modelo tradicional a la nube • Nuevas amenazas que pueden aprovechar las debilidades del servicios. Se hace necesario controlar y gestionar los riesgos: • Cumplimiento regulatorio, normativo y de protección de datos • Miedo a la pérdida de disponibilidad de la información y/o del servicio. • Pérdida/Fuga de información por fallo del proveedor/por ataques • Pérdida de Gobernanza por cesión de control • … PROBLEMÁTICA ASOCIADA
  • 12. ¡¡La Administración no está acostumbrada a este tipo de contratación!!
  • 13. • La Diputación ha consignado a través de la empresa pública IMELSA (mediante una encomienda de gestión) el presupuesto necesario para abordar el proyecto. • Se ha trabajado a dos bandas: Diputación (SGT, SIO) e IMELSA para la definición del modelo de atención al contribuyente y el modelo tecnológico. • Pendiente de la adjudicación del concurso público. Importe de licitación de 3.000.000€ a tres años. • Se ha puesto en marcha el nuevo Call Center de asistencia tributaria con uso de tecnologia IP (Cisco) y gestión de llamadas con metodología ITIL y con la herramienta Proactivanet ESTADO DEL PROYECTO
  • 14. LA SEGURIDAD Y EL ENS EN EL PROYECTO SIGTR
  • 15. El pliego contempla en relación a la seguridad de la información tres aspectos básicos: La Confidencialidad de la información. Contempla el deber de mantener el secreto de cualquier tipo de información (información personal, administrativa, técnica, informática y de seguridad) de la que el adjudicatario tenga conocimiento con objeto de la prestación. Este deber se hace extensivo a los posibles subcontratistas, estableciendo una responsabilidad solidaria (adjudicatario principal y subcontratistas) en caso de incumplimiento. El deber debe mantenerse incluso después de finalizar el contrato. Seguridad de la información. Se establecen las condiciones de seguridad que deberán ser implementadas por el adjudicatario en el entorno de la prestación del servicio. Protección de datos de carácter personal. Se determinan, por un lado, las condiciones legales establecidas por la LOPD para que el tratamiento de datos personales por cuenta de terceros no sea considerado como “cesión de datos”, en el marco de una prestación de servicios. Por otro, se señalan las medidas de seguridad que debe aplicar el adjudicatario en el tratamiento de datos personales. SEGURIDAD DE LA INFORMACIÓN
  • 16. La Visión de conjunto. Se intenta “homogenizar” las previsiones del ENS con las del RDLOPD (Reglamento de desarrollo LOPD, que contiene las medidas de seguridad para ficheros con datos de carácter personal) y con las del RPSyPDP (Reglamento de Política de Seguridad y de la Protección de Datos de Carácter Personal de la Diputación de Valencia). Determinación específica del contenido de las medidas de seguridad. Se establecen con detalle cada medida de seguridad que debe implementar el adjudicatario sobre el sistema de información. Para mejor comprensión se separan 2 anexos (I medidas del ENS y II medidas de protección de datos). Aplicación del principio de mayor protección. Se recoge este principio establecido en el RPSyPDP de la Diputación. Cuando sobre un mismo elemento, activo o aspecto del sistema de información deban aplicarse simultáneamente las medidas de seguridad del ANEXO I y del ANEXO II, serán de aplicación las medidas que ofrezcan mayor nivel de protección o de exigencia. Establecimiento de la organización, coordinación y control de la seguridad. El objetivo fundamental es que la Diputación (dueña y responsable del sistema de información) no pierda el control sobre la seguridad del sistema de información. Primero, se obliga al adjudicatario a tener personal debidamente preparado para atender las funciones de seguridad; también se le obliga a designar un responsable de seguridad, que servirá de interlocutor para el reporte de la información de seguridad que se determina, la supervisión del cumplimiento de la seguridad en el entorno del adjudicatario y la gestión de incidentes. La coordinación será con su homónimo de la Diputación (el responsable de seguridad de los sistemas de información de la Diputación). CONDICIONES DE SEGURIDAD
  • 17. Análisis de riesgos y auditoría inicial de cumplimiento a cargo del adjudicatario. Para asegurarse de los riesgos que el entorno concreto de la prestación presenta y del grado de cumplimiento del adjudicatario de las condiciones de seguridad antes de que el sistema de información entre en fase de producción. Se traslada al adjudicatario esta obligación (a su cargo), fijando las características de la auditoría (alcance y auditores profesionales e independientes) y del análisis inicial de riesgos (alcance). Limitación de riesgos. Para minimizar en lo posible determinados riesgos. Por ejemplo: Prohibición de uso de dispositivos móviles (ordenadores portátiles, smartphones, tabletas, etc) El adjudicatario únicamente podrá hacer uso de dichos dispositivos, con carácter excepcional, y por circunstancias justificadas, si previamente recaba la autorización de la Diputación. Ubicación geográfica de la infraestructura tecnológica y de la información en territorio de la UE y, preferentemente, en la península ibérica, por razones horarias y de mayores facilidades para ejercer los controles y auditorías definidas; además permite identificar el marco legal aplicable y garantizar en mayor medida su cumplimiento. Mayores exigencias de seguridad. Aunque el sistema de información está categorizado como de nivel Medio, se han reforzado determinados requisitos de seguridad como resultado de los riesgos que van asociados a la externalización del servicio. Ejemplo: Exigencia de medios alternativos (instalaciones alternativas, comunicaciones alternativas, equipamiento alternativo, personal alternativo, etc). El adjudicatario debe garantizar la existencia y disponibilidad de estos medios alternativos, para poder seguir manteniendo los servicios prestados en idénticas condiciones en caso de que los medios habituales no estén disponibles por cualquier causa. Además, los medios alternativos han de tener las mismas garantías técnicas y de seguridad que los medios habituales. CLAUSURADO DE SEGURIDAD
  • 18. En general, el clausulado de seguridad de la información está orientado no solo al cumplimiento del entorno de seguridad adecuado para el sistema de información afectado, sino a que la Diputación, como responsable del sistema, no pierda en ningún momento el control de la seguridad del sistema. Para ello se disponen algunos medios o instrumentos: Mediante el establecimiento de la estructura organizativa de seguridad, de la que se ha hablado anteriormente al referirnos al establecimiento de la organización, coordinación y control de la seguridad (roles de seguridad, funciones de cada responsable y características del personal especializado; determinación de vías o canales de comunicación Diputación- proveedor, etc) Todo tipo de documentación: informes, normativas, procedimientos, documentos requeridos legal o contractualmente, etc., que se generen por el adjudicatario en cumplimiento de los requisitos de seguridad que le impone el pliego técnico, pasaran a ser documentación de seguridad del sistema de información y, por tanto, deberán ponerse a disposición de la Diputación de Valencia Debe ponerse en conocimiento del Responsable de Seguridad de los Sistemas de Información de la Diputación de Valencia de forma inmediata cualquier hecho -evidente, indiciario o sospechoso- que, tras la revisión de los registros de actividad, pudiese ser constitutivo de la realización de actividades indebidas o no autorizadas. También debe notificarse cualquier incidencia de seguridad que afecte de forma importante al sistema. CLAUSULADO DE SEGURIDAD
  • 19. •El adjudicatario deber entregar un informe mensual de seguimiento de los controles de seguridad, cuanto menos sobre los siguientes aspectos: o Gestión de incidentes de seguridad o Controles de acceso o Cumplimiento normativo y legislativo o Mecanismos de comprobación periódica de los controles de seguridad • De igual forma, deberá presentar trimestralmente los resultados de análisis de vulnerabilidades de las siguientes áreas: o escaneo de vulnerabilidad de la infraestructura de electrónica de red y comunicación o escaneo de vulnerabilidades de las bases de datos o escaneo de vulnerabilidades de las aplicaciones web. •La Diputación se reserva el derecho de instar al adjudicatario a modificar su normativa y procedimientos de seguridad para ajustarse a la propia que en cada momento pueda adoptar la Diputación de Valencia. De igual forma, está obligado a adoptar los cambios de seguridad que la Diputación le señale a la vista de los resultados de los análisis de riesgos y auditorías periódicas. CLAUSULADO DE SEGURIDAD
  • 20. El adjudicatario debe recabar la autorización de la Diputación para determinadas actuaciones, como la entrada en producción de las aplicaciones tras pasar éstas el filtro de vulnerabilidades, o para dar acceso a usuarios y procesos al sistema de información. También debe estar a lo que la Diputación le indique en cada momento respecto a la política de contraseñas (calidad, períodos de renovación, número de intentos de acceso fallidos, etc) y de copias de respaldo (periodicidad, contenido, etc). Con independencia de las obligaciones de auditoría y análisis de riesgos que debe llevar a cabo el adjudicatario, la Diputación siempre se reserva el derecho de proceder a la inspección y supervisión del entorno físico y lógico en el que se desarrolla la prestación del servicio en el marco de la seguridad de la información y de la protección de datos personales. El adjudicatario y los posibles subcontratistas están obligados a facilitar este derecho de supervisión y disponer todo lo necesario para su pleno ejercicio. CLAUSULADO DE SEGURIDAD
  • 22. José Benedito Agramunt Jefe de Servicio de Informática Delegación de Nuevas Tecnologías DIPUTACIÓN DE VALENCIA Tel: 963882893 e-mail: jose.benedito@dival.es ¡¡MUCHAS GRACIAS!!