A Xunta de Galicia pon en marcha un plan para mellorar a seguridade dos sistemas informáticos na administración pública
A Xunta de Galicia mellorará a seguridade dos sistemas de información de todos os seus departamentos coa posta en marcha dun Plan Director de Seguridade da Información, que cun orzamento de 2,8 millóns de euros abarca o período 2010-2014. O plan contempla dez liñas de actuación e aplicarase progresivamente ao conxunto de consellerías da Administración autonómica, aos seus organismos autónomos, sociedades públicas e fundacións do sector público autonómico.
Dentro deste plan, que desenvolverá a Secretaría Xeral de Modernización e Innovación Tecnolóxica, analizaranse as necesidades, planificación, deseño, xestión e implantación dos sistemas de información e elementos tecnolóxicos nos órganos da Administración de Xustiza en Galicia. Ademais, perfílanse unha serie de iniciativas orientadas a asesorar e sensibilizar ao persoal da Administración Local en materia de protección de datos, de seguridade informática e de acceso electrónico dos cidadáns aos servizos públicos
Liñas de actuación
A primeira liña do Plan de Seguridade refírese á xestión de continuidade e da dispoñibilidade que establece os sistemas de protección que permitirán reducir a probabilidade de que se produza un incidente e, en caso de que suceda, acurtar o tempo de recuperación e minimizar o seu impacto.
Dentro desta liña encádranse as primeiras medidas urxentes que se porán en marcha e que son o resultado da análise dos problemas de comunicacións detectados na Rede Corporativa da Xunta de Galicia durante o 2009 e principios de 2010. Estas iniciativas, que inclúen a adquisición de equipamento e a separación da conexión á rede do posto de usuario das conexións dos servidores, redundarán nunha mellora da seguridade e dispoñibilidade da Rede co obxectivo de lograr que os servizos telemáticos estean accesibles un 100% do tempo. Compleméntanse coa posta en marcha dun novo Centro de Respaldo do Centro de Datos Corporativa en Pontevedra.
En canto á xestión do acceso á información dispóñense mecanismos para asegurar que o acceso físico ás instalacións nas que se atopan os servidores se efectúen de maneira controlada. Por outra banda, tomaranse novas medidas de xestión do control de acceso no posto de traballo definindo os requisitos de acceso dos usuarios. Con este obxectivo implantarase un sistema de identificación dixital do empregado público e un sistema de xestión de acceso á rede para determinar o estado de seguridade do equipamento informático.
Con respecto á protección de datos de carácter persoal, búscase asegurar o máximo respecto das garantías e dereitos dos cidadáns nas súas relacións coas administracións. Dentro desa liña de actuación, contémplanse o apoio dos responsables de seguridade organizativa e técnica dos departamentos, coordinados polo Centro de Seguridade da Información (CSI), dependente da Secretaría Xeral de Modernización e Innovación Tecnolóxica.
Outra das liñas do plan é a avaliación e control dos riscos dos activos (información, datos, documentación, servizos, aplicacións, equipamento, comunicacións, recursos administrativos, físicos e humanos) que permiten a súa minimización ata niveis aceptables. Con esta finalidade despregaranse medidas de seguridade adecuadas, eficaces e proporcionadas, nun proceso de mellora continua que leve á organización a ser máis preventiva que reactiva fronte ás incidencias de seguridade.
Un dos activos máis importantes é a propia documentación de seguridade. Por iso o Comité de Seguridade dos Sistemas de Información, mediante auditorías periódicas, validará que esta xestión da documentación estea en consonancia coas medidas dispostas no protocolo de arquivo e documento electrónico.
A xestión da seguridade está considerada no plan como un proceso transversal á organización, e o persoal de soporte técnico das distintas consellerías e organismos velará para que os procesos e actividades TIC cumpran e se adecúen ás medidas de seguridade establecer.
Para concienciar e implicar na xestión da seguridade a toda a dirección e persoal que presta servizos á Administración autonómica porase en marcha un plan de divulgación con accións formativas, campañas de difusión e sensibilización sobre protección de datos, políticas de uso seguro do posto de traballo e outras cuestións relacionadas co temas que contará coa colaboración de especialistas.
Pola especial importancia que ten a protección de datos persoais, estudarase a posibilidade de pór en marcha unha autoridade independente, que permita levar a cabo as labores divulgativas, formativas e de control en materia de protección de datos persoais dentro da Comunidade Autónoma de Galicia, asumindo as competencias que procedan, para colaborar coa Axencia Española de Protección de Datos.
As dúas últimas liñas de actuación consisten na elaboración dunha orde para o desenvolvemento do decreto de boas prácticas e na creación dunha ferramenta para poder avaliar o grao de seguridade que se vai alcanzando. É o que se denomina cadro de mandos, un instrumento de medida que, a través dun conxunto de indicadores, permitirá dispor de información que facilite a toma de decisións no ámbito da seguridade da información.
Cumprimento do Esquema Nacional de Seguridade
Coa posta en marcha deste Plan dáse tamén resposta ás esixencias do Esquema Nacional de Seguridade, que indica que todos los órganos superiores das Administracións públicas deberán dispoñer formalmente da súa política de seguridade, que será aprobada polo titular do órgano superior correspondente. De aí a necesidade de fixar a Política de Seguridade da Xunta de Galicia nun documento que detalle o compromiso do Goberno galego coa seguridade da información, as atribucións de cada responsable e os mecanismos de coordinación e resolución de conflitos dentro das materias de seguridade da información.
La Xunta de Galicia mejorará la seguridad de los sistemas de información de todos sus departamentos con la puesta en marcha de un Plan Director de Seguridad de la Información, que con un presupuesto de 2,8 millones de euros abarca el período 2010-2014. El plan contempla diez líneas de actuación y se aplicará progresivamente al conjunto de consellerías de la Administración autonómica, a sus organismos autónomos, sociedades públicas y fundaciones del sector público autonómico. Dentro de este plan, que desarrollará la Secretaría General de Modernización e Innovación Tecnológica, se analizarán las necesidades, planificación, diseño, gestión e implantación de los sistemas de información y elementos tecnológicos en los órganos de la Administración de Justicia en Galicia. Además, se perfilan una serie de iniciativas orientadas a asesorar y sensibilizar al personal de la Administración Local en materia de protección de datos, de seguridad informática y de acceso electrónico de los ciudadanos a los servicios públicos. Líneas de actuación La primera línea del Plan de Seguridad se refiere a la gestión de continuidad y de la disponibilidad que establece los sistemas de protección que permitirán reducir la probabilidad de que se produzca un incidente y, en caso de que suceda, acortar el tiempo de recuperación y minimizar su impacto. Dentro de esta línea se encuadran las primeras medidas urgentes que se pondrán en marcha y que son el resultado del análisis de los problemas de comunicaciones detectados en la Red Corporativa de la Xunta de Galicia durante el 2009 y principios de 2010. Estas iniciativas, que incluyen la adquisición de equipamiento y la separación de la conexión a la red del puesto de usuario de las conexiones de los servidores, redundarán en una mejora de la seguridad y disponibilidad de la Red con el objetivo de lograr que los servicios telemáticos estén accesibles un 100% del tiempo. Se complementan con la puesta en marcha de un nuevo Centro de Respaldo del Centro de Datos Corporativa en Pontevedra. En cuanto a la gestión del acceso a la información se disponen mecanismos para asegurar que el acceso físico a las instalaciones en las que se encuentran los servidores se efectúen de manera controlada. Por otra parte, se tomarán nuevas medidas de gestión del control de acceso en el puesto de trabajo definiendo los requisitos de acceso de los usuarios. Con este objetivo se implantará un sistema de identificación digital del empleado público y un sistema de gestión de acceso a la red para determinar el estado de seguridad de la equipación informática. Con respeto a la protección de datos de carácter personal, se busca asegurar el máximo respeto de las garantías y derechos de los ciudadanos en sus relaciones con las administraciones. Dentro de esa línea de actuación, se contemplan el apoyo de los responsables de seguridad organizativa y técnica de los departamentos, coordinados por el Centro de Seguridad de la Información (CSI), dependiente de la Secretaría General de Modernización e Innovación Tecnológica. Otra de las líneas del plan es la evaluación y control de los riesgos de los activos (información, datos, documentación, servicios, aplicaciones, equipamiento, comunicaciones, recursos administrativos, físicos y humanos) que permiten su minimización hasta niveles aceptables. Con esta finalidad se desplegarán medidas de seguridad adecuadas, eficaces y proporcionadas, en un proceso de mejora continua que lleve a la organización a ser más preventiva que reactiva frente a los incidentes de seguridad. Uno de los activos más importantes es la propia documentación de seguridad. Por eso el Comité de Seguridad de los Sistemas de Información, mediante auditorías periódicas, validará que esta gestión de la documentación esté en consonancia con las medidas dispuestas en el protocolo de archivo y documento electrónico. La gestión de la seguridad está considerada en el plan como un proceso transversal a la organización, y el personal de soporte técnico de las distintas consellerías y organismos velará para que los procesos y actividades TIC cumplan y se adecúen a las medidas de seguridad establecer. Para concienciar e implicar en la gestión de la seguridad a toda la dirección y personal que presta servicios a la Administración autonómica se pondrá en marcha un plan de divulgación con acciones formativas, campañas de difusión y sensibilización sobre protección de datos, políticas de uso seguro del puesto de trabajo y otras cuestiones relacionadas con el temas que contará con la colaboración de especialistas. Por la especial importancia que tiene la protección de datos personales, se estudiará la posibilidad de poner en marcha una autoridad independiente, que permita llevar a cabo las labores divulgativas, formativas y de control en materia de protección de datos personales dentro de la Comunidad Autónoma de Galicia, asumiendo las competencias que procedan, para colaborar con la Agencia Española de Protección de Datos. Las dos últimas líneas de actuación consisten en la elaboración de una orden para el desarrollo del decreto de buenas prácticas y en la creación de una herramienta para poder evaluar el grado de seguridad que se va alcanzando. Es lo que se denomina salpicadero, un instrumento de medida que, a través de un conjunto de indicadores, permitirá disponer de información que facilite la toma de decisiones en el ámbito de la seguridad de la información. Cumplimiento del Esquema Nacional de Seguridad Con la puesta en marcha de este Plan se da también respuesta a las exigencias del Esquema Nacional de Seguridad, que indica que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente. De ahí la necesidad de fijar la Política de Seguridad de la Xunta de Galicia en un documento que detalle el compromiso del Gobierno gallego con la seguridad de la información, las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos dentro de las materias de seguridad de la información.
