A Xunta de Galicia mellorará a seguridade dos sistemas de información de todos os seus departamentos coa posta en marcha dun Plan Director de Seguridade da Información, que cun orzamento de 2,8 millóns de euros abarca o período 2010-2014. O plan contempla dez liñas de actuación e aplicarase progresivamente ao conxunto de consellerías da Administración autonómica, aos seus organismos autónomos, sociedades públicas e fundacións do sector público autonómico.

Dentro deste plan, que desenvolverá a Secretaría Xeral de Modernización e Innovación Tecnolóxica, analizaranse as necesidades, planificación, deseño, xestión e implantación dos sistemas de información e elementos tecnolóxicos nos órganos da Administración de Xustiza en Galicia. Ademais, perfílanse unha serie de iniciativas orientadas a asesorar e sensibilizar ao persoal da Administración Local en materia de protección de datos, de seguridade informática e de acceso electrónico dos cidadáns aos servizos públicos

Liñas de actuación

A primeira liña do Plan de Seguridade refírese á xestión de continuidade e da dispoñibilidade que establece os sistemas de protección que permitirán reducir a probabilidade de que se produza un incidente e, en caso de que suceda, acurtar o tempo de recuperación e minimizar o seu impacto.

Dentro desta liña encádranse as primeiras medidas urxentes que se porán en marcha e que son o resultado da análise dos problemas de comunicacións detectados na Rede Corporativa da Xunta de Galicia durante o 2009 e principios de 2010. Estas iniciativas, que inclúen a adquisición de equipamento e a separación da conexión á rede do posto de usuario das conexións dos servidores, redundarán nunha mellora da seguridade e dispoñibilidade da Rede co obxectivo de lograr que os servizos telemáticos estean accesibles un 100% do tempo. Compleméntanse coa posta en marcha dun novo Centro de Respaldo do Centro de Datos Corporativa en Pontevedra.

En canto á xestión do acceso á información dispóñense mecanismos para asegurar que o acceso físico ás instalacións nas que se atopan os servidores se efectúen de maneira controlada. Por outra banda, tomaranse novas medidas de xestión do control de acceso no posto de traballo definindo os requisitos de acceso dos usuarios. Con este obxectivo implantarase un sistema de identificación dixital do empregado público e un sistema de xestión de acceso á rede para determinar o estado de seguridade do equipamento informático.

Con respecto á protección de datos de carácter persoal, búscase asegurar o máximo respecto das garantías e dereitos dos cidadáns nas súas relacións coas administracións. Dentro desa liña de actuación, contémplanse o apoio dos responsables de seguridade organizativa e técnica dos departamentos, coordinados polo Centro de Seguridade da Información (CSI), dependente da Secretaría Xeral de Modernización e Innovación Tecnolóxica.

Outra das liñas do plan é a avaliación e control dos riscos dos activos (información, datos, documentación, servizos, aplicacións, equipamento, comunicacións, recursos administrativos, físicos e humanos) que permiten a súa minimización ata niveis aceptables. Con esta finalidade despregaranse medidas de seguridade adecuadas, eficaces e proporcionadas, nun proceso de mellora continua que leve á organización a ser máis preventiva que reactiva fronte ás incidencias de seguridade.

Un dos activos máis importantes é a propia documentación de seguridade. Por iso o Comité de Seguridade dos Sistemas de Información, mediante auditorías periódicas, validará que esta xestión da documentación estea en consonancia coas medidas dispostas no protocolo de arquivo e documento electrónico.

A xestión da seguridade está considerada no plan como un proceso transversal á organización, e o persoal de soporte técnico das distintas consellerías e organismos velará para que os procesos e actividades TIC cumpran e se adecúen ás medidas de seguridade establecer.
Para concienciar e implicar na xestión da seguridade a toda a dirección e persoal que presta servizos á Administración autonómica porase en marcha un plan de divulgación con accións formativas, campañas de difusión e sensibilización sobre protección de datos, políticas de uso seguro do posto de traballo e outras cuestións relacionadas co temas que contará coa colaboración de especialistas.

Pola especial importancia que ten a protección de datos persoais, estudarase a posibilidade de pór en marcha unha autoridade independente, que permita levar a cabo as labores divulgativas, formativas e de control en materia de protección de datos persoais dentro da Comunidade Autónoma de Galicia, asumindo as competencias que procedan, para colaborar coa Axencia Española de Protección de Datos.

As dúas últimas liñas de actuación consisten na elaboración dunha orde para o desenvolvemento do decreto de boas prácticas e na creación dunha ferramenta para poder avaliar o grao de seguridade que se vai alcanzando. É o que se denomina cadro de mandos, un instrumento de medida que, a través dun conxunto de indicadores, permitirá dispor de información que facilite a toma de decisións no ámbito da seguridade da información.

Cumprimento do Esquema Nacional de Seguridade

Coa posta en marcha deste Plan dáse tamén resposta ás esixencias do Esquema Nacional de Seguridade, que indica que todos los órganos superiores das Administracións públicas deberán dispoñer formalmente da súa política de seguridade, que será aprobada polo titular do órgano superior correspondente. De aí a necesidade de fixar a Política de Seguridade da Xunta de Galicia nun documento que detalle o compromiso do Goberno galego coa seguridade da información, as atribucións de cada responsable e os mecanismos de coordinación e resolución de conflitos dentro das materias de seguridade da información.