1. CURSO DE TELEFORMACIÓN:CURSO DE TELEFORMACIÓN:
"LA SEGURIDADDE LA INFORMACIÓN DEL ORGANISMO"LA SEGURIDADDE LA INFORMACIÓN DEL ORGANISMO
PAGADORDE LA COMUNIDADAUTÓNOMA DE CASTILLA YPAGADORDE LA COMUNIDADAUTÓNOMA DE CASTILLA Y
LEÓN“LEÓN“
Bloque IV: Conclusiones GeneralesBloque IV: Conclusiones Generales
CURSO DE TELEFORMACIÓN:CURSO DE TELEFORMACIÓN:
"LA SEGURIDADDE LA INFORMACIÓN DEL ORGANISMO"LA SEGURIDADDE LA INFORMACIÓN DEL ORGANISMO
PAGADORDE LA COMUNIDADAUTÓNOMA DE CASTILLA YPAGADORDE LA COMUNIDADAUTÓNOMA DE CASTILLA Y
LEÓN“LEÓN“
Bloque IV: Conclusiones GeneralesBloque IV: Conclusiones Generales
26 de mayo – 30 de junio de 2014
2. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
2
Llegados a este punto del curso, lo que nos queda ya por hacer es extraer unas conclusiones generales con el fin de
consolidar los conocimientos adquiridos en los anteriores Bloques.
Antes de leer las conclusiones expuestas a continuación, cada uno de nosotros debería escribir sus propias
concusiones del curso, y complementarlas con estas, de manera que podamos obtener unos resultados sólidos de
conocimiento sobre la Gestión de la Seguridad de la Información, y su aplicación en el Organismo Pagador.
Es probable por tanto las conclusiones del curso, no sean iguales para todos y esto proponga un tema de foro. No
obstante los tutores del curso proponemos a continuación las siguientes:
La seguridad absoluta es algo que no existe, pero sin embargo si es algo hacia lo que se tiende.
Los recursos son limitados. Tanto para quien implanta las medidas de seguridad, como para quien las quiera
quebrantar.
La mejor protección asignada a un activo es la que alcanza un equilibrio entre el valor de ese activo y las medidas
de seguridad que se le implanten.
La seguridad de la información se define como la preservación de una serie de Dimensiones en las que nos
apoyaremos para valorar, en primer lugar; cómo de segura necesito que esté esta información y en segundo lugar
cómo de segura se encuentra verdaderamente. Estas dimensiones son: Confidencialidad, Integridad y
Conclusiones Generales del Curso0.
3. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
3
La seguridad de la información se gestiona para aplicar el nivel de seguridad adecuado a cada activo de
información.
Un Sistema de GestiónSistema de Gestión de Seguridad de la Informaciónde Seguridad de la Información basado en ISO 27001:2005, es un modelomodelo centrado en
mitigar el riesgo al que están sujetos los activos de información en las organizaciones.
La norma ISO27001 es una Herramienta para la Dirección de las organizaciones para llevar a cabo Políticas y
Objetivos de seguridad, y no es una norma destinada a proteger el departamento de informática.
La norma ISO 27001 establece los requerimientos fundamentales para un SGSI. Consta de una introducción y 8
cláusulas, algunas de las cuales están subdivididas en sub-cláusulas.
La norma ISO 27002 es un Código de Buenas Prácticas para la gestión de la Seguridad de la Información. NO es
una norma certificable, NO recoge controles obligatorios y NO establece un Sistema de Gestión.
LosLos Objetivos de ControlObjetivos de Control son losson los resultados que se esperan alcanzar mediante la implementación de controles. Los
ControlesControles sonson prácticas, procedimientos o mecanismos que reducen el nivel de riesgo.
La Política de Seguridad está definida por la Dirección de la Organización, recoge una normativa común de
seguridad, que regula las líneas maestras sobre cómo trabajar en seguridad en la Organización. Debe estar
documentada y actualizada en todo momento.
Conclusiones Generales del Curso0.
4. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
4
En el Organismo PagadorOrganismo Pagador, se define la Política de Seguridad a través del documento de “Declaración del Director
del Organismo Pagadorporlaque seestablecen las líneas deactuación de laPolíticadeSeguridaddelaInformación del
Organismo PagadordelaComunidadAutónomadeCastillayLeón”. (aprobado por el Director del Organismo Pagador
el 1 de junio de 2007)
La Gestión de la Seguridad de la Información re q uie re de lo s tres grandes grupos de una Organización: Organización
Técnica, Parte Administrativa y de Gestión, Procesos de Negocio o Actividad Principal. Estos tres grupos deben
estar representados en el Comité de Seguridad para que las medidas aprobadas sean eficientes.
En el Organismo Pagador, dando cumplimiento a los Objetivos de Control y Controles de la Sección 5 de la ISO
27002 “Aspectos Organizativos”, existe una estructura organizativa en materia de seguridad definida en la “O RDEN
DE 22 DE ABRIL DE 20 0 8 DE LACO NSEJERIADE AGRICULTURAY G ANADERIAPO R LAQUE SE MO DIFICA
LAO RDENDE 27 DE MARZO DE 20 0 3 PO R LASE APRUEBALAO RGANIZACIÓ NDE LASEG URIDAD DE LO S
SISTEMAS DE INFO RMACIO NDEL O RGANISMO PAGADO R DE LACO MUNIDAD AUTO NO MADE CASTILLAY
LEO N”
El análisis de riesgos se realiza para que los criterios en los que se apoya la seguridad sean más objetivos.
La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de
Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad
proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información. El
Conclusiones Generales del Curso0.
5. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
5
Para tener éxito en la implantación de un SGSI, hay que tener en cuanta factores como; Implicar a las personas
que participen en su implantación, hay que definir bien el alcance de la implantación, debemos implantar la cultura de
prevenir en vez de la de solucionar o apagar fuegos, la organización debe estar preparada para el cambio, y la
implantación debe estar orientada a la mejora de la Organización.
Es necesario mantener los registros del SGSI actualizados porque nos van a proporcionar información sobre el
curso del SGSI y porque será información que valide el cumplimiento de los requisitos.
Las auditorías se realizan para determinar que el SGSI ha sido documentado e implementado de acuerdo a una
norma determinada.
En el ámbito del Organismo Pagador se realizan una serie de Auditorías Específicas (Auditoría del Organismo de
Certificación, Auditoría Interna, Misiones Europeas) y otras auditorías realizadas a la Consejería de Agricultura y
Ganadería en el ámbito de la Administración de la Comunidad de Castilla y León (Auditoría de cumplimiento de la
LOPD, Auditoría de Cumplimiento del ENS.)
El Esquema Nacional de Seguridad (ENS) procede de la Ley 11/2007, de acceso electrónico de los ciudadanos a
los servicios públicos, y su objeto es establecer la política de seguridad en la utilización de medios electrónicos.
El ENS busca garantizar el acceso, confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y
conservación de datos, información y servicios mediante 6 principios básicos y 15 requisitos mínimos.
Conclusiones Generales del Curso0.
6. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
Conclusiones Generales del Curso0.
Los 6 principios básicos pretenden determinar las bases generales que debemos seguir para aplicar las medidas
que nos marca el ENS.
Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de una política de
seguridad que se establecerá en base a los 6 principios básicos y se desarrollará aplicando los 15 requisitos
mínimos.
Para cumplir con los requisitos mínimos se aplicarán las medidas de seguridad referidas en el ANEXO II del ENS.
Se hará un exhaustivo Análisis de Riesgos previo para tener en cuenta los activos que constituyen el sistema, la
categoría de estos sistemas y las decisiones que se adopten para gestionarlos riesgos.
Se deberán determinar los sistemas de información en categorías determinando las mismas en función del impacto
que tendría un incidente que afectará a la seguridad de la información o a los servicios. Las dimensiones a tener en
cuenta serán la integridad, disponibilidad, confidencialidad, autenticidad y trazabilidad. Un sistema alcanzará la
categoría de la dimensión de seguridad que tenga MAYORnivel.
En la Consejería de Agricultura y Ganadería de la Junta de Castilla y León se han determinado dos sistemas de
información de nivel medio (Sistema AYGA y Sistema AYGR).
Las medidas de seguridad que nos marca el ENS se encuentran en el ANEXO II del mismo y se dividen en tres
grupos bien diferenciados: Marco organizativo, Marco operacional y Medidas de Protección.
7. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
Conclusiones Generales del Curso0.
Los estándares ISO 27000 y el ENS son COMPATIBLES aunque entre ellos también existen diferencias a tener en
cuenta.
El Esquema Nacional de Interoperabilidad (ENI) busca garantizar el adecuado nivel de interoperabilidad
organizativa, semántica y técnica de los sistemas y aplicaciones empleados en las AAPP.
ENS y ENI son COMPLEMENTARIOS haciendo el ENI referencia al cumplimiento de ENS dentro de la dimensión
organizativa referida a las condiciones de acceso y utilización de los servicios, datos y documentos que se deban
poner a disposición de otras AAPP.
Existen varios organismos que ayudan a las AAPP a tener una mayor seguridad de la información mediante la
resolución de incidentes de Seguridad de la Información, publicación de guías y otros materiales relacionados con la
seguridad e incluso la impartición de formaciones. Los principales organismos a tener en cuenta son la Agencia
Española de Protección de Datos (AEPD), el Centro Criptológico Nacional (CCN), el Consejo Superior de
Administración Electrónica (CSAE) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO).
8. CURSODETELEFORMACIÓN: "LASEGURIDADDELAINFORMACIÓN DELORGANISMO
PAGADORDELACOMUNIDADAUTÓNOMA DECASTILLAYLEÓN“
BloqueIV: Conclusiones Generales
8
SYMBIOSIS Strategy & Management Consulting, S.L.L.
Parque Científico de la Universidad de Valladolid
Paseo Belén 11 - Edificio I+D Campus Miguel Delibes
47011 Valladolid
CIF: B47650189
www.symbiosisconsultores.com
tf. 983 25 45 07
@Symbiosis_Cons
SYMBIOSIS Strategy & Management Consulting, S.L.L.
Parque Científico de la Universidad de Valladolid
Paseo Belén 11 - Edificio I+D Campus Miguel Delibes
47011 Valladolid
CIF: B47650189
www.symbiosisconsultores.com
tf. 983 25 45 07
@Symbiosis_Cons
Tutores:
Ro drig o Martín ro drig o . m artin@ sym bio sisco nsulto re s. co m
@ Ro dri_ Martin
También puedes seguirnos en: