Ponencia: "Novotec y las TIC. Esquema Nacional de Seguridad".
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
1. compromiso con el conocimiento
Breve Presentación
NOVOTEC Y LAS TIC
ESQUEMA NACIONAL DE SEGURIDAD
2. El grupo Applus+
Multinacional española líder en ensayo, inspección,
certificación y servicios tecnológicos.
Referente global en el ámbito de la evaluación de la
conformidad
Con 5 Divisiones
Conocimiento experto especializadas desde donde
multisectorial: se despliegan los servicios
IAT LGAI RTD IDIADA AUTO
Más de 12.000 personas en más de 40 países, con
proximidad.
Página 2
www.applus.com
3. Quiénes somos IDENTIDAD
Ofrecemos soluciones integrales
de consultoría, medio ambiente y sostenibilidad, prevención,
tecnologías de la información, seguridad, y project
management, que generan valor para nuestros clientes,
orientadas a la mejora de la gestión de sus organizaciones.
Más de 25 años comprometidos con el
conocimiento, la calidad, la innovación y la
especialización sectorial, han logrado que
sea líder en su sector.
Página 3
4. Applus+ y las TIC
Applus+ es una multinacional española, con más de 11.000 empleados en La evaluación de la
el mundo, líder en la evaluación de la conformidad (inspección, consultoría, conformidad consiste en
asistencia, ensayo y certificación), con laboratorios de seguridad verificar que los sistemas,
reconocidos y acreditados, enfocando la actividad de la seguridad desde productos, instalaciones o
una perspectiva integral gracias al conocimiento multisectorial. procesos cumplen con
determinados estándares bien
Applus+ estructura su actividad en el campo de las Tecnologías de la para el cumplimiento de la ley
Información y la Seguridad en tres grandes bloques: Producto, o requeridos por los propios
Sistemas/Procesos e Instalaciones/Infraestructuras. clientes que buscan una
diferenciación en el mercado.
Análisis de Riesgos, BIA y desarrollo de
Ensayo Inspección
planes
Auditorías de Cumplimiento, de Diagnóstico Auditorías de Cumplimiento, de Diagnóstico
Ayuda al cumplimiento
y Forense y Forense
Certificación de producto: Common Criteria
Desarrollo de referenciales Gestión de activos (Asset Management)
y otros
Forénsica Implantación de sistemas Seguridad en CPDs, Quirófanos inteligentes
Servicios para las leyes en Soc. Info: ENS,
Desarrollo de referenciales Infraestructuras Críticas
ENI, LOPD, Infraestr. Críticas...
Página 4
5. Portfolio de Soluciones en Tecnología de la Información
Soluciones BPMS
APOYO Business Intelligence
TECNOLÓGICO
A LA Desarrollo de aplicaciones de negocio
CONSULTORÍA
Automatización de Flujos de Trabajo
DE PROCESOS
Movilización de Aplicaciones
Consultoría y Auditoría de Seguridad
SEGURIDAD Y
Análisis de Riesgos GOBIERNO DE
Buen Gobierno TIC LAS
TECNOLOGÍAS
Oficinas de Proyecto (PMO) DE LA
Consultoría para la e-Administración INFORMACIÓN
Asumimos la gestión de los
OUTSOURCING Procesos de Negocio de nuestros
(BPO) clientes para su plena dedicación a
las actividades “Core Business”
Página 5
6. Addicionalmente, otros apoyos: Applus+ Formación
Servicios de Formación. Entorno Virtual. Applusnet
Applusnet permite la formación en línea y semipresencial (blended) a través de sus aulas online, aulas síncronas y
herramientas web 2.0 (blogs, wikis, videostreaming...). En Applusnet también puede acceder a espacios privados (grupos) en
que es posible consultar documentación de jornadas, conferencias, etc, que Applus+ organiza.
Applusnet, es el entorno virtual que incluye un potente conjunto de herramientas que permite a los usuarios, estar informados,
compartir conocimientos, trabajar de forma colaborativa y aprender en un entorno virtual de aprendizaje mediante herramientas
Web 2.0.
A través de los Foros de Applusnet se puede acceder a opiniones de expertos, y hacer preguntas sobre diferentes temáticas.
Applusnet ofrece a sus usuarios registrados acceso a los blogs de muchas áreas de conocimiento que los expertos de Applus+
actualizan.
Espacios para trabajar
Campus online de colaborativamente/compartir
formación información y conocimiento
Applus+ configura entornos
virtuales basados en
Applusnet para sus clientes
con las herramientas y
contenidos particularizados a
sus necesidades, plan de
formación, gestión de
comunidades, etc.
Punto de encuentro entre y con profesionales y expertos
Página 6
7. Addicionalmente, otros apoyos: Applus+ Formación
La imagen muestra, como ejemplo, el uso de la plataforma Applusnet para la formación y mantenimiento de competencias del
personal de Applus+.
La comunidad virtual actúa como eje vertebrador y lugar para el desarrollo de las sinergias.
Noticias, reportajes y entrevistas
de temas a destacar, accesibles Aulas y grupos accesibles por grupos de personas seleccionados en el que se
por todos los usuarios del puede:
entorno. Realizar la impartición de un curso (incluida la evaluación).
Grupos para compartir información/trabajar colaborativamente
Blogs de expertos accesibles a todos los usuarios
en los que los expertos podrán publicar aquellos
aspectos relevantes de su práctica. Foros de debate libre o controlado (según
Página 7
rol) para tratar temáticas diversas.
8. Addicionalmente, otros apoyos: Applus+ Formación
Otros ejemplos realizados con
la plataforma
Formación en modalidad
presencial, online y blended.
Proyectos de e-Learning.
Preparación de Plan de
Formación e itinerarios
formativos, plan de acogida
Establecimiento y mantenimiento
de Comunidades Virtuales para el
aprendizaje y mantenimiento de
competencias.
Página 8
9. Addicionalmente: Cátedra UPM Applus+
Applus+ colabora en forma fluida con la Universidad para asegurar la transmisión del conocimiento la cooperación
conjunta en proyectos y el establecimiento de relaciones más fuertes con el mundo académico Se cuenta la
Cátedra UPM Applus+ para el Desarrollo y la Seguridad en la Sociedad de
la Información fundada el 23 de mayo de 2006 con la siguiente misión.
Misión
• Contribuir a la calidad y seguridad de la información, la http://www.capsdesi.upm.es/
concienciación a través de la difusión de los conceptos,
técnicas y herramientas relacionadas con la seguridad
informática y el desarrollo de la Sociedad de la
Información, inicialmente en los países del ámbito
Iberoamericano, potenciando así , la excelencia de la
profesión, la investigación y el desarrollo.
Ser un puente de unión entre las actividades e intereses del mundo académico, el empresarial, las instituciones y
los usuarios.
Ser un puente de unión y difusión entre América latina y la Unión Europea en la seguridad y desarrollo de la
Sociedad de la Información
Página 9
10. Esquema Nacional de Seguridad
De nuevo estamos frente a una práctica que requiere el establecimiento de un sistema que
permita gestionar la seguridad para proporcionar la confianza.
No se trata de un tema nuevo, por lo que hay abundante literatura, experiencia y múltiples
formatos de Planes Directores, de implementación … que recogen el conjunto de
actuaciones que la entidad debe realizar para poner en marcha y mantener la práctica. Estos
deben identificar las actividades a realizar y definir los objetivos esperados. Puntos importantes
del plan son que queden establecidos el tiempo necesario para la puesta en marcha, la
secuencia, las prioridades y dependencias, los costes, los riesgos …
Al hablar de la administración (autonómica, central, local…) debe quedar recogido el requisito
legal y cumplir con el Esquema Nacional de Seguridad. Para ello debe realizarse:
Política de seguridad
Inventario y valoración de la información afectada, incluidos los datos personales y
de los servicios prestados
Análisis de riesgos
Categorización de los sistemas
Declaración de aplicabilidad
Plan de implantación de la seguridad
Página 10
¿Cómo llegamos?
11. Etapas implantación
Definición del Alcance. El ámbito Inventario de los activos de Valoración de los activos.
de aplicación del Esquema Nacional información, de servicios, y de los (dentro del marco establecido por la
de Seguridad es el establecido en el sistemas que manejan dicha metodología de valoración del
artículo 2 de la Ley 11/2007. información Esquema Nacional de Seguridad).
Selección de las medidas de
seguridad a aplicar descritas en el
“Anexo II” del citado ENS, según:
Determinación de la categoría • Las dimensiones de seguridad y sus niveles Redacción y aprobación de la
del sistema de información • Y para determinadas medidas de seguridad, “Declaración de Aplicabilidad”.
de acuerdo con la categoría del sistema.
Plan de Adecuación y planificación
Implantación de los controles o
de la implantación de las medidas Auditoría de seguridad inicial y
salvaguardas de seguridad de
señaladas en la “Declaración de periódica (mejora continua).
acuerdo con el Plan y la Planificación
Aplicabilidad”
Página 11
12. Objetivos perseguidos
Confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad
de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los
ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través de estos medios.
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de
la Ley 11/2007.
Concienciación, divulgación, sensibilización, introducción, implantación de los elementos
comunes en la actuación de las Administraciones Públicas en materia de seguridad de las
tecnologías de la información así como el lenguaje que facilite su interacción.
Implantar / complementar el sistema para su gestión además de la práctica de auditoría de
seguridad periódica básica para la adaptación y la mejora continua.
Página 12
13. Documentación de referencia
DOCUMENTACIÓN DE REFERENCIA
• MAGERIT versión 2, 2005 Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información (http://www.csi.map.es/csi/pg5m20.htm).
• PILAR: Herramienta que implementa la Metodología MAGERIT de Análisis y
Gestión de riesgos.
• Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
servicios públicos.
• Esquema Nacional de Seguridad - Real Decreto 3/2010, de 8 de enero, por
el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica.
• Ley 15/1999, de 13 de diciembre, de protección de datos de carácter
personal.
• Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,
de protección de datos de carácter personal.
• Guía de seguridad CCN-STIC-803 Esquema Nacional de Seguridad.
Valoración de los Activos.
• Guía de seguridad
Página 13
14. Gracias por su atención
Página 14 Oferta num: 2011_I_5829210870 _2858