#CibersegAnd18. SGSI: “Compliance y el principio de confianza”

1. SGSI. “Compliance y el principio de confianza” Francisco Javier Baena Álvarez de Quevedo Coordinador Área Informática. Dirección General de Seguros y Fondos de Pensiones

2. SGSI Francisco Javier Baena Álvarez de Quevedo Franciscojavier.baena@mineco.es Área de Apoyo: Coordinador Área Informática Dirección General de Seguros y Fondos de Pensiones “Compliance y el Principio de Confianza” 8/6/2018

3. Dirección General de Seguros y Fondos de Pensiones Estructura y Funciones de la DGSFP 3 Real Decreto 531/2017, de 26 de mayo  Controlar el acceso a la actividad aseguradora, reaseguradora, mediación de seguros y gestoras de fondos de pensiones.  Supervisión financiera y la de las conductas y prácticas de mercado.  Análisis de la documentación que deben remitir aseguradoras, reaseguradoras, mediadores, grupos y gestoras.  Preparación de proyectos normativos.  Protección administrativa.  Coordinación con los comités de seguros y pensiones de jubilación y otras instituciones de la Unión Europea, con otros Estados y con organismos internacionales, de acuerdo con el Ministerio de Asuntos Exteriores y de Cooperación.

4. Dirección General de Seguros y Fondos de Pensiones 4

6. Dirección General de Seguros y Fondos de Pensiones SGSI: ISO 27001:2013 “Compliance”  Historia del SGSI de la DGSFP “El cumplimiento regulatorio, el catalizador”: 6  Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal  Real Decreto 1720/2007, de 21 de diciembre, Reglamento de protección de datos de carácter personal  UNE ISO/IEC 27001:2007 Sistema de Gestión de Seguridad de la Información (certificación desde 2011)  Real Decreto 3/2010, de 8 de enero, Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica  EIOPA-MB-17-039 Professional Secrecy And Confidentiality  REGLAMENTO (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016  Próxima parada: Certificación ENS del SGSI de la DGSFP

7. Dirección General de Seguros y Fondos de Pensiones Real Decreto 3/2010, de 8 de enero ENS: “Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.”  En el ámbito de las Administraciones públicas, la consagración del derecho a comunicarse con ellas a través de medios electrónicos comporta una obligación correlativa de las mismas, que tiene, como premisas, la promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remoción de los obstáculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen una aplicación segura de estas tecnologías.  El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas.  Artículo 37.b: Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas: “b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración. 7

8. Dirección General de Seguros y Fondos de Pensiones 8 ¿Qué es la Seguridad de la Información?  Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Las Administraciones públicas están sujetas, en la programación y ejecución del gasto público, a tres principios o criterios: eficiencia, economía y eficacia (art. 31.2 y art. 103.1 CE) ¡Poderosa herramienta de gestión!

9. Dirección General de Seguros y Fondos de Pensiones 9 Diseño de la Arquitectura de Seguridad  Gestión de la Seguridad Basada en los Riesgos: “Transparencia”  MAGERIT v3: Análisis y Gestión de Riesgos “Sistemático y Reproducible”. Interconectividad e interoperabilidad

10. Dirección General de Seguros y Fondos de Pensiones Búsqueda de alineamientos y sinergias. • Única Política de Seguridad • Funciones del Comité de Seguridad, definición de rolles (responsabilidades) , terceros interesados…. • Único Análisis de Riesgos -> Plan de acción • Gran Reto: Clasificación de la Información – medidas de Seguridad. • Homogeneizar procedimientos, normas, registros… • Uso de Mejores prácticas. CCN-CERT • Plan de mejora continua. 10