Francisco Javier Baena Álvarez de Quevedo (coordinador informática de la Dirección General de Seguros y Fondos de Pensiones) realiza esta ponencia "SGSI. Compliance y el principio de confianza", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.

1. SGSI.
“Compliance y el
principio de
confianza”
Francisco Javier Baena Álvarez de
Quevedo
Coordinador Área Informática.
Dirección General de Seguros y Fondos
de Pensiones

2. SGSI
Francisco Javier Baena Álvarez de Quevedo
Franciscojavier.baena@mineco.es
Área de Apoyo: Coordinador Área Informática
Dirección General de Seguros y Fondos de Pensiones
“Compliance y el Principio de Confianza”
8/6/2018

3. Dirección General de Seguros y Fondos de Pensiones
Estructura y Funciones de la DGSFP
3
Real Decreto 531/2017, de 26 de mayo
 Controlar el acceso a la actividad aseguradora, reaseguradora, mediación de seguros y gestoras de fondos de
pensiones.
 Supervisión financiera y la de las conductas y prácticas de mercado.
 Análisis de la documentación que deben remitir aseguradoras, reaseguradoras, mediadores, grupos y
gestoras.
 Preparación de proyectos normativos.
 Protección administrativa.
 Coordinación con los comités de seguros y pensiones de jubilación y otras instituciones de la Unión Europea,
con otros Estados y con organismos internacionales, de acuerdo con el Ministerio de Asuntos Exteriores y de
Cooperación.

4. Dirección General de Seguros y Fondos de Pensiones 4

5. Dirección General de Seguros y Fondos de Pensiones 5

6. Dirección General de Seguros y Fondos de Pensiones
SGSI: ISO 27001:2013 “Compliance”
 Historia del SGSI de la DGSFP “El cumplimiento regulatorio,
el catalizador”:
6
 Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal
 Real Decreto 1720/2007, de 21 de diciembre,
Reglamento de protección de datos de carácter
personal
 UNE ISO/IEC 27001:2007 Sistema de Gestión de
Seguridad de la Información (certificación desde
2011)
 Real Decreto 3/2010, de 8 de enero, Esquema
Nacional de Seguridad en el ámbito de la
Administración Electrónica
 EIOPA-MB-17-039 Professional Secrecy And
Confidentiality
 REGLAMENTO (UE) 2016/679 del Parlamento Europeo
y del Consejo de 27 de abril de 2016
 Próxima parada: Certificación ENS del SGSI de la
DGSFP

7. Dirección General de Seguros y Fondos de Pensiones
Real Decreto 3/2010, de 8 de enero
ENS: “Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica.”
 En el ámbito de las Administraciones públicas, la consagración del derecho a comunicarse con ellas a través
de medios electrónicos comporta una obligación correlativa de las mismas, que tiene, como premisas, la
promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remoción de los
obstáculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen
una aplicación segura de estas tecnologías.
 El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información
prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin
interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de
personas no autorizadas.
 Artículo 37.b: Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones
públicas:
“b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro
Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el
Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el
Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la
información en la Administración.
7

8. Dirección General de Seguros y Fondos de Pensiones 8
¿Qué es la Seguridad
de la Información?
 Seguridad es la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de confianza,
los accidentes o acciones ilícitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los
servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Las Administraciones públicas están sujetas, en la programación y
ejecución del gasto público, a tres principios o criterios: eficiencia,
economía y eficacia (art. 31.2 y art. 103.1 CE)
¡Poderosa herramienta de gestión!

9. Dirección General de Seguros y Fondos de Pensiones 9
Diseño de la Arquitectura de Seguridad
 Gestión de la Seguridad Basada en los Riesgos:
“Transparencia”
 MAGERIT v3: Análisis y Gestión de Riesgos
“Sistemático y Reproducible”.
Interconectividad e interoperabilidad

10. Dirección General de Seguros y Fondos de Pensiones
Búsqueda de alineamientos y sinergias.
• Única Política de Seguridad
• Funciones del Comité de Seguridad, definición de rolles
(responsabilidades) , terceros interesados….
• Único Análisis de Riesgos -> Plan de acción
• Gran Reto: Clasificación de la Información – medidas de Seguridad.
• Homogeneizar procedimientos, normas, registros…
• Uso de Mejores prácticas. CCN-CERT
• Plan de mejora continua.
10

11. Dirección General de Seguros y Fondos de Pensiones 11