Francisco Javier Baena Álvarez de Quevedo (coordinador informática de la Dirección General de Seguros y Fondos de Pensiones) realiza esta ponencia "SGSI. Compliance y el principio de confianza", en el marco de las V Jornadas de Ciberseguridad de Andalucía celebradas el 13 de junio 2018.
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
#CibersegAnd18. SGSI: “Compliance y el principio de confianza”
1. SGSI.
“Compliance y el
principio de
confianza”
Francisco Javier Baena Álvarez de
Quevedo
Coordinador Área Informática.
Dirección General de Seguros y Fondos
de Pensiones
2. SGSI
Francisco Javier Baena Álvarez de Quevedo
Franciscojavier.baena@mineco.es
Área de Apoyo: Coordinador Área Informática
Dirección General de Seguros y Fondos de Pensiones
“Compliance y el Principio de Confianza”
8/6/2018
3. Dirección General de Seguros y Fondos de Pensiones
Estructura y Funciones de la DGSFP
3
Real Decreto 531/2017, de 26 de mayo
Controlar el acceso a la actividad aseguradora, reaseguradora, mediación de seguros y gestoras de fondos de
pensiones.
Supervisión financiera y la de las conductas y prácticas de mercado.
Análisis de la documentación que deben remitir aseguradoras, reaseguradoras, mediadores, grupos y
gestoras.
Preparación de proyectos normativos.
Protección administrativa.
Coordinación con los comités de seguros y pensiones de jubilación y otras instituciones de la Unión Europea,
con otros Estados y con organismos internacionales, de acuerdo con el Ministerio de Asuntos Exteriores y de
Cooperación.
6. Dirección General de Seguros y Fondos de Pensiones
SGSI: ISO 27001:2013 “Compliance”
Historia del SGSI de la DGSFP “El cumplimiento regulatorio,
el catalizador”:
6
Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal
Real Decreto 1720/2007, de 21 de diciembre,
Reglamento de protección de datos de carácter
personal
UNE ISO/IEC 27001:2007 Sistema de Gestión de
Seguridad de la Información (certificación desde
2011)
Real Decreto 3/2010, de 8 de enero, Esquema
Nacional de Seguridad en el ámbito de la
Administración Electrónica
EIOPA-MB-17-039 Professional Secrecy And
Confidentiality
REGLAMENTO (UE) 2016/679 del Parlamento Europeo
y del Consejo de 27 de abril de 2016
Próxima parada: Certificación ENS del SGSI de la
DGSFP
7. Dirección General de Seguros y Fondos de Pensiones
Real Decreto 3/2010, de 8 de enero
ENS: “Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito
de la Administración Electrónica.”
En el ámbito de las Administraciones públicas, la consagración del derecho a comunicarse con ellas a través
de medios electrónicos comporta una obligación correlativa de las mismas, que tiene, como premisas, la
promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y la remoción de los
obstáculos que impidan o dificulten su plenitud, lo que demanda incorporar las peculiaridades que exigen
una aplicación segura de estas tecnologías.
El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información
prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin
interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de
personas no autorizadas.
Artículo 37.b: Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones
públicas:
“b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los
miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro
Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el
Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el
Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la
información en la Administración.
7
8. Dirección General de Seguros y Fondos de Pensiones 8
¿Qué es la Seguridad
de la Información?
Seguridad es la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de confianza,
los accidentes o acciones ilícitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los
servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Las Administraciones públicas están sujetas, en la programación y
ejecución del gasto público, a tres principios o criterios: eficiencia,
economía y eficacia (art. 31.2 y art. 103.1 CE)
¡Poderosa herramienta de gestión!
9. Dirección General de Seguros y Fondos de Pensiones 9
Diseño de la Arquitectura de Seguridad
Gestión de la Seguridad Basada en los Riesgos:
“Transparencia”
MAGERIT v3: Análisis y Gestión de Riesgos
“Sistemático y Reproducible”.
Interconectividad e interoperabilidad
10. Dirección General de Seguros y Fondos de Pensiones
Búsqueda de alineamientos y sinergias.
• Única Política de Seguridad
• Funciones del Comité de Seguridad, definición de rolles
(responsabilidades) , terceros interesados….
• Único Análisis de Riesgos -> Plan de acción
• Gran Reto: Clasificación de la Información – medidas de Seguridad.
• Homogeneizar procedimientos, normas, registros…
• Uso de Mejores prácticas. CCN-CERT
• Plan de mejora continua.
10