madrid, 29 de marzo de 2011 - fundación dintel · -90 aplicaciones en rpi-por cpd: ......

Plan de AdecuaciPlan de Adecuacióón al ENS en el SCSn al ENS en el SCS

Congreso DINTEL – ENS 2011Madrid, 29 de marzo de 2011

SCS Datos asistenciales

Congreso DINTEL – ENS 2011

• Población protegida: 1.964.993

• Presupuesto: 2.524.000.000 €

• Trabajadores: 23.000

• Áreas Sanitarias: 7

• Gerencias: 5 de S.S.; 4 A.E. y 2 de A.P.

• 9 Hosp, 14 CAE, 108 zbs, 256 cs

• Consultas de Atención Primaria 14 M

• CE’s AE (primeras y sucesivas): 2,8 M

• IQ’s: 210.000 Urgencias: 630.000

• Ingresos Hospitalarios: 170.000

Transferencias RD 446/1994Transferencias RD 446/1994

SCS Organigrama


SCS Recursos Técnicos


- 13 Centros de Proceso de Datos

- 290 nodos de comunicaciones

- 150 técnicos TIC

- 18 Meuros de Presup. TIC

- 108 ficheros de DCP

- 90 aplicaciones en RPI

-Por CPD: 150 tps/actualización; 450 tps/consulta sobre BBDD OLTP

Hitos de seguridad en el SCS


• 2007 Reglamento LOPD

• 2008 Oficina de Seguridad

• 2009 Procesos LOPD y Definición del SGSI

• 2010 Publicación RD 3/2010

• 2010 Comité de Seguridad SCS (orden C.S. 20 abril de 2010)

• 2011 Comité Seguridad Gobierno Canarias (19 enero de 2011)

• 2011 Plan de Adecuación (27/01/2011)

• 2011 Implantación Proyectos ENS corto plazo

• 2012/13 Implantación Proyectos ENS medio plazo

Especificidades de organización de la seguridad en el SCS


• Diversos Centros gestores, CPD, órganos de contratación, titulares de ficheros DCP

• ficheros de nivel alto LOPD y críticos en sus 5 dimensiones

• Diversos departamentos asumen la organización de la seguridad: informática, calidad, ingeniería, electromedicina, gestión, servicios jurídicos, RRHH, dirección médica, …

• Aplicaciones centralizadas y distribuidas

• Aplicaciones departamentales de la industria sanitaria

• Aplicaciones del SNS y del Gobierno de Canarias

• Comités de seguridad por Gerencia

Documentos para la preparación del Plan de Adecuación

• Ley 11/2007 y RD 3/2010• Ley 15/1999 y RD 1720/2007

• Política de Seguridad del SCS y documentación SGSI propia

• Documentos ISO 27000

• Criterios de Seguridad, Normalización y Conservación del MAP

• Guías del CCN

• ENS – CCN – STIC – 800: Glosario de términos y abreviaturas• ENS – CCN – STIC – 801: Responsables y funciones del ENS• ENS – CCN – STIC – 802: Auditoría del ENS• ENS – CCN – STIC – 803: Valoración de sistemas en el ENS• ENS – CCN – STIC – 804: Medidas de implantación del ENS• ENS – CCN – STIC – 805: Política de seguridad de la información• ENS – CCN – STIC – 806: Plan de adecuación al ENS• ENS – CCN – STIC – 807: Criptología de empleo en el ENS• ENS – CCN – STIC – 808: Verificación del cumplimiento de las medidas en el ENS•• ENS ENS –– CCN CCN –– STIC STIC –– 809: Declaraci809: Declaracióón de conformidad del ENSn de conformidad del ENS


Situación previa al desarrollo del Plan


• Dificultades

• Equivalencia de roles entre la guía CCN-STIC-801 y la propia organización

• Adaptar inventario de activos y análisis de riesgo a la nueva tipología de activo y a las dimensiones del ENS

• Complejidad del ENS al encontrar 75 medidas de seguridad

• Determinar el ámbito de aplicación (serv. e- al ciudadano y entre AAPP) (artículo 30 del ENS, sistemas de inf. No afectados)

• Criterio común de valoración: aunque ayuda CCN-STIC-803

• incorporar en la cultura organizativa el espíritu del art 10 del ENS respecto a la función diferenciada de la Seguridad

•Auditorias bienales: integrarlas con las de lopd con el fin de no complicar la gestión

• Ventajas

• Trabajos previos: SGSI, Regularización LOPD, Doc seguridad, Política de seguridad, …

Extracto ENS: Responsables

• Responsables esenciales

• Responsable de la Información: establece nec. seg. INFORMACIÓN

• Responsable del Servicio: establece nec. seg. SERVICIO que presta

• Responsable de Seguridad: establece m.s. adecuadas para los requisitos de los responsables esenciales

• Responsable del Sistema: encargado de las operaciones del sistema y más relacionado con la propiedad del sistema.

• Administrador del Sistema • Administrador de la Red• Administrador de Seguridad del Sistema (ASS)• Administradores delegados (sistemas complejos y distribuidos)

Incompatibilidad: Resp. Sistema ≠≠≠≠ Resp. Seguridad (art. 10 ENS)

Responsable Información vs Responsable FicheroRLOPD Responsable Servicio vs Responsable tratamiento

Responsable Seguridad ENS <> Responsable Seguridad LOPD


Herramienta de ayuda al Plan de Adecuación del SCS


Plan de Adecuación Índice del documento


1. Introducción

2. Objeto

3. Responsabilidad

4. Antecedentes

5. Plan de Adecuación

a. Política de Seguridadb. Información que se manejac. Servicios que se prestand. Datos de carácter personale. Categoría del sistemaf. Declaración de aplicabilidad de las medidas del anexo IIg. Análisis de riesgoh. Insuficiencias del sistemai. Plan de mejora de la seguridad

6. Anexos

Alcance ENS: Activos resultantes


Activos Información

Activos Servicios

El resto de activos (SW, HW, com, recursos adm, físicos, humanos) heredan su importancia en función del soporte que dan a los activos valorados (inf. y servicios).

La herramienta automatiza la presentación de las tablas.

Plan de Adecuación. Estado de cumplimiento SCS


TOTALI.213 controles

i. 27 implantadosii. 28 parcialm. implantadosiii. 158 sin implantar

II.75 medidasi. 10 implantadosii. 23 parcialm. implantadosiii. 42 sin implantar

Medidas (anexo II)Controles CCN 804

Marco Organizativo18 controles y 4 medidas Medidas Protección

100 controles y 40 medidas

Marco Operacional95 controles y 31 medidas

ENS Categorización de los sistemas


EOXERRENALSICHSEACDrago APITTSISIPRE

Eragon15PPPRPCCROESBSISAAutoliquidación de ingresos

TFWEB87RPSCertificación de vehículos sanitariosControl atmosferico

EOXERSICHSEACDrago APTSIRPCCAutoliquidación de ingresos

Eragon15ITPPPROESB

TFWEB87RENALSIPRESISARPSCertificación de vehículos sanitariosControl atmosférico

Reorganización activos de soporte en función de la

disponibilidad



EOXERRENALSICHSEACDrago APITTSISIPRE

Eragon15RPCCROESBSISAAutoliquidación de ingresos

TFWEB87RPSCertificación de vehículos sanitariosControl atmosférico

EOXERRENALSICHSEACDrago APITSIPRERPCC

Eragon15SISA

TFWEB87TSIROESBAutoliquidación de ingresosRPSCertificación de vehículos sanitariosControl atmosférico

Reorganización activos de soporte en función de la

confidencialidad



Sistema Categoría Alta

EOXER Disponibilidad Confidencialidad

RENAL

SICH

SEAC

Drago AP

IT

TSI

SIPRE

Eragon15 Disponibilidad Confidencialidad

RPCC

ROESB

SISA

Autol. ingresos

TFWEB87 Disponibilidad Confidencialidad

RPS

Cert vehículos sanitarios

Control atmosférico

Subsistema 1 Disponibilidad ConfidencialidadSICHSEACDrago APRPCC

Subsistema 2 Disponibilidad ConfidencialidadTSIAutol. ingresos

Subsistema 3 Disponibilidad ConfidencialidadRENALSIPRE

Subsistema 4 Disponibilidad ConfidencialidadSISARPSCert vehículos sanitariosControl atmosférico

Subsistema 5 Disponibilidad ConfidencialidadITROESB

Reorganización activos de soporte en dos dimensiones

ENS Plan de Mejora


Marco Organizativo

- Definir el puesto de trabajo (perfiles profesionales)- Procedimentar el reclutamiento de RRHH- Regular la externalización

Marco Operacional

- Registro de accesos- Gestión de identidades, entrega de credenciales- Plan de continuidad- Monitorización del sistema- Mecanismos de autenticación- DLP, IDS.

Medidas de protección

- Gestión y destrucción de soportes- Cifrado, anonimización BBDD- Copia auténtica, archivo clínico- Limpieza de documentos- Impresión segura


Juan Carlos [email protected] 98 07 25

Fin de la presentación - Muchas gracias

madrid, 29 de marzo de 2011 - fundación dintel · -90 aplicaciones en rpi-por cpd: ......

Documents