54
Perspectiva de las AA.PP.
Estrategia de Gestión del Riesgo
en la Junta de Andalucía
EL PROGRAMA DE ACTUACIÓN DENOMINADO PROGRAMA ALCAZABA PRETENDE RECORRER
LAS TRES DIMENSIONES: LA TÉCNICA, LA NORMATIVA Y LA ORGANIZATIVA
Víctor
Iglesias Palomo
JEFE GABINETE
SEGURIDAD Y CALIDAD
Consejería de Innovación,
Ciencia y Empresa
Junta de Andalucía
L
a Junta de Andalucía se
encuentra entre las
organizaciones en las que el
uso generalizado de las tecnologías de
la información y comunicaciones es
vital para el desarrollo de sus
actividades. Tanto una interrupción
prolongada de sus recursos de
comunicaciones como una alteración
de la confidencialidad, integridad o
disponibilidad de la información de su
titularidad supondrían un grave
perjuicio para esta Administración y
sus obligaciones de servicio público.
La seguridad es una cuestión
transversal y en su consecución se
entrelazan varias dimensiones. El
nivel de seguridad de los aplicativos
y el de los sistemas que los
soportan, los entornos donde se
ejecutan y las operaciones que se
realizan sobre ellos, que conforman
la dimensión técnica. Por otra parte,
también es imprescindible abordar la
dimensión normativa mediante la
definición de las políticas de
seguridad que establezcan las reglas
nº 29
febrero 2009
de necesario cumplimiento. Hay que
añadir a las dos dimensiones
anteriores, la dimensión
organizativa, es decir, el modelo en
el que se integren y relacionen las
personas que son las encargadas de
llevar a cabo las políticas de
seguridad definidas.
Para dar oportuna respuesta a
estas necesidades, la Dirección
General de Innovación y
La seguridad es una
cuestión transversal y en su
consecución se entrelazan
varias dimensiones
Administraciones Públicas (DGIAP)
de la Consejería de Innovación,
Ciencia y Empresa (CICE) de la Junta
de Andalucía ha diseñado un
programa de actuación denominado
Programa Alcazaba, con el que
pretende recorrer las tres
dimensiones antes mencionadas: la
técnica, la normativa y la
organizativa.
El marco competencial de la
DGIAP-CICE comprende la
coordinación e impulso de la
utilización de las tecnologías de la
información y las comunicaciones en
las diferentes Administraciones
Públicas de Andalucía, especialmente
para el desarrollo de los servicios
telemáticos ofertados al ciudadano.
Entre sus principales competencias
se encuentran las de:

Planificación, coordinación e
impulso de la aplicación de las
Tecnologías de la Información y las
Comunicaciones en la Administración
de la Junta de Andalucía, así como de
la dirección de los servicios
corporativos relacionados de carácter
general.

Dirección, impulso y gestión de la
Política Informática de la
Administración de la Comunidad
Autónoma, así como la definición de
los bienes informáticos físicos y
lógicos de uso general de la misma.

Impulso de servicios de
información administrativa digital al
ciudadano.
Actuaciones en curso del
Programa Alcazaba
Diseño, definición y desarrollo
del Plan Director de Seguridad de
los sistemas de información y
comunicaciones de la Junta de
Andalucía

Con la realización previa de un
diagnóstico de cumplimiento de las
buenas prácticas definidas en los
estándares UNE-ISO/IEC 27001 e
ISO/IEC 27002 se sentaron las bases
de todo el Programa Alcazaba,
identificando de forma clara las
necesidades y carencias en materia de
seguridad de esta Administración.
Dicho análisis abordó el estudio de la
situación actual, permitiendo el
conocimiento del entorno organizativo
y tecnológico. A partir de los
resultados obtenidos, se plantea la
definición de un Plan Director de
Seguridad. El Plan deberá contener los
instrumentos de que se dota esta
Administración para la correcta gestión
de la seguridad de la información,
estableciendo controles organizativos,
procedimentales y técnicos.
Diseño, definición y desarrollo
de un marco normativo completo
en materia de seguridad de la
información para la Junta de
Andalucía
Perspectiva de las AA.PP.
La política de seguridad es la piedra
angular alrededor de la que gira toda
la planificación de la gestión de la
seguridad, ya que representa la toma
de decisión de la dirección respecto a
El nivel de seguridad de los
aplicativos y el de los
sistemas que los soportan,
los entornos donde se
ejecutan conforman la
dimensión técnica
todos los temas que requieren de una
visión estratégica. Junto a la política
de seguridad, se desarrollarán el
conjunto de normas, procedimientos y
estándares de seguridad de uso
común en la Administración de la
Junta de Andalucía.
55
Consultoría de diseño y análisis
de viabilidad del Centro de
Operaciones de Seguridad de la
Junta de Andalucía
Podemos definir un Centro de
Operaciones de Seguridad como una
infraestructura formada por personas,
equipamiento y procedimientos
operativos que permite ofrecer y
operar, de forma remota, servicios
especializados en seguridad. Dicho
centro conforma una plataforma
centralizada que realiza la gestión
de los riesgos inherentes al uso de
las TIC.
El presente proyecto de consultoría
de diseño y análisis de viabilidad del
COS de la Junta de Andalucía, tiene
dentro de su alcance:

La evaluación técnica de las
infraestructuras hardware y software
necesarias para la implantación de los
servicios del COS.

La evaluación de los recursos
físicos (dependencias, infraestructura)
nº 29
febrero 2009
56
Perspectiva de las AA.PP.
y humanos necesarios para la
implantación de los servicios del COS.

El diseño y análisis de los
modelos de negocio en los que puede
basarse la implantación, explotación y
operación del COS.

El diseño y análisis de distintos
modelos de implantación: fases del
proyecto.

El análisis de costes asociados
tanto a la implantación como a la
operación del COS.
Análisis de riesgos y auditoría
técnica de los sistemas de
información corporativos de la
Junta de Andalucía
nº 29
febrero 2009
En el contexto de esta actuación se
va a realizar el análisis de riesgos y dos
auditorías técnicas de vulnerabilidades
sobre los sistemas de información
corporativos (portales, correo
corporativo, directorio corporativo,...).
La primera de ellas servirá para elaborar
las directrices de seguridad específicas
relacionadas con dichos sistemas,
aportando al análisis de riesgos detalles
e información contrastada sobre las
vulnerabilidades encontradas.
Auditoría técnica de
vulnerabilidades de la Red
Corporativa de Telecomunicaciones
de la Junta de Andalucía
El objeto de esta actividad es la
realización de un informe de seguridad
de la Red Corporativa de la Junta de
Andalucía, que muestre vulnerabilidades
encontradas y recomendaciones de
mejora necesarias para reducir los
riesgos de intrusión en la red, ataques
de denegación de servicio, etc.
Es imprescindible abordar la
dimensión normativa
mediante la definición de
las políticas de seguridad
que establezcan las reglas
de necesario cumplimiento
Auditorías técnicas de los
sistemas de información
horizontales y departamentales de
la Junta de Andalucía
El objeto de esta actividad es dotar
al Programa Alcazaba de la posibilidad
de arbitrar y canalizar la realización de
auditorías técnicas de seguridad sobre
sistemas de información vinculados a
cualquier Organismo, con especial foco
en los sistemas horizontales de uso
común en la Junta de Andalucía.
Servicio de análisis forense
bajo demanda
Ante situaciones excepcionales de
intentos de intrusión y/o ataques
maliciosos contra cualquier sistema de
información perteneciente a la Junta de
Andalucía, se realizará un informe en el
que se analicen las circunstancias del
ataque, vulnerabilidades explotadas,
impacto sobre los activos de la red o
sistema y propuestas de solución ante
las vulnerabilidades advertidas.