Economía, Hacienda, Fondos Europeos y Transformación Digital
Informática
Estrategia de la DGTTI
La Dirección General de Telecomunicaciones y Tenologías de la Información, como órgano gestor de la Información y Comunicaciones corporativas de la Administración Regional murciana, es consciente de la importancia de asegurar el correcto acceso a la información por parte de sus usuarios y de su inaccesibilidad al resto. Esta necesidad, va adquiriendo cada vez mayor importancia, por cuanto cada vez se ofrece más información en Internet, diluyéndose la barrera de la red desde donde se accede a la información, debiéndose focalizar la atención en la identificación de los usuarios y en la propia información.
Junto a la necesidad de disponer de una Política de Seguridad de la Información y de realizar proyectos que sirvan para aplicar esta política a las comunicaciones electrónicas y a los sistemas y aplicaciones informáticos; es no menos importante asegurar que dicha política y proyectos estén adaptados a las necesidades y particularidades de la organización en la que se implantan.
De esa forma, las nuevas políticas de seguridad no penalizarán la disponibilidad de sistemas y aplicaciones, a la vez que lograrán ir cambiando gradualmente las pautas de los usuarios para acceder a la información.
Para lograr todos esos objetivos, al igual que en el resto de líneas de actuación de la DGTTI, se apuesta por partir de las estrategias corporativas, resumidas en:
- Utilizar las mejores tecnologías y estándares existentes
- No reinventar lo que ya funciona.
- Buscar el apoyo de socios tecnológicos para dar el mejor servicio a los usuarios, garantizando la disponibilidad de sistemas 24 x 7.
- Contratar servicios medibles (control SLAs).
- Mantener el know-how en la Organización y no en las empresas que dan soporte.
- Utilizar todos los canales posibles, en especial la web para acercar los servicios a los usuarios (premio a la web más accesible, los últimos 2 años).
- Por último, pero lo más importante, tener vocación de servicio, teniendo claro que los sistemas de información son sólo un medio que permite llevar a los ciudadanos los servicios que la administración ya prestaba, de una forma más ágil y con extensión horaria.
Siguiendo la estrategia de aplicación de normas y estándares existentes, la ISO 27001 “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información”, está sirviendo de referencia para la creación de un Plan Estratégico de Seguridad, que va a servir de libro Blanco para la implantación de nuevas aplicaciones, sistemas informáticos y elementos de comunicaciones y en general todo aquello que tenga que ver con la información manejada por la DGTTI.
Adicionalmente a este libro blanco, esta estrategia en materia de Seguridad, se está ya traduciendo en proyectos que afectan a las comunicaciones, sistemas y aplicaciones informáticas y a la gestión de la identidad de los usuarios.
Comenzando desde la capa más baja, en materia de Comunicaciones, son de destacar dos proyectos: el perímetro corporativo de seguridad (PCS) y la arquitectura de seguridad avanzada (ASA). Como se ampliará posteriormente, en el PCS se han incorporado elementos que permiten dotar de gestión del ancho de banda, caché, antivirus web, limitación de contenidos nocivos y sondas IPS, a la conexión multioperador y multienlace del sistema autónomo de la CARM con Internet. ASA ha establecido un marco de seguridad para el desarrollo y pruebas de las aplicaciones corporativas y para los sistemas que albergan aplicaciones y datos en producción, estableciendo tres capas que aíslan el acceso del usuario de aplicaciones y a estas, de los datos.
La gestión de PCS y comunicaciones de ASA, se han integrado dentro del Centro de Gestión Global de Comunicaciones, en el que se está aplicando el marco de trabajo ITIL para controlar los acuerdos de nivel de servicio, asociados a la provisión de servicios, gestión del cambio y gestión de incidentes.
Desde el punto de vista de los Sistemas Informáticos, son de destacar en materia de Seguridad, los proyectos del nuevo CPD, con sus servicios de housing y hosting corporativos, así como el proyecto COPICOR, primer paso hacia una ILM, que dote de seguridad a la información almacenada.
En cuanto al CPD corporativo, aprovechando la no existencia de cuellos de botella en la nueva red de comunicaciones, el siguiente paso natural en los Sistemas de Información de una gran corporación es la concentración de los sistemas informáticos en un único CPD y su respaldo en otra ubicación (incluyendo la virtualización de servidores).
Dado que desde el CPD se están prestando, cada vez más, servicios de housing y hosting a otras Consejerías es necesario garantizar las condiciones de seguridad de la información manejada. Para ello se está aplicando la UNE-ISO 17799 “Código de buenas prácticas para la Gestión de la Seguridad de la Información” tanto a las condiciones de los equipos, como a las personas que trabajan en el CPD corporativo.
En la parte más cercana al usuario, se está abordando una estrategia de identidad corporativa (IDECOR), que está permitiendo tener una sincronización de contraseñas de todas las aplicaciones que usa, de forma que se puede asegurar un login y password únicos para todas las aplicaciones corporativas (servidor de archivos, intranet, correo, citrix, …). El siguiente paso será un Single Sign On, donde se centralice la identificación del usuario y pueda accederse a un catálogo de las aplicaciones disponibles según su perfil y derechos de acceso.
El avance de los proyectos enumerados, partiendo de normas y estándares, implantándose de acuerdo al marco tecnológico y humano de esta Organización, está permitiendo poner en línea la gestión de la Información corporativa, con el estado del arte en materia de Seguridad, sin estridencias con los usuarios y sin penalización significativa en la disponibilidad del acceso a la información.
El establecimiento del Plan Estratégico de Seguridad basado en ISO 27001, debe servir para que el enfoque de seguridad no quede fuera de ninguno de los nuevos proyectos desarrollados por la DGTTI (Servicios avanzados de ToIP, Telefonía capilar integrada, ILM, integración de eA en dispositivos móviles,…).
Contenidos Asociados: