Proceso de gestión de la seguridad de la información (GureSeK)
Detalles
Dimensiones
Las dimensiones de la seguridad son las siguientes:
- Disponibilidad [D]: Propiedad o característica de la información consistente en que las entidades o procesos autorizados tengan acceso a los mismos cuando lo requieran, preservando dicha propiedad del deterioro temporal a lo largo de todo su ciclo de vida
- Integridad [I]: Propiedad o característica consistente en que la información no ha sido alterada de manera no autorizada
- Confidencialidad [C]: Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados
- Autenticidad [A]: Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos
- Trazabilidad [T]: Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad
¿Cómo se gestiona?
El Gobierno Vasco aprobó la estructura organizativa y asignación de roles de seguridad para la Administración Electrónica del Gobierno Vasco en un Acuerdo de Consejo de Gobierno de 30 de junio de 2015. La gestión de la seguridad se realiza a través del proceso «Guresek». («Acuerdo de Consejo de Gobierno, de 30 de junio de 2015, por el que se aprueba la estructura organizativa y asignación de roles de seguridad para la Administración Electrónica del Gobierno Vasco (exp. 2015/00436) (A/20150120)».)
Definición
El proceso de gestión de la seguridad de la información (GureSeK) es el proceso encargado de gestionar la seguridad de los servicios electrónicos prestados por el Gobierno Vasco a la ciudadanía, garantizando que las medidas de seguridad aplicadas en torno a dichos servicios electrónicos satisfacen los requisitos legales vigentes y permiten asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de la información asociada.
La persona responsable de este Proceso es la persona Titular de la Dirección competente en Informática y Telecomunicaciones.
Objetivos
El proceso GureSeK es el proceso encargado de gestionar la seguridad de los servicios electrónicos prestados por el Gobierno Vasco a la ciudadanía, gestionando las medidas de seguridad aplicadas en torno a ellos. Para ello este proceso debe de cubrir los siguientes objetivos:
# | Generales | Específicos |
1 | Establecer un proceso único transversal para la gestión de la seguridad de la información del Gobierno Vasco | Identificar los inputs (entradas) que pueden desencadenar las actividades de gestión de la seguridad |
2 | Definir las actividades del Proceso de Gestión de la Seguridad | Identificar las actividades que forman parte de la gestión de la seguridad |
3 | Establecer las interrelaciones de todas las partes involucradas en el proceso de Gestión de la seguridad y definir sus responsabilidades | Definir e implantar el proceso de Gestión de la Seguridad de la Información, con el fin de que el Gobierno Vasco realice una gestión normalizada y generalizada en este ámbito, antes realizada exclusivamente de manera parcial y puntual |
4 | Mejorar la utilización de los recursos, incrementando de este modo la eficiencia | Mantener bajo control los riesgos de seguridad de la información asociados a la prestación de servicios electrónicos |
5 | Disponer de una herramienta de articulación y priorización de las medidas de seguridad necesarias en función de las necesidades existentes en cada momento | |
6 | Establecer una sistemática de mejora continua que permita la optimización progresiva de la seguridad | |
7 | Disponer de una sistemática común y normalizada para gestionar la seguridad de forma correcta |
Ámbito
El ámbito al que se circunscribe el Proceso GureSeK es el de la Gestión de los riesgos de seguridad de la información asociados a la prestación de servicios electrónicos a personas físicas o jurídicas.
En todo caso, el proceso GureSeK no se aplicará en las siguientes circunstancias:
- Gestión de riesgos que no sean los asociados a la seguridad de la información, como pueden ser riesgos financieros, riesgos de proyectos, etc.
- Gestión de riesgos en ámbitos no relacionados con la prestación de servicios electrónicos a personas físicas o jurídicas.
No obstante, las medidas de seguridad establecidas como el ámbito del propio proceso GureSeK podrán ser extendidas más allá del ámbito estricto de actuación del proceso, siempre que el Comité de Seguridad Corporativa del Gobierno Vasco así lo determine.
Alcance
El alcance del proceso GureSeK son todas las personas involucradas de algún modo en la prestación de servicios electrónicos:
# | Personal afectado | Descripción |
1 | Personal administrativo | El personal perteneciente a cualquiera de los Departamentos y Organismos Autónomos estará directamente afectado por el proceso GureSeK, debido a su función de tramitadores y responsables de los servicios electrónicos prestados |
2 | Personal subcontratado | Todo el personal subcontratado por el Gobierno Vasco que participe de algún modo en la prestación de servicios electrónicos estará afectado por el proceso GureSeK, en virtud del contrato de prestación de servicios firmado entre el Gobierno Vasco y la organización a la que pertenezcan dichas personas |
3 | Personal de EJIE | Todo el personal de EJIE estará afectado por el proceso GureSeK de manera indirecta a través de la Encomienda de Gestión general y de las encomiendas de gestión firmadas entre el Gobierno Vasco y EJIE, debido al papel de EJIE de gestor de los sistemas informáticos que soportan los servicios electrónicos de Gobierno Vasco |
De acuerdo con estas consideraciones, y teniendo en cuenta que el proceso GureSeK es horizontal a toda la organización, todos los Departamentos y Organismos Autónomos del Gobierno Vasco participan en él en función del rol que sus integrantes puedan desempeñar, de acuerdo a lo establecido en el «Acuerdo de Consejo de Gobierno, de 30 de junio de 2015, por el que se aprueba la estructura organizativa y asignación de roles de seguridad para la Administración Electrónica del Gobierno Vasco (exp. 2015/00436) (A/20150120)».
Roles y participantes
En el siguiente gráfico se muestran los roles principales que intervienen en el proceso de gestión de la seguridad de la información (GureSeK):
Acuerdo de Consejo de Gobierno, de 30 de junio de 2015, por el que se aprueba la estructura organizativa y asignación de roles de seguridad para la Administración Electrónica del Gobierno Vasco ( )
No aplica
No aplica
- Versión 1: 03-07-2017 (última versión)