Evaluación de seguridad

Objeto

Establecer el flujo del proceso de Evaluación de Proyectos que hace la Unidad de Seguridad TIC del SAS. 

Alcance

Este proceso aplica a los productos de tipo aplicación y a los de gestión de proyectos..

Roles

Los roles que intervienen en este proceso son

Flujo del proceso

Cualquier proyecto de nueva creación o implantación tendrá que ser Evaluado desde el punto de vista de la Seguridad por parte de la USTIC de forma previa a su aceptación y puesta en servicio, por lo que será  necesario crear una tarea de seguridad para que la USTIC proceda a evaluarlo. Esta Evaluación de Proyecto desde el punto de vista de la seguridad NO se considerará impedimento bloqueante para el desarrollo de una determinada versión de un producto o para un el desarrollo normal de un proyecto.

En el momento en el que se cree la tarea de seguridad por parte del Responsable de Proyecto/Responsable de Producto, será conveniente que aporte en la misma toda la documentación necesaria (diagrama de flujo de datos, acuerdo de encargado de tratamiento, Certificaciones de Seguridad, documentación funcional y técnica y a ser posible cumplimentando el formulario de recogida de datos)  para el buen desarrollo de los diferentes informes por parte de la USTIC, todo ello sin perjuicio de que se solicite ampliación de información al ser considerada insuficiente.

En el caso de los proyectos, independientemente del área TIC al que pertenezcan deberán tener creada la tarea de seguridad. Los proyectos van a tener una nueva propiedad, denominada Revisión seguridad que mostrará el valor "Sí" cuando se haya creado la primera tarea de seguridad , de manera que la USTIC podrá controlar aquellos proyectos que no hayan pasado la revisión de seguridad.

Este tipo de tarea podrán ser creadas por los integrantes del equipo provincial o del área centralizada a la que pertenezca el proyecto. o por el Responsable de producto en el caso de que se trate de una aplicación  En la misma creación se hará hincapié sobre la documentación que  la USTIC  necesitará necesitará (diagrama de flujo de datos, acuerdo de encargado de tratamiento, Certificaciones de Seguridad, documentación funcional y técnica y a ser posible cumplimentando el formulario de recogida de datos así como enlace a su espacio donde pueden puedan consultar la información pertinente a dicho proyecto. En la creación hay que tener en cuenta que:

• • • Aparecen una serie de preguntas y, en función de su respuesta, el comportamiento del flujo de la tarea es diferente. Las detallamos a continuación
    • Si la tarea de seguridad viene con la aprobación de alguien, pierde cualquier prioridad y será atendida por la USTIC cuando queden recursos disponibles para la misma. Si una tarea se crea y sigue su curso habitual pero en cualquier momento se registra que está autorizada, pasará a ese estado "latente" denominado "Pdte. revisión" y será atendida cuando sea posible.

Las preguntas que se hacen en la creación son:

¿Proyecto de nueva implantación?

• • Respuesta Sí

Se solicita contestar otras dos preguntas y aportar la documentación pertinente:

¿Dispone de acuerdo de encargado de tratamiento de datos en el contrato?

¿Dispone de certificación de seguridad del sistema?

Independientemente de estas respuestas, la tarea se creará y cualquier miembro de la USTIC podrá asignársela. Podrá pedir información y documentación al Responsable del proyecto/Responsable de producto, El resultado de la evaluación no constituye la aceptación para la puesta en servicio del proyecto y si un asesoramiento sobre las medidas de seguridad a implantar, según el Esquema Nacional de Seguridad y el RGPD. 

• • Respuesta No

Se solicita contestar una serie de cuatro preguntas, de manera que si la contestación de alguna de ellas es Sí, el proceso será el mismo que en el caso anterior.

Si todas las preguntas tienen como respuesta No, la tarea de seguridad de cerrará directamente y el proyecto quedará registrado con la Revisión seguridad informada a Sí