Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
BerrikuntzaetaTeknologiaBerriendibulgaziozkoaldizkariaBulegoTeknologikoakargitaratua
InformatikaetaTelekomunikazioZuzendaritza
Aleguztiakeskuragarridituzueondorengowebgunean:www.euskadi.eus/informatika Bidalizueniradokizunak:[email protected]
E ntitate batek bezeroei eskaintzen dien zerbitzua hobetzeko daukanmodubakarradauzkanprozesuakaztertzeada.Horretarako,leheniketabehin,ezinbestekoadujakiteazeinprozeduradauzkaneta,baitaere, nola dauzkan antolatuta prozedura horiek. Eusko Jaurlaritzak
ere helburu hori du, eta, horregatik, sail eta organismo autonomo guztietanKudeaketaPublikoAurreratuarenEredubatezartzenarida,Aurrerabideizenazezagutzendena.
Metodologiahorrenbidezlortunahidenadasailenzuzendaritzaetazerbitzuektresnabatizandezatela,eurenegoerazeindenjakitenlagundukodiena,hobetudaitezkeen alderdiak optimizatu ahal izateko. Eta horri guztiari esker,herritarreizerbitzuhobeaeskainiahalizangozaie.Lehendabizikogaian,beraz,metodologiahorriburuzkosarrerabategingodugu.
Bigarren gaian («Prestakuntza, Segurtasunaren Eskema Nazionalarenikuspegitik»), adieraziko dizuegu prestakuntzako zer eduki lantzen ari denEusko Jaurlaritza segurtasun informatikoaren eremuan. Langile guztientzakoikastaro batzuk dira, laguntzen digutenak, batetik, eraso informatikoakgutxitzen, eta, bestetik, jakiten zergatik den horren garrantzitsua sail etaorganismoautonomoetakopertsonaguztiakkontzientziatzea.
«Alboan» atalean, kasu honetan, Eusko Jaurlaritzako estandar teknologikoezjardungo gara, funtsezko pieza diren aldetik Euskadiko AdministrazioElektronikoarenazpiegiturahorizontalarenezaugarriteknikoak,lanpostuaketaabarde initzeko.
Azkenik, «Wanna Cry» malwarearen eraginez gertatu berri diren erasoekoihartzunhandiaizandutenezbaizibersegurtasunarenarduradunenartean,baioro har herritarren artean, segurtasun informatikoarekin zuzenean lotutadaudenbigaiekarrinahiizanditugu«Berrilaburrak»atalean.Lehenik,«CONANmobile»aplikazioarenbertsioberribataurkeztukodugu,eta,bigarrenik,hizpideizango dugu zibersegurtasuna emakumearekin lotzen duen alderdi berritzailebat, hots, Incibe Institutuak antolatutako «GeneroarenetaZibersegurtasunarenNazioartekoI.Foroa»‐nberrikiaztertutakoikuspegiberribat.
AURKIBIDEA
Aurrerabide ekimena
2. or.
Prestakuntza, Segurtasunaren
Eskema
Nazionalaren
ikuspegi k
6. or.
Alboan:
Eusko Jaurlaritzako estandar
teknologikoak
berrikustea eta
eguneratzea
10. or.
Breves:
CONAN mobile
Generoa eta Zibersegurtasuna
12. or.
60 URRERA! 2017ko ekaina
2 2017ko ekaina
AURRERA! aldizkari dibulgatzailea 60. zk.
Aurrerabide ekimena
Erakunde orok etengabe aldatu behar ditu dauzkan prozesuak, egunero‐egunerobezeroei zerbitzu hobe bat eman ahal izateko eta gainerako enpresekiko lehiakorizatenjarraitzeko.AdministrazioPublikoenkasuan,gauzaberagertatzenda,horiekerebarne‐prozesuak berrikusi behar baitituzte, beraien gizarteari zerbitzu hobe bateskainiahalizateko.
A skotan, Administrazio Publikoaknola funtzionatzen duen des‐kribatzerakoan, esaten da ezduela e ikaziaz eta e izientziaz
funtzionatzen, malgutasun txikia duela etageldi egokitzen dela herritarrek eskatutakoaldaketetara.
Eusko Jaurlaritzaren Berrikuntza Publi‐koaren Planean (BPP), zeina HerritarrakHartzeko eta Administrazioa Berritzeko etaHobetzeko Zuzendaritzak landu baitzuen,adierazizenjadahonakohau:
«Administrazio Publikoa funtsezko pieza batda gizarte aurreratu batean. AdministrazioPubliko moderno, azkar eta efiziente baterabakigarriadaongizateetabizitza‐kalitatehandiagoko gizarte bat lortzeko. Behar‐beharrezkoa dugu, beraz, AdministrazioPubliko bat, gure gizarte konplexu, aldakoreta askotarikoak une oro egiten dizkioneskakizunei efikaziaz erantzuteko gai izangodena».
Euskal gizarteari eskaintzen zaizkionzerbitzu publikoak hobetze aldera, BPPanardatz bat sartu zen, helburu zuena EuskoJaurlaritzan eta bere organismo auto‐nomoetanKudeaketaAurreratuarenEredu
bat ezartzea, «Aurrerabide» izena hartuzuena.
Hasierako plangintzaren arabera, aurreiku‐sita zegoen hiru urteko epean (2014kootsailetik 2017ko urtarrilera) Jaurlaritzakozuzendaritza guztiek egingo zutela presta‐kuntza/ekintza.
Une honetan, Eusko Jaurlaritzako sail etaorganismo autonomo guztiak ari dira partehartzen.
Erreferentziabatemateko,adierazibeharda2014, 2015 eta 2016ko deialdietan, guztira,110 zuzendaritza, organismo autonomo edoordezkaritzaizandirelapartehartudutenak.685 izan dira prozesuan zuzenean partehartuduten zuzendari, ordezkari, zerbitzukoarduradun edo arloko arduradunak, eta1.000tik gora dira prozesuan zeharkainplikatutadaudenak.
Funtzio Publikoko Sailburuordetzaren eki‐men hau (2014‐2016 BPPan sartuta dago)Eusko Jaurlaritzarako proiektu estrategikobat da1, jarraipena duena Gobernantza etaBerrikuntza Publikoaren 2020 Plan Estrate‐gikoberrian.
NOLA FUNTZIONATZEN DU
AURRERABIDEK?
Aurrerabiderenezaugarrinagusietakobatdaeredu propio bat dela, Jaurlaritzakopertsonek berariaz diseinatua eta garatua,gure Administrazioarentzat asmatua, etaprozesuaren beraren hobekuntzan arretagehiagojartzenduenaberealderdiformaleanbaino.
Informatika eta Telekomunikazioetako Zu‐zendaritzak (ITZ), beste hainbat zuzen‐daritzek bezala, parte hartu du Aurrerabideekimenean. Jarraian, ITZk ekimen honetanizan duen esperientziaren eta egin dituen
1Proiektuestrategi‐koa:EuskoJaurlaritzakaraudihauargitaratudu,Aurrerabiderilotuta:
GobernuKontseilua‐renErabakia,2014‐2016BPPariburuzkoa(2014koekainaren17a)
GobernuKontseilua‐renErabakia,Aurrera‐bideriburuzkoa(2014kourriaren14a)
GobernuKontseilua‐renErabakia,Ebalua‐zioei,FinkatzeetaHobetzePlaneietaKolaboratzaileenSareariburuzkoa(2016koekainaren7a)
LegeProiektua,EuskalSektorePublikoarenAntolamenduetaFuntzionamenduriburuzkoa
60. zk. AURRERA! aldizkari dibulgatzailea
2017ko ekaina 3
lanen berri emango dugu, baliagarria izangodelakoan.
Lehen pausoa izan da, PDCA2 motakoetengabeko hobekuntzako prozesu orotangertatzen den bezala, autoebaluazio bat
egitea, jakiteko zein den gure egoera oinarrigisa darabilgun Kudeaketa AurreratuarenEreduarekiko: identifikatu behar dituguindarguneak, ahulguneak, aukera posibleak,baietaaurreeginbeharkodiegunmehatxuakere. Halaber, beste dokumentu batzuekinbatera, gure Zuzendaritzako Zerbitzu Kata‐logoa landu da. Horren guztiaren helburua
izan da zehaztea zeintzuk izango direnkonpromiso espezifikoak, gerora garatubeharkodirenak.
Proiektua, behin onartuta, faseka gauzatukolitzateke.
ZERTARAKO BALIO DU?
Metodologiako saioetan azaldutako gaiaklantzen badira, herritarren gustuko ad‐ministrazio bilakatu ahal izango gara:gardenagoa, hurbilekoa, malgua, erantzun‐kidea, parte‐hartzailea, berritzailea, ebalua‐tuak izango diren helburuekin lan egingoduena, eta efizienteagoa, hots, baliabidepublikoakhobetoerabilikodituena.
Horretarako, Ereduak arreta berezia eskain‐tzendiealderdihauekinlotutakogaiei:
1.Estrategia: helburuen plangintza, Jaur‐laritzaren estrategia globalaren bideberetik.
2.Zerbitzuak: zerbitzuak kudeatzea, herri‐tarrekeskatzendutenarierantzuteko.
3.Pertsonak: pertsonen kudeaketa, haienkonpromisoasustatzerabideratua.
4.Berrikuntza: testuingurua sortzea, berri‐tzeko eta ideia eta proiektu berritzaileakkudeatzeko.
5.Gizartea: gobernuona, etikapublikoa etaelkarlana sustatzea eta erantzukizunahartzea jasangarritasunarekiko, berdin‐
2PDCA:Deming‐enzikloa(EdwardsDeming),PDCAzirkulugisa(ingelesez,Plan‐Do‐Check‐Act,hauda,Plani ikatu‐Egin‐Egiaztatu‐Jardun)edoetengabekohobekun‐tzakoespiralgisaezagutzendena,kalita‐tearenetengabekohobekuntzarakoestra‐tegiabatda,laupausozosatuaetaWalterA.Sheshartekasmatutakokontzeptubateanoinarritzendena.
[iturria:Wikipedia]
4 2017ko ekaina
AURRERA! aldizkari dibulgatzailea 60. zk.
tasunarekiko eta euskararen erabilerarennormalizazioarekiko.
6.Emaitzak: emaitzen jarraipena egitea,ardatzbakoitzaridagokionez.
EGITEN IKASI
Esan dugun bezala, Aurrerabidek ahalik etapraktikoena izan nahi du. Horretarako,prestakuntza/ekintzako prozesu bateanoinarritzen da, etengabeko laguntza emanezKudeaketaEreduarenoinarrizkoelementuakzuzendaritza edo zerbitzu parte‐hartzailebakoitzean ezartzerakoan, eta «EgitenIkasi»proiektuarenbidezegitenduhori.
Prozesu horren xedea da egiteko moduegokieiburuztaldeanpentsatzeneta idaztenlaguntzea, gero gainerako kideekin aplikatuahal izateko. Eta horrekin, lankidetzandiseinatzeabultzatzenda.
Horregatik, bere garaian, «Egiten Ikasi»proiektuadiseinatzekolantaldebateratuzen,eta bertan, Herritarrak Hartzeko etaAdministrazioa Berritzeko eta HobetzekoZuzendaritzako (DACIMA), Herri Ardu‐ralaritzaren Euskal Erakundeko (HAEE/IVAP) eta Funtzio Publikoko Zuzendaritzakoordezkariekpartehartuzuten.EUSKALIT3ek,berriz, prestakuntza/ekintzakoKnowInnikas‐taroak antolatzen eta garatzen daukanesperientziaeskainizuen.
Geroago, egitura eta edukia kontrastatu zenzerbitzu‐zuzendaritzekin, zerbitzu‐arduradu‐nekin eta teknikariekin; haien ekarpenakbaliagarriak izan ziren hasierako proposa‐menahobetzeko.
Informatika eta TelekomunikazioetakoZuzendaritzak,gainerakozuzendaritzaparte‐hartzaileek bezala, ikaskuntza partekatuanoinarritutako prestakuntza batean eta tailerpraktiko batzuetan parte hartu du. Horrela,urtebetean 10 saio egin dira (bakoitza 5ordukoa), zuzendariekin eta zerbitzu bakoi‐
3Euskalit:KalitatearenSustapenerakoEuskalFundazioada,1992koabenduaren15eansortua.
EuskoJaurlaritzakbultzatutakofundaziobatda,helburuduenaeuskalerakundeetanKudeaketaAurreratuasustatzeaetahorieklehiakorragoakizandaitezenlaguntzea.
http://www.euskalit.net
KOLABORATZAILEEN
SAREA
«Kolaboratzaile» gisa jardu‐
ten dutenak Kudeaketa Eredu
honen funtsezko pieza dira,
ekimen hau arrakastatsua
izateko behar den aldaketa
kulturala bultzatzeko eragile
ak bo bai ra.
Nabarmentzekoa da kolek bo
hori Eusko Jaurlaritzako berta‐
ko pertsonek osatzen dutela,
eta Funtzio Publikoko Sailbu‐
ruordetzako Aurrerabide Tal‐
deak koordinatuta, sarean lan
egiten dute prozesuak antola‐
kuntza‐unitateetan (zuzenda‐
ritzak, zerbitzuak...) eta Eusko
Jaurlaritzako gainerako gu‐
neetan kudeatzeko kultura
berri hori babesteko eta
zabaltzeko. Era berean, beste
kide batzuekin lankidetzan
aritzen dira beste sail eta
organismo batzuetako antola‐
kuntza‐unitateetan kudeake‐
ta‐ebaluazioak egiteko eta
kontrastatzeko.
«Eusko Jaurlaritzak herritarrei
eskaintzen dizkien zerbitzuak
hobeto kudeatzeko eredu edo
programa bat izan nahi du
Aurrerabidek»
60. zk. AURRERA! aldizkari dibulgatzailea
2017ko ekaina 5
tzeko arduradunekin, zeintzuekin aditu bategonbaita«entrenatzaile»modura.
Saiohorietan:
Ereduaren ezaugarriak zeintzuk direnadierazida.
Kudeaketa onarekin lotutako tresnenerabilerariburuzkotrebakuntzaemanda.
Esperientziaarrakastatsuenberriemanda.
Estandarbatzukemandira.
Tutoretza‐laguntza eman zaie saio batetikbestera zuzendaritza bakoitzean oinarriz‐kodokumentazioaprestatzeko,geroraeginbeharreko lanean balia dezaten. Do‐kumentazio hori, besteak beste,«entregagarri» hauek osatzen dute:zerbitzuen katalogoa, prozesuen mapa,prozesuoperatiboenfitxaketabiurterakooinarrizkoplangintza.
Halaber, Informatika eta Telekomunika‐zioetako Zuzendaritzak plataforma infor‐
matiko bat erabili du («Aurrerabiderentxokoa»), edukiak (dokumentuak) kargatzen
etadeskargatzen laguntzeko, laguntzenjardun duenak zalantzak argitzeko etagainerakoparte‐hartzaileekinharrema‐netanjartzeko.
FASEAK ETA GARAPENA
Etengabeko prozesu bat denez,metodologiaren barruan zenbait faseetazereginsartzendira;besteakbeste,honakohauek:
«EginezGara»Memoria lantzea etaeguneratzea. Memoria horretan, egin‐
dako lanaren azken dokumentu guztiakbildukodira.
Autoebaluazioa (antolakuntza‐unitatekolan‐gileek)
Ebaluazio‐galdetegiakbetetzea
Lehenespena,sendotuetahobetubeharre‐koalderdiakzehazteko
FinkatzeetaHobekuntzaPlanalantzea
GERORA BEGIRA
Aurrerabidek gerora begira dituen hel‐buruetako bat da bere Kudeaketa Ereduazabaltzea hezkuntzaren eta osasunarensektoreko administraziora, gainerako admi‐nistrazio instituzionalera eta sektorepublikoko administraziora, baita halaeskatzen duten gainerako administraziopublikoetaraere.
Gaur egun, Aurrerabideko arduradunaketa kolaboratzaile‐taldea harremanetandaude beste entitatebatzuekin4 (Gipuzkoaeta Bizkaiko Foru Aldundiak, EuskalUdalenElkartea[EUDEL],GasteizkoUdalaetaQ‐epea),ereduazabaltzenjarraitzeko.
Eusko Jaurlaritzak herritarrei eskaintzendizkien zerbitzuak hobeto kudeatzekoeredu edo programa bat izan nahi du,azken inean, Aurrerabidek, eta hobe‐kuntzarako beste edozein ereduk bezala,etengabekoprozesubateskatzendu,gurebarne‐prozesuak hobetzen jarraitu ahalizateko.
4Entitateak:
GipuzkoakoForuAldundia
www.gipuzkoa.eus
BizkaikoForuAldundia
www.bizkaia.eus
EUDEL—EuskadikoUdalenElkartea
www.eudel.eus
Vitoria‐GasteizkoUdala
www.vitoria‐gasteiz.org
Informaziogehiagonahiizanezgero,jarriharre‐manetanAurrerabide‐renLantaldearekin(FuntzioPublikoarenSailburuordetza),helbi‐deelektronikohonenbidez:
Edo,bestela,kontsultatuproiektuarenweb‐guneanargitaratzendeninformazioa:
http://www.euskadi.eus/eusko‐jaurlaritza/berrikuntza‐publikoa‐administrazioaren‐hobekuntza/aurrerabide‐kudeaketa‐aurreratua/hasiera/
6 2017ko ekaina
AURRERA! aldizkari dibulgatzailea 60. zk.
E rrege Dekretu horren 15.artikuluak («Profesionaltasuna»),bigarren zenbakian, honela dio:«administrazio publikoetako lan‐
gileek Administrazioaren sistema etazerbitzuei aplikatzen zaizkien informazio‐teknologien segurtasuna bermatzeko be‐harrezko prestakuntza espezifikoajasokodute».
KONTZIENTZIAZIOA ETA
PRESTAKUNTZA
Garbi dago berebiziko garrantzia duelaadministraziopublikoetanlanegitendutenenkontzientziazioak eta prestakuntzak,erabiltzendirensistema,zerbitzuetadatuensegurtasuna bermatzeko, eta, beraz, herri‐tarrekiko eta enpresekiko konfiantzasortzeko, administrazioekin egin beharrekogestioetan bitarteko telematikoen erabilerasustatudadin.
Aditu guztiak bat datoz: segurtasunareneremuko babesak (suebakiak, birusenkontrako softwarea, antispam iragazkiak,bidegabeko sartzeak atzemateko etaprebenitzekosistemak...)ezdiranahikoagizaakatsei aurre egiteko. Aurrera aldizkariarenazken alean adierazi zen bezala (59. zk.,2017ko martxoa), «kontzientziatzea,prak‐tika onak baliatzeaetazentzuz jokatzeadira armarik onenak izaten ditugunerasoetatik babesteko (gaizkile zibernetikoekingeniaritza sozialeko teknikak erabiltzendituzteberenerasoetarako». Eta aipatutako«arma» horiei prestakuntza egoki batgehitzen badiegu, lortuko dugun babesa ereegokiaizangoda.
Kasu erreal bat: pertsona baten helbideelektronikokorporatiboramezubat iritsida,bidaltzaile ezezagunekoa eta mezua jaso
duen pertsonarekin zerikusirik ez duen gaibaten ingurukoa; esteka bat (link) edofitxategierantsiakdauzkamezuak,etagaizkiidatzita dago, edo akats ortografikoekin.Mezuarengaiahonelakozerbaitizandaiteke:«sari bat irabazi duzu…», «faktura bat dau‐kazu: sakatuestekahau…», «paketebat jasoduzupostabidez…», etab. Zentzuak esatendiguezdelakomeni era horretakomezuakirekitzea eta, gutxiago, hor jartzen dituztenesteketara joatea edo fitxategi erantsiakirekitzea. Mota horretako mezuren bat edosusmagarria den besteren bat jasotzendugunean, egokiena da gure informatika‐zerbitzua edo Erabiltzailearen LaguntzaZentroa (ELZ/CAU5) jakinaren gaineanjartzea, esku hartu dezan eta arazoasegurtasun‐gorabehera gisa bideratua izandadin. Ransomware6‐erasoak mezu elektro‐nikoen bidez hasten dira zabaltzenerakundeetan (adierazi berri dugun horibezalakomezuenbidez).
PRESTAKUNTZA‐PROGRAMA PROPIOA
GureSeK7 (GureSegurtasunKudeaketa, EuskoJaurlaritzaren informazioaren segurtasunakudeatzeko prozesua) programa bat defi‐
Prestakuntza, Segurtasunaren Eskema
Nazionalaren ikuspegitik
Segurtasunaren Eskema Nazionala (SEN) Errege Dekretu bat da (3/2010 ED,urtarrilaren8koa),administraziopublikoetakolangileakprestakuntzaegokibatizaterabehartzen dituena, Informazio Sistemek erabiltzen dituzten informazio‐teknologiensegurtasunabermatzeko,eta,hartara,teknologiahoriekbabestutaegoteko.
5ELZ/CAU:EuskoJaur‐laritzakoInformazioSistemenErabiltzaileenLaguntzarakoZentroa(440telefonoa).
6Ransomware:(ran‐som,ingelesezerreska‐tea,etawareatzizkia,softwareadelaadieraz‐teko).Softwareedopro‐gramainformatikobatda(malwaremotakoa);itxategiedokarpetazenbaitzifratzenditu,erabiliezindauzteko.Malwarehorrenhelbu‐ruadadirualortzeaor‐dainketaelektronikobatenbidez;normaleanbitcoin‐etanordaindubeharizatenda(dirubirtualarenbidez),bainaordainduarren,ezdagobermatuta itxategihoriekberreskuratukoditugunik.
7GureSeK:EuskoJaur‐laritzarenInformazioa‐renSegurtasunaKudea‐tzekoSistema(ISKS).
ISKSakinformazioarensegurtasunazaintzekoprozesu‐multzoakdira;erakundeakizanlitza‐keenarriskuakoinarrihartuta,informazioarensegurtasunaezarri,inplementatu,mantenduetaetengabehobetzekoerabiltzendira.
(Iturria:«Cómoimplan‐tarunSGSIsegúnUNE‐ISO/IEC27001:2014ysuaplicaciónenelEsquemaNacionaldeSeguridad»,AENORediciones)
60. zk. AURRERA! aldizkari dibulgatzailea
2017ko ekaina 7
nitzeneta idaztenarida,EuskoJaurlaritzarenInformazioaren Segurtasuna Kudeatzeko Sis‐temaren Prestakuntza Programa izenekoa.Dokumentu bat da, IVAPeko8prestakuntzaarautuarekin lotua dagoena, eta ezartzenduena zer ildo jarraitu behar diren EuskoJaurlaritzako langileen prestakuntza‐ etatrebakuntza‐ekintzak arautzeko, erakun‐dearen segurtasuna kudeatzeko prozesuaridagokionez.
Jarraian, prestakuntza horren ezaugarrinagusiak zeintzuk diren azalduko dugu(prestakuntza‐ekintzakformalkionartuakizan behar dira Eusko Jaurlaritzarensegurtasunaren antolaketari buruz GobernuKontseiluak —2015eko ekainaren 30ean—onartutako Erabakiaren9 bidez sortutakobatzordeetan: «Erabaki‐proposamena,zeina‐ren bidez onartzen den Eusko JaurlaritzarenAdministrazio Elektronikorako antolakuntza‐egituraetasegurtasun‐rolenesleipena.»).
GURESEK PRESTAKUNTZAREN
IRISMENA ETA HELBURUAK
Programa honetako prestakuntza EuskoJaurlaritzako sail eta organismo autonomoguztietakolangileeidagokie.
Hauek dira prestakuntza‐programa honenhelburuespezifikoak:
EzagutzeraemateaSegurtasunarenEskemaNazionalean jasotako bitarteko elektro‐
nikoen erabilerari dagozkion segurtasun‐politikekinzerikusiadutenalderdiguztiak.
Eusko Jaurlaritzako erabiltzaileek zerobligazioorokordituztenezagutarazteaetahorietazkontzientziatzea.
Informazio‐sistema batek izan ditzakeenarriskuak identifikatzen ikastea (ardura‐dunek egin dituzte jada zerbitzu
elektronikoenbalorazioak).
Segurtasunaren kudeaketari lotutakooinarrizko alderdiak ezagutzea eta se‐gurtasun‐gorabehereierantzunaematea.
Gure jardute‐eremuari dagozkion segur‐tasun‐rolakezagutzea.
ESKAINITAKO PRESTAKUNTZA‐
MODULUAK
Hiruprestakuntza‐moduluizangoditugu:
Segurtasuna(sarrera)
Segurtasunaren arloko oinarrizko presta‐kuntza.
Segurtasunarenarlokoprestakuntzaaurre‐ratua.
SEGURTASUNAREN SARRERAKO
MODULUA
Hauek dira segurtasunaren sarrerako mo‐duluarenhelburuak:
Segurtasunarenarlokoesparruarautzaileaezagutzea.
Informazioaren segurtasunari dagokionez,lanpostuan erabiltzaile gisa errespetatueta onartu behar diren printzipioorokorrak (arauak) ezagutzea («EuskoJaurlaritzako erabiltzaileen obligazio oro‐korrak» dokumentuan jasota daude, etadatu pertsonalen babesaren arloan[DBLOED] eta zerbitzu elektronikoensegurtasunaren arloan [SEN etaMSPLATEA] aplikatzekoak diren legezkoobligazioenondoriozkoakdira)
Hauekdiraikastarohonenedukiak:
Segurtasuna (sarrera). informazioaren se‐gurtasuna, EOKBT segurtasun‐bermeak
8HAEE/IVAP:HerriArduralaritzarenEuskalErakundeada,EuskoJaurlaritzakoegungoGobernantzaPublikoetaAutogobernuSailariatxikitakoorganismoautonomoa,zeinarensorrera,egituraetafuntzioakuztailaren27ko16/1983Legeanezarritabaitaude.Erakundearenjardute‐eremurikhandienetakobatdaeuskalAdministraziokolangileenhautaketaetaprestakuntza.
Informaziogehiagorako:
www.ivap.euskadi.eus
9GobernuKontseilua‐renErabakia,EuskoJaurlaritzarensegur‐tasunaantolatzeariburuzkoa:erakundegisainformazioarensegurtasunarenere‐muanditugunobliga‐zioakzeintzukdiren,prestatubehardugundokumentazioazeindenetaEuskoJaurlaritzansegurtasunanolaantolatutadagoenjakinnahiizanezgero,Aurreraaldizkariakontsultadezakezue,56.zk.,(2016koekaineanargitaratua),eta,zehazki,«Informazioa‐renSegurtasunPolitika(ISP)»izenekoartikulua.
8 2017ko ekaina
AURRERA! aldizkari dibulgatzailea 60. zk.
(Erabilgarritasuna, Osotasuna, Konfiden‐tzialtasuna, Benetakotasuna eta Trazabili‐tatea), Segurtasunaren Eskema Nazionala,datupertsonalenbabesariburuzkolegedia,mehatxuak...
Informazioaren segurtasunaren gainekopolitika.
Informazioaren kanpoko euskarriak: USBgailuak, kanpoko beste gailu batzuk,paperaren erabilera, funtzioanitzekogailuak.
Lanpostua: mahaigain garbiaren politika,pasahitzen politika (SARgune10), metada‐tuengarbiketa...
SEGURTASUNEKO OINARRIZKO
PRESTAKUNTZARI BURUZKO
MODULUA
Langileei dagokienez, hauek dira moduluhonenhelburuak:
Informazioaren segurtasunaren arloanaplikatzekoa den esparru arautzaileariburuzko oinarrizko ezagutza batzukjakiteraematea.
Langileek segurtasunari buruzkogutxieneko funtzio batzuk bereganatzea,besteohikozereginbatizangobalitzbezala.
GureSeK‐en egitura eta funtzionamenduaezagutzea.
GureseK‐ek lanpostuan dituen ondorioezjabetzea.
10SARgune:SareKorporatiborasartzekosistemada.Helburua:segurtasunaetakalitateahobetzea,eta,eraberean,SareKorpo‐ratiboarenzerbitzueta‐rakosarbideaerraztea(postaelektronikoa,aplikazioak,sistemak...)Pasahitzenpolitikasendobatdaramainplizitukisistemak,ekipoetarasartzekoerabilikodena.
Segurtasunaren sarrerako modulua:
segurtasun‐dimentsioak (EOKBT)
Segurtasun‐dimentsioak, segurtasun‐berme
ere deituak, hauek dira:
Erabilgarritasuna: erakunde edo prozesu baimenduek sarbidea dute hala behar
dutenean.
Osotasuna: informazioa ez da baimenik
gabe aldatu.
Konfidentzialtasuna: baimenik ez duten
pertsonei, erakundeei eta prozesuei ez zaie
informazioa eskuragarri jartzen, ez eta
jakinarazten.
Benetakotasuna: entitate batek adierazi‐tako identitatea egiazkoa da edo datuen
iturria bermatzen da.
Trazabilitatea: entitate baten jarduerak
entitate horri baino ez dakizkioke egotzi.
Aipatutako segurtasun‐dimentsioak aztertzen
dira zerbitzu bakoitzarentzat, eta dimentsio
horietako bakoitzari maila bat esleituko zaio:
TXIKIA, ERTAINA edo HANDIA.
TXIKIA: segurtasun‐gorabeheraren kaltea
ARINA da (ohiko obligazioei erantzuteko
gaitasun operatiboa pixka bat murriztea,
erakundearen aktiboei kalte txikia eragitea,
lege edo araudiren bat formalki ez betetzea,
norbaiti kalte txikiren bat eragitea...)
ERTAINA: segurtasun‐gorabeheraren kaltea LARRIA da (ohiko obligazioei erantzuteko
gaitasun operatiboa nabarmen murriztea,
erakundearen aktiboei kalte nabarmena
eragitea, lege edo araudiren bat materialki
ez betetzea, norbaiti kalte nabarmen bat
eragitea...)
HANDIA: segurtasun‐gorabeheraren kaltea OSO LARRIA da (OINARRIZKO obligazioei
erantzuteko gaitasun opera boa GALTZEA,
erakundearen ak boei kalte OSO HANDIA
EDO KONPONEZINA eragitea, lege edo
araudiren baten ez‐betetze larria, norbai
kalte handiren bat eragitea, konponbide
zailekoa edo konponezina dena...)
«Programa honetako prestakuntza
Eusko Jaurlaritzako langile guz ei
dagokie»
60. zk. AURRERA! aldizkari dibulgatzailea
2017ko ekaina 9
Oinarrizkoprestakuntzakomoduluhonenetasarrerako lehen moduluaren hartzaileakEusko Jaurlaritzako langile GUZTIAK dira,zeintzuk behartuta baitaude bi moduluakegitera. Horretarako, IVAPek, urtekoprestakuntza‐ikastaroen katalogoorokorraren bidez, eta, betiere, erakundehorrek bidezkotzat jotzen duenaldizkakotasunez, on‐line prestakuntza batjarriko du eskuragarri Eusko Jaurlaritzakosail eta organismo autonomoei atxikitakolangileentzat, Eusko Jaurlaritzako langileguztiek izan dezaten aukera eta obligazioaprestakuntza hori jasotzeko. Oinarrizkoprestakuntzako modulu hori eginda badagobaina ikastaroarenedukiaknabarmenaldatubadira,berrizeginbeharkodaikastaroa.
SEGURTASUNEKO PRESTAKUNTZA
AURRERATUARI BURUZKO MODULUA
Hauekdiraikastarohonenedukiak:
Sarrera. Segurtasuneko oinarrizko modu‐luarenedukienlaburpena.
GureSeK. Eusko Jaurlaritzako segurtasun‐prozesua:prozesuarenrolak,funtzioaketa
erantzukizunak; prozesuaren jarduerak;prozesuarenebaluazioaetajarraipena.
GureSeK. Aplikazio praktikoa: segurta‐sunaren kudeaketa (GureseK mantentze‐programa, arriskuak analizatzeko etakudeatzeko metodologia, kudeaketadokumentalaren prozedura, segurtasun‐gorabeherak kudeatzeko prozedura,auditoretza‐prozedura, etengabeko hobe‐kuntzako sistematika...) eta segurtasunteknologikoa (segurtasun‐arkitekturarengutxienekobaldintzak,azpiegiturakegune‐ratzeko politika, bidegabeko sartzeakatzemateko eta prebenitzeko politikak,jarraipen‐plana...).
Prestakuntza‐modulu hau aurrez aurrekoaizango da: azalpen teoriko‐praktiko batemango da, ikus‐entzunezko euskarri batenbidez.
Prestakuntza‐modulu honetara joan behardira langileak, baldin eta beren lanpostuakharreman zuzena badu administrazioelektronikoaren eremuko informazioarensegurtasunarekin.
11SCORM:SharableContentObjectReferenceModel,Internetbidezkoikaskuntzako(elearning)produktuentzakozehaztapenteknikoenmultzobatda.Edukienegituraetaportaera—etaedukihoriekosta‐tatuetaexekutatukodituztenplataformena—de initzekoarauakzehaztenditu.
Prestakuntza, CCN‐CERT bidez
Zentro Kriptologiko Nazionalaren (CCN)
webgunean, bi ikastaro daude edonorentzat
es‐kuragarri, alderdi publikoan:
Segurtasunaren Eskema Nazionala: bedera‐
tzi unitate edo modulu dira, erreferentziako
dokumentazioz osatuak:
1. Administrazio Elektronikoa eta Informa‐
zioaren Segurtasuna.
2. Segurtasun Eskema Nazionala. Sarrera.
3. Informazioaren Segurtasunaren gutxiene‐
ko baldintzak.
4. Segurtasunaren Azpiegitura eta Tresnak.
5. Segurtasun‐auditoretzak eta gorabeherei
erantzutea.
6. Erreferentziako organoak eta organis‐
moak.
7. Sistemen eta Segurtasun Neurrien
kategorizazioa.
8. Ariketa praktikoa.
9. ENSren CCN‐STIC gidak eta informazio
osagarria.
Informazio Sistemen Arriskuen Analisia eta
Kudeaketa: helburua da informazio‐siste‐
metan dauden arriskuen kudeaketa eta
analisiari lotutako alderdi teorikoak
aztertzea (Sarrera, Arriskuen kudeaketa‐
prozesua, Arriskuen analisi baten
elementuak, Aktiboak, Mehatxuak, Inpaktua
eta arriskua, Operazioen jarraipena eta
Ondorioak).
Alderdi pribatuan ere ikastaro batzuk ezarri
dituzte, segurtasunarekin zerikusia dutenak.
CCN‐CERT ikastaroak SCORM11 zehaztapen
teknikoen multzoaren barruan garatu dira.
h ps://www.ccn‐cert.cni.es/
10 2017ko ekaina
AURRERA! aldizkari dibulgatzailea 60. zk.
ALBOAN:
Eusko Jaurlaritzako estandar teknologikoak
berrikustea eta eguneratzea
E uskoJaurlaritzakoInformatikaetaTelekomunikazioetako Zuzendari‐tzaren eskumenetako bat da«estandarren betetzeaz, kontrolaz
etajarraipenaz» arduratzen den autoritatezentral moduan jardutea, otsailaren 18ko35/1997 Dekretuan adierazten den bezala(35/1997 Dekretua, informazio eta teleko‐munikaziosistemenegitekoaketakudeaketa‐modalitateen planifikazioa, eraketa etabanaketaarautzendituena).
Estandarrak definitzea ekimenestrategikoeta beharrezkoa da Eusko Jaurlaritza‐rentzat, zuzenean laguntzen baitu gureAdministrazioaren helburu estrategikoaklortzen.Besteakbeste,honakohauek:
Herritarrei eta enpresei eskainitakozerbitzuenkalitateaareagotzeaetakalitategorenabermatzea.
Administrazioarenbarne‐prozesuetan,efi‐kaziaetaefizientziahandienerantzjoatea.
Instituzioen eta organismo publikoenarteko lankidetza‐ingurune eta ‐sare batzabaltzenlaguntzea.
EuskoJaurlaritzarenEstandarTeknologikoenDokumentuan,euskalAdministrazioaktekno‐logiaberrieneremuanzabaldutakozerbitzueieuskarri ematen dieten zehaztapen etabaldintza teknikoak jasotzen dira, betiere,Eusko Jaurlaritzak bere planen bidezezarritako helburu estrategikoekin batetorriz.EstandarhoriekEuskoJaurlaritzarenInformatika Elkarteak kudeatzen ditu (EJIE,S.A.).
Horretarako, Estandar Teknologikoen do‐kumentuan estandar edo produktu batzukdefinitzen dira, korporatibotzat edonagusitzat jotzen direnak, eta EuskoJaurlaritzako sail/organismo autonomoenInformazioSistemenoinarriizangodirenak.
Euskal administrazio elektronikoaren az‐piegituraren euskarri diren inguruneteknologikoen etengabeko bilakaera etaadministrazioa osatzen duten sail etaorganismo autonomoetan sortzen direnekimenak direla‐eta, beharrezkotzat jo daEusko Jaurlaritzako estandar teknologikoenedukia berrikusteko eta eguneratzekobeharrezko zereginei heltzea, betiere,planteatzen direnbeharguztieieran‐tzun egoki batemateko osotasu‐naren,kalitateareneta segurtasuna‐ren ikuspegitik,eta, halaber, dato‐zen urteetako es‐parru teknologi‐koa ezarri ahalizateko.
Horregatik, eta 35/1997 Dekretuan ezarri‐takoa betetze aldera, Informatika etaTelekomunikazioetakoZuzendaritzakekimenbat bultzatu du, Eusko Jaurlaritzaren es‐
ALBOAN
«Estandarrak
definitzea
ekimen
estrategiko eta
beharrezko bat
da Eusko
Jaurlaritza‐
rentzat»
60. zk. AURRERA! aldizkari dibulgatzailea
2017ko ekaina 11
Edizioberrihonetan,estandarteknologikoekdakartenberritasunbatdaaldebaterautzikodugula «DOKUMENTUA»ren ideia, eta edukiguztiak «FITXA» formatu batera pasakoditugula (webgunean eskuragarri egongodira), eta, hartara, «webresponsive» diseinubat izangodugu, edozeingailutatik sartuetakontsultatzeko aukera emango duena(ordenagailua, tableta, smartphone‐a,...).Gainera,fitxabakoitzeansartukodiren«link»edo estekei esker, ikusi ahal izango duguestandarbatenetabestearenartekoerlazioazein den, nazioarteko arauekiko balio‐kidetasuna (ISO...), informazioa zeinegunetaneguneratuden,etab.
LOGOTIPOA
Fitxen edukia edo informazioa eguneratuondoren, estandar teknologikoak eta horieninguruko dokumentazio guztia identi‐fikatzeko logotipo bat diseinatzeari ekinzitzaion.
Ezaugarrihauekdituenlogotipoahautatuzenazkenean:
«E» letrak «Euskadi» eta «Estandarrak»adierazikolituzke.
Eduki desberdinen arteko integrazioa etakonexioa sinbolizatzen du (estandarraketaproduktuak).
Edukien segurtasuna, sendotasuna etabatasunaadieraztendu.
Kolore iluna (gris iluna) normaleanteknologiarekinlotzenda.
Kolore urdinak, bestalde, segurtasuna etafidagarritasunaadieraztendu,eta,gainera,korporazioaren egungo webguneakdaukankoloreurdinarenantzekoada.
Eguneratzea amaitu bada ere, horrek ez duesan nahi argitaratzen den informazioainkoa edo estatikoa denik; izan ere, emanzaionegiturariesker( itxabidezkoa)edozeindatu eguneratu ahal izango da modu azkaretamalgubatean.
tandarteknologikoakberrikustekoetaegune‐ratzeko.
DOKUMENTUTIK WEBERA
Orain arte, estandar teknologikoei buruzkoinformazio guztia «Estandar teknologikoendokumentua» delakoan sartuta zegoen.Dokumentu hori honela egituratuta zegoen:dokumentu nagusi bat eta eranskin batzuk,haren osagarri. Eta Informatika etaTelekomunikazioetakoZuzendaritzarenweb‐gunean zegoen guztia eskuragarri. Hauekzireneranskinhoriek:
1. Interkonexio‐eredua(JASOetaSARA)
2. PLATEAestandarteknologikoak
3. Estandarren katalogoa, eAdministrazioa‐reneremuan
4. SinaduraetaZiurtagiriPolitika
5.Aldaketarenkudeaketarenmetodologia
6. Garapenerakogidalerroak
7.Dokumentuenformatuonartuak
8. Produktu/teknologia definituen bertsioeguneratuak
9. Estandarrak,FLOSSareneremuan
Aipatutako ekimen horren bidez, gaur egunestandar teknologiko moduan bildutakoinformazioa berrikusteko eta eguneratzekoeta web formatu batera egokitzekobeharrezkoakdirenlanakegindira.
Horretarako, Informatika eta Telekomunika‐zioetako Zuzendaritza, azken asteetan,dokumentu nagusiaren eta horren erans‐kinenedukiakberrikusteazetaeguneratzeazarduratu da, EJIEn gai bakoitzaren inguruandaudenarduradunekinlankidetzan. ALBOAN
«Edizio
honetako
berritasunetako
bat da
DOKUMENTU
formatu k FITXA
formatura pasa
garela»
[Informaziogehiago]:
EuskoJaurlaritzaren
estandarteknologikoen
webgunea
http://
www.euskadi.eus/
informatika
(atala:
«Estandar
teknologikoak»)
CONAN mobile
Z ibersegurtasunaren Institutu Nazionaleko(Incibe) Internautaren Segurtasun Bule‐goaren (erdaraz, OSI) helburuetako bat dapertsonek eremu digitalaren inguruan duten
konfiantza areagotzea, zibersegurtasunaren prestakun‐tzaren bidez. Horregatik, publiko orokorrarentzateskuragarri jarri dudoako tresnabat,Android sistemaoperatiboa (2.2. bertsioa edo handiagoa) instalatutaduten gailu mugikorrak analizatzeko eta babesteko(smartphone‐a,tableta…).
Tresna edo aplikazio hori (Aurreraaldizkariaren 49. alean eman genizuenlehen bertsioaren berri) GooglePlaydendatik deskarga daiteke, eta aukeraematen dizu zure Android gailuarensegurtasun‐mailaezagutzeko,gailuarenanalisi baten bidez (Interneterakosarbideaizanbeharda).
Analisiaren emaitzak aditzera ematendu zein den aztertutako ekipoaren
segurtasun‐egoera orokorra: ARRISKUAN, ARRETAESKATZENDU, ZUZENA etaBURUTUGABE; eta bostatalditu:
1.Konfigurazioa (arazoak dituen edo arreta eskatzenduen, sistema operatiboaren analisiaren emaitzenarabera).
2.Aplikazioak(instalatutakoaplikazioenarris‐kugarritasunariburuzkoanalisia).
3.Baimenak (handiak, ertainak eta txikiak;instalatutako aplikazioei eman zaizkienbaimeneilotuta).
4. Zerbitzu proaktiboa (instalatutako aplika‐zioen gertaera eta konexioei buruzko alerta: WiFikonexio ez‐seguruak; deiak eta mezuak, tarifikazioberezikozenbakietara...).
5. InternautarenSegurtasunBulegoaren(OSI)aholkuak(terminal mugikorraren segurtasuna hobetzeko,Inciberenweb‐orrirakonektatzendazuzenean).
Webgunea:https://www.osi.es/es/conan‐mobile
60 2017ko ekaina
Generoa eta Zibersegurtasuna
O ihartzun handia izan du herrialdedesberdinetako konpainiek eta instituzioek«WannaCry» malwarearen eskutik jasan‐dakoerasomasiboak,eta jendeaskoohartu
dazeinengarrantzitsuadenzibersegurtasuna.
Asko dira segurtasun informatikoarekin lotuta daudenalderdiak,kontuanhartubehardirenakmotahorretakomehatxuen aurrean; adi‐bidez, erakunde batekoerabiltzaileekinerasoakeki‐diteko egin behar denkontzientziazio‐lana, edokontuan hartzea galeraekonomiko handia eragindezakeela mota horretakobirusedomalwarebatek.
Baina bada beste ikuspegibat ere, kontuan hartzeakomeni dena: Zibersegur‐tasunaren eta genero ikus‐pegiarenarteandagoenlotura.
Ildo horretatik, Incibek (Zibersegurtasunaren InstitutuNazionala)«Generoaren eta Zibersegurtasunaren Nazio‐arteko I. Foroa» antolatu berri du, Leonen (ekainaren
5ean eta 6an egin da).Bertan, segurtasun infor‐matikoaren eta generoarenhainbat alderdi aztertudira;besteakbeste,honakohauek: genero‐aniztasunakteknologiaren eta ziber‐
segurtasunaren eremuan duen garrantzia; genero‐indarkeriaren aurkako ekintzak, eremu digitalean; edosarekogenero‐delituak.
Inciberen webgunean kontsulta daitezke parte‐hartzaileenzerrendaetahitzaldiak.
Web‐orria:https://www.incibe.es
BERRILABURRAK!!