Procesia

la transformació digital és un procés constant un canvi de mentalitat una necessitat per tot tipus d'organitzacions

Termes

Cada dia apareixen nous termes i conceptes entorn de la modernització i digitalització de les Administracions Públiques a Espanya. Uns altres en canvi cauen en desús. Per això volem compartir amb tu aquest llistat viu de termes, que actualitzem i enriquim constantment en Procesia, amb la finalitat de continuar aprenent i adaptant-nos a un sector cada vegada més canviant.

Anonimización APT Big Data Blockchain Blue team CAdES Cartulario CAU Ciberguerra Ciberinteligencia Ciberseguridad Ciclo vida software Cloud Compliance Officer Criptografía Cyberinnovation challenge DLP DPD DPO Due diligence eAdministración eIDAS Endoso ENS Escrow Gap analysis GRC INES ISO Inteligencia Artificial Lexnet Magerit Machine Learning OTP PAdES RDLOPD Red team RGPD SaaS Scrum SedJude Seudonimización SGSI Sprint planning SSE-CMM Test de intrusión Timestamping Vulnerabilidades Web hacking XAdES

Anonimització

Dissociació de dades personals, ruptura total de les dades a tractar amb les identificatives de les persones.

APT

Advanced Persistent Threat o Amenaça Avançada Persistent: és un tipus de ciberatac o ciberamenaça sofisticada i complexa de combatre.

Big Data

Mecanismes capaços de processar i gestionar dades de fonts, iguals o no, amb l’objectiu de buscar patrons repetitius, models predictius o fins i tot relacions entre elles.

Blockchain

Estructura de dades, també coneguda com a cadena de blocs, la informació dels quals s’agrupa en blocs o nodes d’una xarxa als quals se’ls integren metainformacions d’un altre bloc de la cadena anterior en una línia temporal. Així, la informació continguda en un bloc només pot ser editada modificant tots els blocs posteriors.

Blue team

Pràctica de defensa contra ciberatacs, composta per un conjunt o capes de mesures, de manera que si falla una, una altra redueix l’exposició i mitiga l’impacte.

CAdES

Sigles de CMS Advanced Electronic Signatures. Es tracta d’una sèrie d’extensions de dades signades amb sintaxis de missatges criptogràfics que compleixen amb tots els requisits legals de la directiva per a signatura electrònica avançada. Aquest format permet que els documents signats electrònicament puguin continuar sent vàlids durant llargs períodes.

Cartulari

Plataforma multiusuari, disponible en modalitat cloud computing o núvol TIC, que permet una ràpida posada en marxa de les solucions de confiança digital.

CAU

Centre d’Atenció a l’Usuari. Suport equipat amb personal, tecnologia i processos orientats a ajudar als usuaris en la seva relació diària amb la tecnologia.

Ciberguerra

També anomenada guerra informàtica o guerra digital, és el conflicte o enfrontament el camp d’operacions del qual són els sistemes i tecnologies de la comunicació i informació.

Ciberintel·ligència

Activitats d’intel·ligència en els processos de ciberseguretat encarregats de l’anàlisi, prevenció, identificació, localització i atribució d’atacs o amenaces a través del ciberespai.

Ciberseguretat

També coneguda com a seguretat digital o seguretat de la informació. Són mesures de protecció per als sistemes i dispositius d’una organització -a més de per a tots els arxius d’informació que processa, transporta i emmagatzema- davant amenaces o atacs informàtics.

Cicle de vida del software

Paradigma que permet oferir serveis de computació allotjats i/o a través d’una xarxa (Internet). Hi ha diversos fabricants, com Azure, Amazon o Google, entre d’altres.

Compliance Officer

Figura de vigilància i control encarregada d’assegurar el compliment de les regulacions normatives o de qualsevol mena de legislació relacionada amb el sector de l’organització a la qual pertany.

Criptografia

Tècnica de protecció de dades i documents, basada en la utilització de xifres o codis per a escriure informació secreta o confidencial.

Cyberinnovation challenge

Repte formatiu dirigit a usuaris interessats en àrees de tecnologia i innovació.

DLP

Sigles de Data Loss Prevention, sistemes de prevenció de pèrdua de dades d’una organització.

DPD o DPO

Delegat de Protecció de Dades, també conegut com DPO en anglès, Data Protection Officer, encarregat de la supervisió del compliment de la normativa en matèria de protecció de dades personals en organitzacions i administracions públiques.

Due diligence

Recerca elaborada per auditors externs, que examinen les diferents àrees d’una empresa per a determinar si compleix amb les seves obligacions i no existeixen riscos legals derivats de la seva activitat.

eAdministració

Incorporació de les TIC (Tecnologies de la Informació i la Comunicació) en les administracions públiques.

eIDAS

Sistema europeu de reconeixement d’identitats electròniques, electronic IDentification, Authentication and trust Services. Reglament de la UE sobre normes per a la identificació electrònica i serveis de confiança per a transaccions electròniques.

Endós

Acte pel qual una persona transfereix a una altra el poder de realitzar un acte jurídic al seu nom o transferir la propietat d’un document.

ENS

Esquema Nacional de Seguretat, en l’àmbit de l’Administració electrònica.

Escrow

Compte o contracte de dipòsit que, en una compravenda, assegura el pagament al venedor i el bé o servei al comprador. Aquest mecanisme és conegut també com a fideïcomís.

Gap analysis

Estudi que determina la situació actual d’una empresa i defineix les metes de futur.

GRC

Abreviatura de Governance, Risk & Compliance -Govern corporatiu, gestió de riscos i compliment-, nom que agrupa totes les mesures que garanteixen un desenvolupament sense incidents, orientat a objectius i conforme a la llei de totes les activitats de l’organització.

INES

Informe Nacional de l’Estat de Seguretat. Projecte que facilita la labor d’avaluació de l’estat de seguretat dels sistemes per part de les administracions públiques. Compta amb una plataforma telemàtica que proporciona a totes elles un coneixement més ràpid del seu nivell d’adequació a l’ENS i de l’estat de seguretat dels seus sistemes.

ISO

És una organització per a la creació d’estàndards internacionals composta per diversos institucions nacionals de normalització.

Intel·ligència Artificial

Imitació de funcions cognitives per una màquina. Tot i que el pare d’aquesta disciplina va ser Alan Turing, el terme va ser encunyat per John McCarthy, que també va inventar el llenguatge de programació LISP.

Lexnet

Sistema d’intercanvi electrònic segur de documents legals -com ara notificacions, escrits de tràmit i escrits iniciadors d’assumpte- entre oficines judicials i operadors legals.

Magerit

Metodologia elaborada pel Consell Superior d’Administració Electrònica del Govern d’Espanya per a minimitzar els possibles riscos i vicissituds de la implantació i ús de les TIC en les administracions públiques.

Machine Learning

Subcamp de les ciències de la computació, concretament de la Intel·ligència Artificial, l’objectiu del qual és desenvolupar tècniques que permetin a les computadores aprendre.

OTP

Oficina Tècnica de Projectes: departament o grup que defineix i manté estàndards relacionats amb la gestió de projectes per a una determinada organització.

PAdES

Format de signatura electrònica, PDF Advanced Electronic Signature, a través del qual el destinatari pot comprovar fàcilment tant la signatura com el document signat.

Pseudonimització

Tractament de dades personals que, sense incloure les dades nominatives d’un subjecte, permeten identificar-lo mitjançant informació addicional. Aquesta ha de figurar per separat i estar subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixin a un subjecte físic identificat o identificable.

RDLOPD

Reglament de Desenvolupament de la Llei orgànica de Protecció de Dades.

RGPD

Reglament General de Protecció de Dades, marc jurídic aplicable en tots els estats membres de la Unió Europea i que té prioritat sobre les legislacions nacionals.

SaaS

Terme que es refereix a “programari com a servei”. És una solució de programari integral, que permet als usuaris utilitzar les aplicacions que necessitin a través del núvol, com ara el correu electrònic, calendaris, ofimàtica, etc.

Scrum

Procés en el qual s’apliquen una sèrie de bones pràctiques de treball col·laboratiu, per a equips altament productius, amb la finalitat d’obtenir el resultat òptim d’un projecte.

SedJude

Sigles de la Seu Judicial Electrònica.

SGSI

Sistema de Gestió de Seguretat de la Informació. Eina que permet a les organitzacions conèixer, gestionar i minimitzar els possibles riscos que atemptin contra la seguretat de la informació.

Sprint planning

Reunió inicial, de planificació de tasques, segons la guia d’Scrum.

SSE-CMM

System Security Engineering Capability Maturity Model: model d’avaluació de les característiques essencials dels processos que han d’existir en una organització per a assegurar una òptima seguretat de sistemes.

Test d'intrusió

Conjunt de tècniques i mètodes que permet simular un atac real als sistemes d’informació d’una organització amb la finalitat de determinar el seu nivell de fortalesa i seguretat. També es denomina pentest.

Timestamping

Protocol conegut com a “segellament digital de temps”. Es tracta d’un mecanisme en línia que permet demostrar que una sèrie de dades han existit i no han estat alterades des d’un instant específic en el temps.

Vulnerabilitats

Terme que s’utilitza en el marc de la seguretat informàtica en diferents contextos. Normalment són errors, problemes en el codi o configuració d’un software.

Web hacking

Detecció i explotació de vulnerabilitats de seguretat en xarxes o sistemes.

XAdES

XML Advanced Electronic Signatures: família de signatures electròniques avançades, basades en formats XML, que permeten l’intercanvi d’informació entre sistemes automatitzats.

Xarxa team

Exercici consistent en la simulació d’un ciberatac dirigit a una organització, dut a terme per un grup intern o extern a aquesta, sense previ avís, en el qual es comprova la possibilitat d’accés als sistemes i com comprometre’ls.

Formació

01

Introducció a la governança de seguretat de la informació

L’alta direcció és responsable d’abordar aquests temes i fer de la seguretat de la informació una matèria alineada amb el govern de les TI i per tant dins del govern corporatiu de l’empresa.

L’objectiu d’aquest curs és donar a conèixer els conceptes fonamentals que els responsables i directius de les organitzacions han de tenir en compte per a dur a terme la implantació d’un pla de governança; així mateix, es presenten els passos a seguir per al desenvolupament d’aquest pla.

Temari

  • L’entorn actual de la seguretat dels sistemes d’informació
  • Conceptes fonamentals sobre la governança de la seguretat de la informació
  • Evolució del govern de la seguretat de la informació
  • Model de maduresa en el govern de la seguretat de la informació
  • Components de l’arquitectura de seguretat dels sistemes d’informació en una organització
  • Necessitat de l’auditoria per al govern de seguretat de la informació

Duració: 2 hores
Formació: in company / presencial

02

Auditoria de sistemes d’informació: SGSI i controls generals

A mesura que les organitzacions privades i públiques van estenent les seves activitats al ciberespai, s’observa un gran creixement dels incidents de seguretat de la informació, molts dels quals tenen greus conseqüències directes i indirectes per a les organitzacions afectades.

En l’actualitat la seguretat de la informació de qualsevol organització s’ha convertit en un objectiu estratègic, més important com més gran sigui el número i criticitat de les activitats que l’organització duu a terme fent ús d’Internet. Per a dotar-se de major seguretat, les organitzacions segueixen diferents estratègies, com implantar un SGSI i millorar permanentment els seus controls interns.

No obstant això, no n’hi ha prou amb aquestes mesures, perquè és necessari verificar periòdicament que tant l’SGSI com els controls utilitzats estan funcionant correctament i compleixen amb les exigències de seguretat previstes. L’eina fonamental disponible per a dur a terme aquesta verificació és l’auditoria.

L’auditoria té com a punt de partida l’anàlisi dels riscos, per la qual cosa és un requisit previ que els assistents a aquest curs tinguin coneixements generals de l’AGR.

Temari

  • La primera sessió té com a objectiu general donar a conèixer el procés general d’auditoria dels sistemes de gestió seguint els estàndards d’ISO i en particular l’auditoria de certificació d’un SGSI segons l’estàndard ISO 27001
  • La segona sessió té com a objectiu mostrar els controls generals de seguretat més utilitzats per les organitzacions que tenen implantat o desitgen millorar l’esquema de control intern.

Duració: 4 hores
Formació: in company / presencial

03

Anàlisi i gestió de riscos de sistemes d’informació

L’anàlisi de riscos no exigeix una formació específica dins de les tecnologies de la informació. No obstant això, per a dur-ho a terme és necessari conèixer amb profunditat la problemàtica dels aspectes o àrees que analitzarem i la qualitat del resultat de l’anàlisi dependrà sobretot de l’experiència, coneixements, tècniques utilitzades i capacitat analítica de les persones que facin el treball.

A més dels aspectes tècnics d’infraestructura, bases de dades, comunicacions i altres, cal no oblidar que és bàsic el coneixement dels aspectes organitzatius o de gestió, ja que moltes vegades és en aquests on es presenten les vulnerabilitats més importants.

Les tècniques o metodologies que s’apliquin per a la gestió de riscos s’han de basar en el coneixement d’aquestes, en fonaments tècnics i la gestió de les tecnologies de la informació. També cal destacar que l’anàlisi de riscos és un treball, que per la seva pròpia naturalesa, és imprescindible desenvolupar en equip.

El curs no està enfocat a ensenyar una metodologia concreta i completa per a l’anàlisi de riscos sinó que el seu principal objectiu és transmetre la necessitat de que és necessari gestionar els riscos i que aquesta gestió s’ha de realitzar d’una manera sistemàtica i contínua, que permeti aconseguir una situació acceptable, quant a risc final, per als objectius de l’empresa.

Temari

  • Definicions i conceptes relacionats amb una visió global de l’AGR i els passos per a l’anàlisi de riscos
  • Necessitat d’implantar una estructura de control en les organitzacions
  • Mesura i avaluació del risc: magnitud i qualitat de la gestió del risc
  • Metodologia de l’AGR i el document d’anàlisi de riscos
  • Els riscos en el comerç electrònic i altres supòsits pràctics
  • Introducció de la metodologia Magerit

Duració: 12 hores
Formació: in company / presencial

04

Blockchain

Tot i que els sistemes d’anotacions en compte inspirats en la comptabilitat de partida doble han donat resposta a la desmaterialització de títols valor des de fa bastants anys, recentment l’ús de tecnologies de tipus blockchain ha suposat un revulsiu per la possibilitat que els mecanismes de preservació de la informació d’endossos es pugui gestionar directament pels usuaris dels sistemes sense requerir un repositori central.

El coneixement de les tècniques utilitzades i el seu possible ús en diferents contextos permetrà explorar noves solucions per a resoldre els reptes de la digitalització de la Internet del valor.

Temari

  • Aspectes tècnics
  • Aspectes socials i econòmics
  • Possibles usos de blockchains

Duració: 3 / 6 hores
Formació: in company / presencial

05

Signatura electrònica

L’autenticitat dels documents electrònics es vincula a dues tècniques: la signatura electrònica i els mecanismes de custòdia. En ambdues compleix un paper rellevant la criptografia, i en particular la criptografia de clau pública. L’ús de la signatura electrònica s’ha generalitzat, principalment pel desenvolupament de la eAdministració i més recentment per la homogeneïtzació reguladora a Europa. Uns certs coneixements dels aspectes tècnics i legals de la signatura electrònica són necessaris perquè es produeixi de forma adequada la prestació del consentiment.

Temari

  • Documents electrònics i la seva autenticitat
  • Codis Segurs de Verificació
  • Autenticació
  • Criptografia de clau pública
  • Conceptes bàsics de Signatura electrònica
  • Tipus de signatures avançades (CAdES, XAdES, PAdES)
  • Expedició de certificats. Prestadors de Serveis Electrònics de Confiança
  • Tipus de certificats. DNI electrònic
  • Normativa europea i espanyola en relació amb els certificats
  • Estàndards relatius a la signatura electrònica i serveis de confiança
  • Resolució de dubtes

Duració: 3 / 5 hores
Formació: in company / presencial / online

06

Factura electrònica

La Factura Electrònica s’ha instaurat com un model de factura eficient i segura que cada vegada té una major acceptació i que és d’ús obligatori des del 15 de gener de 2015 per a les empreses que facturen a les administracions públiques i per a les d’especial rellevància econòmica. La temàtica és d’interès per a ajuntaments, diputacions i altres organismes públics, així com per a les seves empreses proveïdores de productes i serveis.

Temari

  • Aspectes tècnics
  • Aspectes legals i fiscals

Duració: 6 hores
Formació: in company / presencial

07

Mitjans de pagament

Les targetes, els caixers, els terminals punt de venda, els mòbils,… són instruments essencials de la nostra operativa financera que es poden utilitzar millor si s’entén el seu funcionament. Aquest seminari recorre des dels conceptes més bàsics fins als més avançats, fins i tot els que poden ser mitjans de pagament del futur.

Duració: 6 hores
Formació: in company / presencial

08

Novetats en eAdministració des de la Llei 39/2015 i reglament UE 910/204 (EIDAS)

La Llei 11/2007 va suposar un gran impuls al desenvolupament de l’Administració Electrònica a Espanya i va donar lloc a l’Esquema Nacional de Seguretat i al d’Interoperabilitat. Encara que el grau d’adopció dels seus preceptes ha estat irregular, especialment en el context de les administracions locals, en 2015 es va considerar que havia arribat el moment de fusionar-los amb els de la Llei 30/1992 per a donar lloc a una normativa del sector públic unificada en la qual la gestió digital sigui la norma i l’ús del paper l’excepció.

Curiosament, la divisió de la normativa en dues lleis, una per a regular les relacions dels ciutadans amb l’Administració (Llei 39/2015) i una altra per a determinar les regles d’interacció entre les administracions (Llei 40/2015), té paral·lelismes amb la parella formada per la Llei de 20 de juliol de 1957 sobre règim jurídic de l’Administració de l’Estat i la Llei de 17 de juliol de 1958 sobre Procediment Administratiu.

Aquestes lleis, en el marc del reglament UE 910/2014, plantegen nous reptes per a la seva adopció, donada l’especial brevetat dels terminis que determinen i el context de dificultats econòmiques dels últims anys.

Duració: 6 hores
Formació: in company / presencial

09

Nova Llei de contractes del sector públic

L’àmbit de la contractació pública és un sector molt important a Espanya, on representa al voltant del 20% del PIB. L’última modificació normativa es va produir el 9 de novembre de 2017, amb la publicació de la Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, per la qual es transposen a l’ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014. Des de Procesia considerem de gran importància per a qualsevol organització conèixer en profunditat el nou marc normatiu.

Temari

  • Introducció a la contractació pública
  • Òrgans de contractació
  • Tipus d’expedients i documents integrants dels expedients de contractació
  • Procediments d’adjudicació dels contractes (procediment obert, restringit, amb negociació, associació per a la innovació)
  • Racionalització tècnica de la contractació
  • Efectes dels contractes
  • Novetats de la nova Llei

Durada: 6 hores
Formació: in company / presencial

10

Conscienciació i cultura de la privacitat sobre RGPG

El Reglament General de Protecció de Dades (RGPD) reemplaça la Directiva de Protecció de Dades 95/46 /CE i és exigible des del 25 de maig de 2018. L’RGPD és directament aplicable en tots els estats integrats a la UE i ha comportat un major grau d’harmonització de la protecció de dades en totes les nacions europees.

Tot i que moltes empreses ja han adoptat processos i procediments de privacitat coherents amb la Directiva, (o la LOPD i el RDLOD en el cas d’Espanya), l’RGPD conté una sèrie de noves proteccions per als ciutadans de la UE i inclou multes i sancions molt significatives per als responsables i encarregats del tractament que no el compleixin.

Amb noves obligacions en matèria de consentiment, pseudonimització, notificació d’incompliment, transferències de dades a països que no formen part de la UE i nomenament de delegats de protecció de dades, per citar algunes, l’RGPD requereix que les empreses i administracions públiques que gestionen les dades dels ciutadans de la UE realitzin importants actuacions.

Temari

  • Ciberseguretat de les dades i notificació d’incompliment
  • El requisit obligatori de l’oficial de protecció de dades
  • Consentiment
  • Transferències internacionals de dades
  • Perfilat
  • Nous drets d’esborrat i portabilitat de dades
  • Gestió de proveïdors
  • Pseudonimització
  • Codis de conducta i certificacions
  • Conseqüències de les infraccions de l’RGPD

Durada: 6 hores
Formació: in company / presencial