Justicia Digital - Vision 360 - Nov2019

Justicia Digital: la visión
360º de la Seguridad
Ministerio de Justicia
27 de noviembre de 2019
Índice
1 PRESENTACIÓN ............................................................................................................................ 3
2 CONTEXTUALIZACION: ESTRATEGIA DE TRANSFORMACIÓN DIGITAL ................................ 4
3 PROGRAMA JUSTICIA DIGITAL ................................................................................................... 8
3.1 GENERALIZACIÓN DE LAS COMUNICACIONES ELECTRÓNICAS .................................................................... 8
3.2 TRAMITACIÓN ELECTRÓNICA EN ÓRGANOS JUDICIALES Y FISCALÍAS .......................................................... 9
3.3 PROCESOS ORGANIZATIVOS Y PROCESALES ........................................................................................... 10
3.4 PROCESO DE IMPLANTACIÓN.................................................................................................................. 11
3.4.1 Fase I y II (enero a diciembre de 2016) ........................................................................................................... 11
3.4.2 Fase III (2017 y 2018) ...................................................................................................................................... 11
3.5 CAMBIO CULTURAL ................................................................................................................................ 12
3.6 TRANSFORMACIÓN DIGITAL DEL PUESTO DE TRABAJO ............................................................................ 14
3.7 RESULTADOS Y DATOS DE USO .............................................................................................................. 15
4 VISIÓN 360º DE LA SEGURIDAD ................................................................................................ 17
4.1 RETOS .................................................................................................................................................. 17
4.2 MEDIDAS ORGANIZATIVAS ...................................................................................................................... 19
4.2.1 Reestructuración organizativa ......................................................................................................................... 19
4.2.2 Consultoría y asesoramiento especializado .................................................................................................... 21
4.2.3 Creación de la Oficina de Seguridad ............................................................................................................... 22
4.3 MEDIDAS TÉCNICAS. PLAN DIRECTOR DE SEGURIDAD............................................................................. 23
4.3.1 Primera Línea de Defensa. Puesta en servicio del Centro de Operaciones de Ciberseguridad (SOC) .......... 24
4.3.2 Segunda Línea de Defensa. Modelo de prestación de servicios para el cumplimiento normativo de seguridad
28
4.3.3 Tercera Línea de Defensa. Verificación del cumplimiento .............................................................................. 31
5 BUENAS PRÁCTICAS EN EL CUMPLIMIENTO DE LA NORMATIVA. ACTUACIONES

ESPECÍFICAS CUMPLIMIENTO RGPD Y LOPDGDD ......................................................................... 32
5.1 MARCO LEGAL Y DIFERENCIACIÓN DE TRATAMIENTOS ............................................................................. 32
5.2 GOBERNANZA ....................................................................................................................................... 34
5.3 ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS...................................................... 35
5.4 SEGURIDAD Y PROTECCIÓN DE LOS DATOS DESDE EL INICIO Y POR DEFECTO ........................................... 36
5.5 GESTIÓN DE INCIDENTES DE SEGURIDAD Y NOTIFICACIÓN ....................................................................... 37
5.6 FORMACIÓN Y CONCIENCIACIÓN ............................................................................................................. 38
5.6.1 Formación a equipos de desarrollo ................................................................................................................. 38
5.6.2 Plan de Concienciación en Seguridad ............................................................................................................. 39
5.7 CUMPLIMIENTO ENS ............................................................................................................................. 44
5.8 PROYECTOS PARA UNA MEJOR PROTECCIÓN DE DATOS ........................................................................... 44
5.8.1 Estrategia de Identidad Digital ......................................................................................................................... 44
5.8.2 Anonimización de documentos judiciales ........................................................................................................ 45
5.9 CTEAJE: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA ADMINISTRACIÓN JUDICIAL ELECTRÓNICA. 46
5.10 GRADO DE RIESGO Y COMPLEJIDAD DE LOS TRATAMIENTOS .................................................................... 46
5.10.1 Nuevas oportunidades: Tecnologías disruptivas y Explotación de los datos ............................................. 47
5.10.2 Continuidad de los servicios ....................................................................................................................... 49
6 RESULTADOS .............................................................................................................................. 51
7 BENEFICIOS ................................................................................................................................. 52
1 PRESENTACIÓN
El Ministerio de Justicia español es el encargado de preparar y ejecutar la política del gobierno
para el desarrollo del poder judicial, incluyendo la organización y el apoyo a la administración
de justicia. Sobre la base de la Ley 18/2011, el Ministerio de Justicia desarrolla y promueve
la implementación del programa de Justicia Digital.
La Secretaría General de la Administración de Justicia que depende directamente de la

Secretaría de Estado de Justicia, se encarga, entre otras cosas, de la "planificación
estratégica, dirección y ejecución de la modernización tecnológica de los juzgados y
tribunales, de las fiscalías y de los registros administrativos de apoyo a la actividad judicial,
así como de la coordinación de las actuaciones en esta materia con otras administraciones,
órganos del Estado, corporaciones profesionales e instituciones públicas". Estas tareas se
llevan a cabo a través de la Dirección General de Modernización de la Justicia, Desarrollo
y Recuperación Tecnológica y Gestión de Activos. A su vez, la Dirección General está
organizada en diferentes Subdirecciones, entre las que se encuentran la Subdirección
General de Programación de la Modernización y la Subdirección General de Nuevas
Tecnologías para la Justicia.
La Subdirección General de Programación de la Modernización (SGPM): entre sus

funciones se engloban la elaboración de programas, directrices e instrumentos para la
modernización de la justicia y para la implantación de la Oficina Judicial y de las Unidades
Administrativas, así como la evaluación de su proceso de implantación. En Justicia Digital es
responsable de las medidas de carácter organizativo en aras de establecer metodologías de
trabajo y de criterios de gestión homogéneos para facilitar el proceso de adaptación al nuevo
modelo operativo, así como fijar las nuevas pautas de actuación que necesariamente deben
adoptarse tras la implantación.
La Subdirección General de Nuevas Tecnologías de la Justicia (SGNTJ) es el órgano del

Ministerio de Justicia responsable de proporcionar los servicios TIC a la Administración de
Justicia y a los múltiples agentes que se relacionan con ella (Real Decreto 1044/2018, de 24
de agosto). La SGNTJ, dependiente de la Dirección General de Modernización de la Justicia,
Desarrollo Tecnológico y Recuperación y Gestión de Activos, tiene como funciones:
Funciones de la SGNTJ
 La planificación estratégica, la dirección y la ejecución de la modernización
tecnológica de los juzgados y tribunales, del Ministerio Fiscal y de los registros
administrativos de apoyo a la actividad judicial, así como la coordinación de las
actuaciones en esta materia con otras administraciones, órganos del Estado,
corporaciones profesionales e instituciones públicas.
 El impulso y la gestión de los expedientes de contratación de tecnologías de la
información y comunicación del ámbito de competencias de la Secretaría General de
la Administración de Justicia.
A través de la SGNTJ, el Ministerio de Justicia presta servicios tecnológicos a Juzgados y

Tribunales, Ministerio Fiscal, Registros Administrativos de Apoyo a la Actividad Judicial,
órganos especializados como los Institutos de Medicina Legal y Ciencias Forenses (IMLs) e
Instituto Nacional de Toxicología y Ciencias Forenses (INTCF) , Registros Civiles y Gerencias
Territoriales. Además, ejerce la coordinación con las administraciones que tienen
competencias en materia de administración de Justicia: Consejo General del Poder judicial,
Fiscalía General del Estado y Comunidades Autónomas que tienen transferidas las
competencias en materia de Administración de Justicia; así como servicios a otras
Administraciones y organismos públicos, personas jurídicas, profesionales y ciudadanos.
Desde el punto de vista territorial, el ámbito de gestión se extiende a las Comunidades

Autónomas de Castilla y León, Castilla la Mancha, Islas Baleares, Extremadura y Murcia; las
Ciudades Autónomas de Ceuta y Melilla y los órganos centrales (Audiencia Nacional, Tribunal
Supremo y Fiscalía General del Estado). Sin perjuicio de las aplicaciones que prestan servicio
en el ámbito nacional.
En cuanto a las 12 Comunidades Autónomas con competencias transferidas se establecen

mecanismos de cooperación específicos para las aplicaciones cuyo ámbito de actuación se
extiende a todo el territorio nacional (como el sistema de Registros Administrativos de apoyo
a la Administración de Justicia y el sistema informático de apostillado electrónico de
documentos), así como para aquellas aplicaciones desarrolladas por el Ministerio que se han
cedido gratuitamente a las Comunidades Autónomas (Sistema de Gestión Procesal Minerva,
Sistema de Gestión de la fiscalía Fortuny, plataforma de comunicaciones electrónicas
LexNET).
Actualmente, la SGNTJ presta servicio a 20.000 funcionarios (de los cuales 15.000
corresponden a usuarios directos como jueces, fiscales, letrados de la Administración de
Justicia y demás funcionarios, y 5.000 ponderados por el servicio prestado a las comunidades
autónomas transferidas), y a más de 270.000 profesionales de la Justicia (abogados,
procuradores, graduados sociales, fuerzas y cuerpos de seguridad del estado, centros
sanitarios, etc.). Uno de sus objetivos fundamentales es la plena incorporación de las
Tecnologías de la Información y Comunicación, así como los servicios de administración
electrónica que transformen digitalmente la Administración de Justicia en una administración
eficaz, eficiente, innovadora y enfocada a la ciudadanía y los profesionales. La cobertura del
Servicio se extiende a numerosos colectivos e instituciones.
Esquema relación de la SGNTJ con sus principales agentes
27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 2

La estructura organizativa funcional de la SGNTJ ha sido rediseñada para cumplir con la
misión de transformar tecnológicamente la Administración de Justicia y responder a sus
necesidades en esta materia, mejorando su relación con la ciudadanía y con los profesionales
que trabajan con y para la Justicia. El capital humano de la SGNTJ se compone de 882
profesionales, correspondiendo un 9% a personal funcionario de carrera y un 91% de
personal subcontratado a empresas de servicios.
Desde el punto de vista de los servicios de negocio, la SGNTJ da soporte tecnológico directo
a los procesos de negocio en los que están involucrados los usuarios de la Administración de
Justicia mediante 37 servicios en 7 líneas de negocio diferentes. Además, se ofrecen 7
servicios transversales sobre los que se apoyan los servicios de negocio.
Catálogo de Servicios SGNTJ

2 CONTEXTUALIZACION: ESTRATEGIA DE
TRANSFORMACIÓN DIGITAL
En los últimos 5 años, la modernización de la Justicia ha constituido una de las acciones clave
impulsadas por el Ministerio de Justicia con el objetivo de conseguir una transformación
integral y efectiva de la Administración de Justicia utilizando las Tecnologías de la Información
y Comunicación como aliadas y basadas en el conocimiento y la innovación.
El plan estratégico para la aceleración de la transformación digital consolidado procura una

Justicia digital, abierta e innovadora para fortalecer la Justicia como un servicio público de
calidad, ágil y adaptado a la sociedad del siglo XXI. Para la definición de las medidas
estratégicas incluidas en el Plan, se han tomado como referencia distintas iniciativas de la
Comisión Europea (como la Carta de Derechos de los Ciudadanos ante la Justicia de 2002,
Plan de Acción E-Justicia de 2008, Agenda Digital Europea, Plan de Acción Europeo de
Gobierno Electrónico), las tendencias existentes en el mercado, así como el conocimiento y
experiencias a nivel tecnológico intercambiadas en el ámbito de las actuaciones de
cooperación internacional desarrolladas.
El desarrollo y ejecución del Plan estratégico ha requerido la adopción de legislación

específica para fomentar la provisión de servicios públicos digitales y la renovación de la
infraestructura tecnológica para proporcionar servicios en términos de escalabilidad,
prestaciones, fiabilidad y seguridad.
Para hacerlo posible, el compromiso de la SGNTJ, tanto con el proceso de transformación

digital como con la seguridad ha sido total.
En primer lugar ha redefinido su misión “Mejorar la Justicia a través de la tecnología”,

donde la tecnología ya no es un fin en sí mismo, sino un medio para mejorar el funcionamiento
del sistema judicial y conseguir una Justicia abierta, innovadora y eficiente. También ha
contribuido a lo largo de este proceso en las iniciativas adoptadas en el ámbito legal,
organizativo, tecnológico y de seguridad.

En el ámbito legal, la SGNTJ ha participado en los proyectos de ley tanto de modificación,
como de creación de normativa reguladora que han promocionado la voluntad de modernizar
y digitalizar los servicios de la Administración de Justicia. Sin este cambio, la transformación
no hubiera sido posible, ya que el marco legal es la base donde la Transformación Digital
puede afianzarse y continuar avanzando.
Desde un punto de vista organizativo, ha sido necesario el trabajo colaborativo con otras
unidades del Ministerio de Justicia para realizar los cambios necesarios en los procesos de
trabajo del personal al servicio de la Administración de Justicia, así como en su relación con
profesionales y ciudadanos, para adaptarlos al nuevo modelo de trabajo en digital.
Además, el reto más importante en el proceso de transformación digital pasa por la

transformación interna de la propia organización de la SGNTJ. Con la tecnología como
elemento central, sin la cual la Administración de Justicia ya no puede operar, la SGNTJ se
ha reinventado, pasando a ser de una organización subsidiaria de servicios de
microinformática y sistemas de información, a convertirse en un proveedor líder de servicios
de Administración Judicial Electrónica. Esta transformación interna se ha conformado
reestructurando departamentos existentes y creando otros nuevos, como el departamento de
Gestión de la Demanda, Arquitectura Empresarial, Oficina de Gestión del Servicio,
Laboratorio de Innovación, Oficina del CIO, y un largo etcétera. Estos departamentos, que
han contado con la implementación de procesos y metodologías adecuadas (COBIT, ITIL,
TOGAF, PMBOK, LEAN), han convertido a la SGNTJ en una organización de alto rendimiento
proveedora de servicios digitales.
En el plano tecnológico, resulta fundamental contar con un sistema de gestión ágil, capaz
de integrar todos los procesos de actuación, información y de comunicación de todos los
órganos judiciales de la Administración de Justicia, propiciando una Justicia rápida en su
funcionamiento, eficiente y avanzada en sus procedimientos, telemática en sus
comunicaciones y tecnológica y digitalizada, adaptada a la sociedad de la información de
nuestros días. El punto clave de partida ha sido posibilitar el intercambio de información
electrónica con terceros y seguidamente poner en marcha de forma progresiva las soluciones
tecnológicas que proporcionan la tramitación electrónica: Justicia Digital para los órganos
judiciales y Fiscalía Digital para las fiscalías.
Para hacerlo posible, se ha construido una infraestructura digital de primer orden, basada en
el poder del dato y que dota a los CPDs de la capacidad para proporcionar servicios en

términos de escalabilidad, prestaciones y fiabilidad. Además, proporciona los requisitos de
seguridad para cumplir con las obligaciones de cumplimiento legal, protección de documentos
privados, confidenciales, secretos o críticos, incluyendo técnicas avanzadas de cifrado.
El resultado de la digitalización de la Justicia ha supuesto la llegada al siglo XXI de una

Administración de Justicia acostumbrada a trabajar en papel y de forma presencial.
Ecosistema Justicia Digital

Iniciativas Tecnológicas
Dotación de mecanismos tecnológicos para que la Administración de Justicia y los más
de 300.000 usuarios de colectivos profesionales, organismos públicos y administraciones
Comunicaciones
públicas, y ciudadanos puedan comunicarse de forma segura y por medios
Electrónicas
electrónicos. De este modo se reducen los desplazamientos a los órganos judiciales y
se elimina la dependencia de horarios de atención al público.
Puesta en servicio del Expediente Judicial Electrónico que permite la administración de
los procedimientos judiciales por medios digitales. Desde mediados de 2018, el 100% de
Expediente los órganos unipersonales, Audiencias Provinciales, Tribunales Superiores de Justicia y
Judicial Fiscalías del ámbito de gestión del Ministerio de Justicia pueden hacer una tramitación
Electrónico: procesal electrónica durante el ciclo completo de vida del proceso judicial, dando soporte
Justicia Digital y también a todas las necesidades que rodean al procedimiento judicial, como la
Fiscalía Digital participación e intercambio de información electrónica con terceros, la consulta de las
grabaciones de juicios u otras diligencias, y el traslado de procedimientos entre órganos
judiciales y a instancias superiores
Habilitación de nuevos servicios electrónicos para los ciudadanos y profesionales
Justicia más a través de la Sede Judicial Electrónica, que permiten que cualquier ciudadano puede
accesible y iniciar un procedimiento desde su casa a cualquier hora del día. Así como la creación del
cercana Punto General de la Administración de Justicia que proporciona un acceso electrónico
unificado al conjunto de servicios de la Administración de Justicia.
Transformación de 180º del puesto de trabajo, apostando por un entorno de trabajo
digital, siempre conectado, más productivo, sostenible y seguro. Para ello, se han
distribuido dispositivos ultraligeros, se ha dotado de cobertura Wifi a las sedes judiciales,
se han renovado las salas de vista con nuevos sistemas de grabación digitales, y se ha
Puesto de mejorado el servicio de acceso remoto seguro a los recursos del puesto de trabajo,
trabajo digital disponible tanto para los usuarios de la Administración de Justicia (jueces, fiscales,
letrados de la Administración de Justicia y demás funcionarios) como para los técnicos y
administradores. Así pues, se proporciona movilidad y acceso a los sistemas de
información y servicios con todas sus funcionalidades sin restricciones de tiempo y lugar
con todas las garantías de seguridad de su puesto de trabajo.
Servicio para la gestión de expedientes electrónicos para los Institutos de Medicina
Legal. Permite definir flujos de tramitación, ofrece plantillas documentales y hace uso del
Medicina Portafirmas electrónico para permitir la firma de los informes. Como parte de la tramitación
Forense electrónica el usuario de los IMLs tiene acceso al Visor de documentos electrónicos que
ofrece a los usuarios la posibilidad de consultar los documentos electrónicos de un
expediente judicial electrónico
Mejoras en el Sistema integrado de Registros de Apoyo a la Administración Judicial
(SIRAJ) orientadas a la integración de los distintos Sistemas como el acceso integrado,
la consulta integrada, el registro único y la gestión integrada de usuarios y de órganos.
SIRAJ permite realizar la trasmisión y el acceso a la información contenida en los
SIRAJ
Registros a través de procedimientos electrónicos, la emisión de certificaciones de los
datos inscritos, cancelación de inscripciones, así como la elaboración y transmisión de
información estadística.Actualmente se está finalizando la evolución del sistema para
integrar todos los registros en un único sistema y en un modelo de datos único.
En materia de cooperación con las Comunidades Autónomas con competencias
transferidas en materia de justicia se han suscrito convenios de colaboración tecnológica
Transferibilidad
con la Xunta de Galicia, La Rioja y Asturias para la evolución de la solución de grabación
y difusión
de vistas judiciales y la transferencia tecnológica de Justicia Digital, Fiscalía Digital, Sede
Judicial Electrónica y Orfila

3 PROGRAMA JUSTICIA DIGITAL
Justicia Digital consiste en la dotación a los órganos judiciales y fiscalías de un sistema de

gestión procesal que permite realizar la tramitación electrónica de los procedimientos
judiciales y garantizar la comunicación con los diferentes operadores implicados durante todo
el proceso. Para ello se han adaptado e integrado a través de un módulo de interoperabilidad
distintos sistemas de información para que las comunicaciones (demandas, escritos,
notificaciones y expedientes administrativos), operaciones de firma, visionado y consulta de
documentos sea íntegramente digital, de manera que se elimina el papel del proceso y se
otorgan mayores garantías a todos los actos jurídicos.
El alcance del programa es proporcionar la gestión procesal electrónica en todos los órdenes
jurisdiccionales (civil, penal, social, y contencioso-administrativo) y todas las instancias
(etapas jurisdiccionales en los que se divide la presentación, estudio y resolución de todos
los asuntos que se presentan ante un tribunal de justicia) del ámbito territorial del Ministerio
de Justicia, incluyendo las Fiscalías.
Los elementos claves de la innovación se detallan en los siguientes apartados.
3.1 Generalización de las Comunicaciones Electrónicas
Se establece un modelo de presentación de demandas y escritos por vía telemática, así como
el traslado de escritos y de notificaciones por la misma vía. El intercambio de información
procesal de forma electrónica reduce significativamente la entrada y salida de documentación
en papel en las oficinas judiciales y posibilita la integración con el Sistema de Gestión
Procesal constituyendo un elemento clave en la implantación del Expediente Judicial
Electrónico. Principales sistemas implicados:
 Plataforma de comunicaciones electrónicas LexNET: actúa como enlace clave entre
los profesionales y organismos que se relacionan con la Administración de Justicia y los
Órganos Judiciales permitiendo el intercambio electrónico de información entre los
diferentes actores implicados. LexNET es un medio de transmisión seguro de información
que mediante el uso de técnicas criptográficas garantiza la presentación de escritos y
documentos y la recepción de actos de comunicación, sus fechas de emisión, puesta a
disposición y recepción o acceso al contenido de los mismos. Su capacidad para enviar y
recibir comunicaciones de forma bidireccional y su integración con el Sistema de Gestión
Procesal ha conseguido agilizar los tiempos de gestión de las comunicaciones y optimizar
los recursos utilizados.
 Acceso interfaz Web (https://lexnet.justicia.es). Los colectivos de usuarios que
utilizan esta forma de conexión son los profesionales que actúan en el ámbito de la
Administración de Justicia. En concreto, Abogados, Procuradores, Graduados
Sociales, Cuerpo de Abogados del Estado, Letrados del Servicio Jurídico de la
Administración de la Seguridad Social, de las demás Administraciones públicas, de
las Comunidades Autónomas o de los Entes Locales, así como Sanidad Privada y
Administradores Concursales.
 Acceso Servicios Web. Los colectivos de usuarios que utilizan esta forma de
conexión son: Policía Nacional, Guardia Civil, Consejo General de la Abogacía de
España, Consejo General de Procuradores de España, Hospitales Públicos, etc. Las
aplicaciones desarrolladas han de superar un proceso de homologación en el que se
verifica el cumplimiento del Real Decreto regulador de LexNet y la integración técnica
realizada.

 Sistema HERMES (red SARA): posibilita las comunicaciones electrónicas con la sanidad
pública y los Cuerpos de Policía dependientes de las corporaciones locales.
 Sede Judicial Electrónica: A través de este canal, se presta el servicio de comunicación
y notificación por comparecencia electrónica a ciudadanos, personas jurídicas y peritos.
El acceso se habilita a través de Internet, mediante certificado electrónico o a través de la
plataforma Cl@ve.
 Sistema Cargador de Expedientes Administrativos Electrónicos: Aplicación Web que
permite el intercambio electrónico de los expedientes administrativos entre las
Administraciones Públicas y la Administración de Justicia. Para favorecer la incorporación
de las distintas Administraciones Públicas se ha desarrollado la interconexión con el
sistema INSIDE del Ministerio de Política Territorial y Función Pública. La Administración
Pública realiza la carga del expediente administrativo en la herramienta INSIDE y después
se realiza el envío efectivo al Órgano Judicial destinatario a través de Cargador de
Expedientes Administrativos. Este es el sistema a través del cual se recibirán la mayoría
de los expedientes administrativos.
Mapa Comunicaciones Electrónicas
3.2 Tramitación electrónica en Órganos Judiciales y Fiscalías
Para hacer realidad la tramitación electrónica y llevar a cabo la tramitación y seguimiento de

los procedimientos judiciales, se desarrolla la solución tecnológica Justicia Digital para los
Órganos Judiciales y la solución tecnológica Fiscalía Digital para las Fiscalías. La solución
tecnológica del Expediente Judicial Electrónico está compuesta por un conjunto de módulos
que, gracias a la interoperabilidad con el Sistema de Gestión Procesal (Minerva en los
órganos judiciales y Fortuny en la Fiscalía), actúa como elemento vertebrador del
procedimiento judicial permitiendo el tratamiento electrónico de datos y documentos judiciales
electrónicos. Para ello se desarrollan nuevas funcionalidades y se adaptan determinados
aplicativos ya existentes encauzando la constitución de un legajo judicial electrónico. Además
de los sistemas explicados en el apartado anterior para realizar las comunicaciones
electrónicas, estos módulos son:

 El Visor de Expedientes Judiciales Electrónicos Horus: permite localizar y consultar
de forma rápida la información de los Expedientes Electrónicos Judiciales y
administrativos.
 Portafirmas electrónico: permite a los usuarios con perfil “firmante” visualizar todo lo
que tienen pendiente de firma, así como todo lo que han firmado y/o rechazado. Por su
parte el usuario tramitador/gestor puede controlar desde esta aplicación todo lo que ha
enviado a firma, así como todo lo que han firmado/rechazado los usuarios firmantes de
su órgano a través de los distintos filtros de estado (pendiente de firma, finalizado,…) y
fechas (de envío a firma, de firma,…). Además, centraliza los documentos en un único
buzón para su localización y acceso de forma rápida.
 Otros sistemas: se proporciona soporte a todas las necesidades adicionales que rodean
al procedimiento judicial, como: elevación de un recurso a otros órganos judiciales,
consulta y volcado de las resoluciones publicadas al Centro de Documentación Judicial,
Agenda Web de señalamientos. La grabación de juicios u otras diligencias también se
incorporan al expediente judicial electrónico como objeto asociado al procedimiento. La
Agenda de Señalamientos es una aplicación que permite la planificación de las vistas,
comparecencias, etc. de forma más ágil e integrada con el sistema de grabación de vistas.
Solución tecnológica y operativa Justicia Digital
3.3 Procesos organizativos y procesales

Como medidas de mejora y adecuación de los procesos organizativos y procesales se han
realizado las siguientes actuaciones:
 Configuración de una unidad receptora de documentación (Servicio Común General
o Decanato) que garantiza la adecuada incorporación de la documentación al expediente.
Se encarga de la recepción y catalogación de documentos proporcionando cobertura a la
presentación y envío de diferentes tipos de documentación. Por un lado integra la
incorporación de documentación remitida de forma electrónica a través del sistema
LexNET, Hermes, Sede Judicial Electrónica y Cargador, reduciendo al mínimo la entrada
de documentación en papel. En el supuesto de entrada de documentación en papel o
soporte electrónico se gestiona la digitalización e integración en el Sistema de Gestión
Procesal para su incorporación al procedimiento judicial correspondiente mediante un
proceso de escaneado y catalogación.

Se normaliza así la presentación de documentación independientemente de la vía de
entrada de ésta. Además se asegura que la documentación se gestiona con la necesaria
garantía de seguridad y confidencialidad, y que, la documentación está completa, que es
correcta e íntegra, que está adecuadamente ubicada y ordenada, y que está disponible y
accesible en el momento necesario y únicamente a quien corresponde.
 Para facilitar el proceso de adaptación a las nuevas funciones del personal se establecen
metodologías de trabajo y de criterios de gestión homogéneos. Los Manuales de
Operativas adecúan los procesos de trabajo del Órgano Judicial y Fiscalías con las
herramientas tecnológicas necesarias que dan soporte al Expediente Judicial Electrónico.
Partiendo de la operativa de trabajo habitual se establecen los procedimientos que cubren
las diferentes casuísticas de la operativa diaria en una sede judicial, tales como, la petición
de documentación original, consulta de la documentación original, en el caso de que la
parte solicite un desglose o se necesite la documentación original para su consulta en
Sala.
3.4 Proceso de Implantación
La puesta en funcionamiento de Justicia Digital se realizó de forma progresiva en las
siguientes fases:
3.4.1 Fase I y II (enero a diciembre de 2016)

Arranca el 1 de enero de 2016 con la activación de las comunicaciones electrónicas por
parte de órganos y oficinas judiciales y fiscales del ámbito territorial del Ministerio de Justicia
y los siguientes colectivos: Servicios Jurídicos, Abogados, Abogacía del Estado, Servicios
Jurídicos de la Seguridad Social, Procuradores y Graduados Sociales.
En cuanto al despliegue de la tramitación electrónica, con el objetivo de cubrir el mayor
porcentaje de población en el menor número de sedes judiciales se arrancó en las capitales
de provincia y grandes sedes. Se inició con una experiencia piloto en Cáceres el 22 de febrero
de 2016 donde se verificó el correcto funcionamiento de los sistemas y su ajuste a las
necesidades de los usuarios. Hasta el mes de diciembre de 2016 se extendió a 26 partidos
judiciales integrados por 470 órganos judiciales unipersonales y al 100% de las Audiencias
Provinciales y Tribunales Superiores de Justicia (153 salas de audiencias provinciales de los
órdenes civil y penal y 89 salas y secciones de tribunales superiores de Justicia de los órdenes
civil, penal, contencioso y social) del territorio gestionado por el Ministerio de Justicia.
3.4.2 Fase III (2017 y 2018)

La fase III comenzó el 1 de enero de 2017 con la generalización de las Comunicaciones
Electrónicas para el resto de administraciones y organismos públicos que se comunican
con la Justicia, obligados a partir del 1 de enero de 2017, tales como, Fuerzas y Cuerpos de
Seguridad del Estado, centros sanitarios, Cuerpos de Policía dependientes de las
Corporaciones Locales, instituciones penitenciarias, ciudadanía, personas jurídicas etc.
Respecto a la tramitación electrónica, esta fase integra 86 partidos judiciales (189
órganos judiciales), los órganos centrales (Tribunal Supremo y Audiencia Nacional) y las 39
Fiscalías del ámbito territorial del Ministerio de Justicia.
La complejidad de la implantación se incrementa durante esta fase debido a la dispersión
geográfica y el elevado número de sedes, aunque el volumen de tramitación es menor al ya
realizado en las Fases I y II. El proceso de despliegue en los órganos judiciales se completó
en marzo de 2018 y en las Fiscalías en junio de 2018. Respecto a los Órganos Centrales
trabajan en digital el orden Social y Contencioso Administrativo de la Audiencia Nacional y el
orden Social, Penal y Civil del Tribunal Supremo. Para culminar el proceso falta el orden
contencioso-administrativo del Tribunal Supremo y el orden penal de la Audiencia Penal.

3.5 Cambio Cultural
Es uno de los aspectos esenciales para el éxito del proceso. La implantación de la tramitación
electrónica supone un cambio cultural, un cambio de mentalidad que debe llegar a las
personas y adaptar los comportamientos a las nuevas realidades y exigencias. Para fomentar
este cambio cultural resulta indispensable su participación y sus propuestas se tienen en
cuenta en la definición del nuevo sistema favoreciendo su formación y conocimiento del
proyecto y promoviendo su complicidad en la gestión del cambio.
3.5.1.1 Plan de Comunicación
Se ha prestado una especial atención a las acciones de comunicación, tanto a nivel
institucional como a nivel de gestión del programa para presentar las actuaciones que se
están realizando dirigidas tanto a los usuarios de los Órganos Judiciales y fiscales, como a
los profesionales de la Justicia. En el marco del proceso de implantación, las acciones de
comunicación se realizan a través del Grupo Técnico de Implantación (GTI) y durante las
visitas para la toma de requisitos del Manual de Operativas. Asimismo se establecen
comunicados de recomendaciones previas y avisos de parada y arranque del nuevo sistema.
3.5.1.2 Formación
Se ha elaborado un Plan de Formación para la implantación de las Comunicaciones
Electrónicas, Justicia Digital y Fiscalía Digital en el que se han definido diferentes itinerarios
formativos teniendo en cuenta las necesidades de cada perfil. Se trata, por tanto, de una
formación adaptada al puesto y no generalista, haciendo especial hincapié en aquellos
procedimientos que son más importantes según el perfil objeto de la formación.
La impartición de la formación es eminentemente práctica y se imparte en modalidad
presencial por la red de formadores del Ministerio de Justicia especialistas en las aplicaciones
judiciales. Se realiza en un aula de formación dotada de los medios tecnológicos necesarios
para realizar simulaciones de casos prácticos.
La formación se complementa en modalidad online, a través del espacio virtual
http://aulaenlinea.justicia.es, donde se han creado píldoras formativas interactivas basadas
en casos prácticos, que permiten a los alumnos experimentar sobre una simulación de la
aplicación real. Asimismo, se ha reforzado la capacitación y el soporte prestado a los usuarios
a lo largo del proceso, incorporado canales digitales e impulsado el uso de redes sociales
como instrumento de relación con la ciudadanía y profesionales.
En 2017, se realizó un plan de refuerzo formativo a todos los usuarios en dos modalidades
presencial y online. Además se creó un nuevo servicio de Formación Exprés para dar
respuesta a las necesidades de formación de los usuarios en las aplicaciones del Ministerio
de Justicia de forma rápida y altamente eficiente. Este Servicio ofrece dos tipos de atención
de consultas funcionales:
 Resolución de consultas de forma inmediata a través de las llamadas recibidas en el
número de atención del CAU 902 999 724, con un horario de 08 a 18 horas de lunes a
viernes, atendido por especialistas en el manejo de las aplicaciones del Ministerio de
Justicia.
 Cursos Exprés de formación en modalidad online síncrona, es decir, facilita la
comunicación en directo con el tutor para la resolución de dudas a través de
videoconferencia.
Los datos globales de las acciones de formación realizadas a fecha 31 de julio de 2018 son
los siguientes:

Nº Alumnos
Alumnos % Horas Nº Encuestas Índice de
Aplicativos Acciones Convocados/
Finalizados Participación Formativas realizadas satisfacción
Formativas Inscritos
Comunicaciones
1.798 21.719 13.380 62% 49.121 11.330 Alto - 3,97
Electrónicas
Fase I : presencial 808 5.232 4.928 94% 21.315 3.063 Alto - 3,91
Fase II: presencial 230 1.854 1.700 92% 7.148 743 Alto - 3,87
Justicia Fase III:
344 2.067 1.944 94% 13.308 1.291 Alto - 3,82
Digital presencial+online
Cursos Exprés 72 69 46 67% 46 39 Alto - 4,41
TOTAL 1.454 9.222 8.618 93% 41.816 5.136 Alto - 4,08
Presencial 232 848 805 95% 3.979 284 Alto - 4,21

Fiscalía
Cursos Exprés 22 11 8 73% 8 4 Alto - 4,21
Digital
TOTAL 254 859 813 95% 3.987 288 Alto - 4,21
Cargador de Expedientes 6 130 116 89% 348 103 Alto - 4,01
Visor de Expedientes 155 260 224 86% 474 95 Alto - 4,54

Ofimática:
24 81 77 95% 452 43 Alto - 4,64
Office2016/365/MS
Suma total 3.691 32.271 23.228 72% 96.198 16.995 Alto - 4,24
 En octubre de 2018 se puso en marcha el Plan de Mejora de la Calidad de los Servicios

TIC en las Sedes Judiciales y Fiscales, con el fin de mejorar los resultados en la
operativa interna y el servicio prestado a los usuarios, así como proporcionar una
adecuada respuesta y seguimiento a las cuestiones planteadas por los usuarios. Por lo
que se refiere al ámbito de formación, cabe destacar:
 En curso la ejecución de un Plan de Refuerzo Formativo Provincial.
 Ampliación de la Red de Formadores con 10 nuevas incorporaciones para mejorar el
servicio y ofrecer una respuesta ágil a las necesidades formativas detectadas.
 Mejoras en el servicio de Formación Exprés; ampliación del 40% de los horarios
disponibles y oferta formativa de Cursos Exprés, con el objetivo de adaptar la
formación a las necesidades reales de los profesionales y ajustarlas a su día a día.
 Actualización tecnológica de la plataforma de formación Aula en Línea e incorporación
de nuevas funcionalidades que ofrecerán una mayor agilidad, accesibilidad y
seguimiento tanto de la formación en modalidad online como presencial.
 Las actuaciones de refuerzo formativo han finalizado en las 22 provincias previstas.
Se han beneficiado de este Plan de Refuerzo Formativo 5.329 usuarios destinando un
total de 7.836 horas formativas. Se han cumplimentado 783 encuestas con una media
de satisfacción de 4,42 sobre 5.
3.5.1.3 Soporte a Profesionales y operadores jurídicos
 En enero de 2016 se creó el portal Web http://lexnetjusticia.gob.es como herramienta

de formación y soporte dirigida a los profesionales y operadores jurídicos que actúan en
el ámbito de la Administración de Justicia. El portal reúne información sobre el uso de
LexNET y también es una herramienta para la gestión del cambio que ha obtenido el

reconocimiento y aceptación de estos profesionales. El espacio está adaptado a las
necesidades de los colectivos y cuenta con un diseño muy visual e intuitivo. Reúne
diferentes tipos de materiales actualizados (guías de uso, vídeos tutoriales, infografías…)
creados para los múltiples roles profesionales que son fácilmente localizables a partir de
un formulario con diferentes criterios de búsqueda. Además, es una vía de comunicación
bidireccional a través del cual los usuarios pueden enviar sus dudas, sugerencias o
incidencias a través de un formulario, las cuales son atendidas por expertos en el sistema
encargados de ofrecer soporte especializado. LexNET Justicia ya cuenta con más de
2.731.753 visitas y proporciona acceso a @lexnetjusticia, la cuenta de Twitter creada
como herramienta de formación y soporte a la que actualmente siguen 12.000
usuarios.
 En julio de 2016 se puso en funcionamiento un nuevo canal de atención preferente a
determinados usuarios. Entre dichos usuarios se encuentran los administradores de los
colegios profesionales, facilitando así el acceso de los mismos a la atención del CAU.
Este servicio está integrado por perfiles técnicos y jurídicos para lograr una mayor
especialización en la resolución de incidencias y consultas.
 Creación de la primera aplicación móvil de Justicia, LexNETAPP, cuyas funcionalidades
sirven de soporte a los profesionales que utilizan el Sistema de comunicaciones
electrónicas LexNET para recibir, de forma ágil y en tiempo real, la información acerca de
las notificaciones recibidas, estado de los escritos presentados y consulta de avisos en
sus dispositivos móviles (smartphones y tablets).
3.5.1.4 Soporte Post-implantación
Durante el periodo de estabilización del sistema se presta soporte presencial por formadores
y Operadores In Situ (personal cualificado y especialistas en las aplicaciones judiciales) que
se encargan de la asistencia y resolución de dudas en el puesto de trabajo. Se atienden todas
las incidencias de carácter tecnológico con el objetivo de asegurar el funcionamiento estable
del nuevo sistema de gestión y que funciona de acuerdo con las especificaciones establecidas
en el Manual de Operativas. Asimismo se realizan sesiones presenciales monográficas para
abordar dudas frecuentes que surgen tras la implantación del sistema.
3.6 Transformación Digital del Puesto de Trabajo

El puesto de trabajo digital es una prioridad con impacto real en la productividad y mejora de
la satisfacción de los usuarios que demandan conectividad y acceso a sus recursos desde
cualquier lugar, en cualquier momento y desde dispositivos móviles de forma ininterrumpida
y segura de extremo a extremo. Cabe destacar las siguientes actuaciones:
 Durante 2015, 2016 y 2017, coincidiendo con la puesta en marcha del proceso de
transformación digital, se llevó a cabo la dotación de equipamiento como doble pantalla
en los puestos de trabajo (13.297 pantallas), 1.160 escáneres, 3.985 ordenadores, y
equipamiento audiovisual para 600 Salas de Vistas y 50 Salas de Deliberaciones.
 Adicionalmente, en 2017 se inicia un plan Renovación y modernización de los dispositivos
de acceso en todos los puestos de trabajo acorde a las nuevas necesidades y evolución
de los sistemas: 10.000 PCs, 4.771 pantallas de visualización, 4.236 equipos multifunción
y 66 equipos de videoconferencia.
 Evolución del software ofimático en todos los puestos de trabajo que proporciona servicios
basados en la nube e incluyen características avanzadas de seguridad y fiabilidad.

 Movilidad para proporcionar acceso total a los servicios y herramientas del puesto de
trabajo en cualquier lugar y momento y a través de múltiples dispositivos. 2.550 puestos
de trabajo móvil para Jueces, Magistrados, Fiscales y Letrados de la Administración de
Justicia.
 Transformación Digital de las Salas de Vistas (635) mediante la renovación integral del
hardware y software del sistema de grabación de vistas judiciales (actuación en curso) y
conectividad Wifi para el acceso al Expediente Judicial Electrónico en las Salas de Vistas
y Salas de Declaraciones. También permitirá incorporar nuevas prestaciones y
tecnologías más innovadoras como la solución de transcripción automática de los videos
de las vistas, permitiendo el subtitulado de las grabaciones y la localización de los puntos
de grabación donde se dijo una determinada palabra, y posibilitar la emisión en directo de
determinadas vistas judiciales que sean de interés público.
 Definición y despliegue de diferentes escenarios de productividad que promueven el
trabajo en grupo, la compartición de documentos y el uso de la nube como recurso.
3.7 Resultados y datos de uso
Mejoras para los profesionales y ciudadanos
 Justicia más accesible, disponible a cualquier hora del día durante todos los días del año.
El operador jurídico puede iniciar los procedimientos y presentar los escritos al Órgano
Judicial con independencia del lugar en el que se encuentre. Para la confirmación de la
presentación telemática de los escritos el sistema devuelve un acuse de recibo firmado
electrónicamente acreditativo de la correcta transmisión y, en todo caso, de la fecha y de
la hora de la efectiva realización de la presentación en la oficina judicial.
 Seguimiento informatizado en tiempo real de la tramitación y consulta de los
procedimientos en los que son interesados a través de la Sede Judicial Electrónica.
 Reducción del tiempo de recepción y gestión de las notificaciones.
 La presentación telemática de escritos evita considerablemente los desplazamientos de
los operadores jurídicos y mejora la capacidad de respuesta judicial al reducir el tiempo
de envío de autos, sentencias o copias de escritos a las partes.
Mejoras para la Administración de Justicia
 La implementación electrónica de los flujos de trabajo facilita la tramitación de los
procedimientos y permite reducir la carga de trabajo al personal de la Administración de
Justicia. Permite la gestión electrónica de los equipos a través del reparto de cargas de
trabajo.
 El acceso al Expediente Judicial Electrónico permite su visualización, descarga y el
trabajo colaborativo con el resto del personal de la Sede.
 Digitalización de documentos que se presenten en papel. Se produce una reducción del
uso y tránsito del papel y por tanto de las necesidades de espacio de almacenamiento.
 Optimización del proceso de registro. Con la presentación electrónica no hay que
introducir de nuevo los datos de los intervinientes y profesionales lo que proporciona
mayor fiabilidad y evita errores.
 Gestión de tareas pendientes, avisos y control del expediente.
 Posibilidad de itineración y elevaciones de actuaciones entre órganos judiciales de forma
electrónica: inhibiciones, elevaciones de asuntos, recursos, acumulaciones de
procedimientos, etc.
 Recepción electrónica de expedientes administrativos accesibles desde todas las
consultas asociadas al procedimiento junto con el mapa del asunto.

 Acceso y disponibilidad del Expediente Judicial Electrónico en cualquier lugar y momento.
 Acceso a las vistas judiciales como un elemento más del Expediente Judicial Electrónico.
 El sistema proporciona mayor seguridad, ya que en todo momento garantiza la
confidencialidad, la integridad y la autenticidad de la información, gracias al empleo de la
firma electrónica.
Datos de uso
Los datos de uso desde 2016 a noviembre de 2019, teniendo en cuenta el carácter progresivo
de la implantación y por tanto, la entrada de datos a partir de la puesta en producción en cada
sede:

4 VISIÓN 360º DE LA SEGURIDAD
A fin de garantizar la máxima eficiencia y madurez de este proceso de transformación digital,

es esencial ofrecer una visión 360º que integre la tecnología, la seguridad, el
cumplimiento normativo, la prevención y la vigilancia. Es decir, además de contar con la
tecnología adecuada, cumplir con todos los requisitos legales en temas de protección de
datos y seguridad, así como actividades de formación de los empleados, concienciación, y
permitir la detección y respuesta ante incidentes. En este sentido, se ha afrontado un proceso
de transformación en materia de seguridad que nos permite disponer de una visión integral a
nivel estratégico, de gestión y operativo y los proyectos derivados de esto, sustentado en dos
pilares:
 Creación de la Oficina de Seguridad.
 Consultoría y asesoramiento del primer referente de ciberseguridad en España
especializado mediante la firma del Convenio de colaboración con el CNI-CCN que
apuesta por la colaboración en el desarrollo conjunto de proyectos y la creación de
sinergias, así como el intercambio de información técnica en materia de seguridad y de
procedimientos de resolución de incidentes.
A día de hoy, la SGNTJ cuenta con un Director de Seguridad de la Información, CISO, y un

Centro de Operaciones de Ciberseguridad, SOC, plenamente operativos que lideran los
procesos de seguridad de la información de todos los servicios digitales que la SGNTJ ofrece
en su catálogo de servicios a la Administración de Justicia. Además de hacer posible el
cumplimiento de la legalidad vigente, también se proporciona un servicio acorde a las
exigencias de los profesionales y ciudadanos que se relacionan con la Justicia y facilita un
funcionamiento eficiente y seguro de los sistemas de información con capacidad de asumir
nuevos desafíos.
4.1 Retos
Los proyectos de transformación digital desarrollados por el Ministerio de Justicia han

producido un incremento exponencial del tráfico, volumen de información y conectividad en
red. También es preciso tener en cuenta la investigación que se está realizando para la
incorporación de nuevas tecnologías como Big Data, Internet de las cosas, inteligencia
artificial, robótica, drones, etc. que determinarán la forma de prestar los servicios.
Ello implica importantes retos para mejorar la seguridad y preservar los derechos que implica
la protección de la información. Una institución tan importante y esencial para la sociedad en
su conjunto, como es la Administración de Justicia, es diana habitual de ciberamenazas y
ciberdelincuencia en general. Cada vez son más numerosos y sofisticados los ataques que
se producen, y a menudo se aprovecha la falta de concienciación y formación en aspectos
básicos de seguridad, de manera que la ciberseguridad adquiere una gran relevancia para la
continuidad de negocio y garantizar un entorno digital seguro y confiable.

Los principales retos a los que se enfrenta el Ministerio de Justicia son:
 Necesidad de aumentar de forma objetiva y medible, la disponibilidad, integridad,
autenticidad, trazabilidad, conservación y confidencialidad de los servicios e
información judicial. Dar soporte a la transformación digital a través de la mejora y
renovación de la infraestructura tecnológica, de comunicaciones y equipamiento en
las Sedes judiciales.
 Mejorar el nivel de seguridad de la información y reducir el nivel de riesgo frente
a incidentes de seguridad. Favorecer el uso seguro de los sistemas de información
y las comunicaciones fortaleciendo la capacidad de prevención, detección y respuesta
a incidentes.
 La preservación del expediente judicial electrónico y el documento judicial
electrónico. Garantizar su autenticidad legal, perduración y fiabilidad asegurando que
en el futuro los contenidos sean accesibles, representables y legibles.
 Generar conocimiento y cultura de protección de datos en la organización.
Actuaciones de concienciación a los usuarios para que conozcan y apliquen buenas
prácticas en el uso de dispositivos y soluciones tecnológicas.
 Asegurar el conocimiento y cumplimiento de la legislación relativa a la seguridad
de la información.
Para afrontar los retos anteriores, según se establece en la norma transversal que regula el
uso de las tecnologías de la información y la comunicación en la Administración de Justicia
(Ley 18/2011), la seguridad debe estar presente de forma integral desde la concepción de los
servicios, sistemas y aplicaciones a lo largo del ciclo de vida. Asimismo, la gestión de la
seguridad judicial se configura como un proceso integral que incluye los elementos técnicos,
humanos, materiales y organizativos relacionados con cada sistema y servicio, atendiendo
en todo momento a la especial sensibilidad de la información que contienen los
procedimientos judiciales electrónicos.
En este sentido, cumplir con las previsiones del Reglamento General de Protección de
Datos (RGPD) y Ley Orgánica de Protección de Datos y garantía de los derechos
digitales (LOPDGDD), y avanzar en la consecución de sus objetivos cobra una relevancia
especial para la SGNTJ. La adecuada protección de la información y datos personales
requiere realizar adaptaciones a la nueva normativa para disponer de los modelos de
funcionamiento y mecanismos que garanticen esa efectiva protección de datos personales y
solucionar los problemas ante los riesgos que surjan.
Adicionalmente se establece que las medidas necesarias para garantizar la seguridad de los
sistemas, los datos, las comunicaciones y los servicios electrónicos, que permitan a los
ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través del uso de medios electrónicos son las definidas en el Real Decreto 3/2010,
de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica (ENS). Y en el caso de la Administración de Justicia se aplicarán
también las medidas establecidas en las Bases del Esquema Judicial de Interoperabilidad
y Seguridad (EJIS), desarrolladas por el Comité técnico estatal de la Administración judicial
electrónica (CTEAJE).
Consecuentemente, el Ministerio de Justicia, con el objeto de gestionar adecuadamente la

seguridad y riesgos a los que se expone la información y servicios, ha diseñado una
estrategia global e integral para dotarse de más y mejores medios para la protección y
control del acceso a la información que procesan, almacenan o transmiten sus sistemas,

servicios y redes TIC, garantizando de manera óptima su seguridad, con especial atención a
las ciberamenazas.
Esta estrategia sostenida por un conjunto de medidas de orden organizativo y tecnológico,

integra cumplimiento legislativo, tecnología, seguridad concienciación, prevención y
vigilancia.
En el ámbito organizativo se lleva a cabo la transformación organizativa de la SGNTJ para

implantar un modelo unificado de gestión de la seguridad en lugar del anterior modelo basado
en la delegación por áreas, en donde cada departamento gestionaba la parte de seguridad
que consideraba su cometido. De este modo se crea la Oficina de Seguridad y se nombra un
CISO estableciendo la posición formal en la SGNTJ y poniendo a su alcance los medios y
capacidades necesarias para la realización de sus funciones. La cooperación en materia de
ciberseguridad ejercida a través de la firma del Convenio de Colaboración con el Centro
Nacional de Inteligencia es fundamental en el desarrollo conjunto de proyectos y la creación
de sinergias para determinar los objetivos a alcanzar, líneas de acción a seguir y seguimiento
del sistema global de gestión de la seguridad.
En el ámbito tecnológico, se define el Plan Director de Seguridad estructurado en 3 líneas

de defensa y se pone en servicio el Centro de Operaciones de Ciberseguridad, donde la
seguridad constituye una cualidad integral en la concepción de servicios, sistemas y
aplicaciones atendiendo en todo momento a la especial sensibilidad de la información
contenida en los procedimientos judiciales electrónicos y un proceso de mejora continua.
4.2 Medidas organizativas

4.2.1 Reestructuración organizativa
La SGNTJ, consciente de las demandas tecnológicas que iba a requerir la Justicia Española
como consecuencia del proceso de transformación digital impulsado, identifica la necesidad
de dotarse de una organización tecnológica robusta con los medios necesarios que permita
hacer más eficaces y eficientes los procesos que soportan todos los medios técnicos y
tecnológicos que dan sustento a toda la operativa de la Administración de Justicia, así como
la definición de un modelo de gobierno que acompañe los retos que supone la transformación
y mejora continua de una Justicia Digital.
Para ello, se implementa una nueva estructura organizativa alrededor de los servicios de
negocio y basada en los procesos que definen todas las funciones propias de la SGNTJ,
con el fin de crear las estructuras necesarias y justificar adecuadamente el dimensionamiento
de los centros TI. Entre los hitos conseguidos que mejoran la organización interna y los
servicios prestados se encuentran:
 Reestructuración organizativa enfocada hacia una capacidad de desarrollo software
factorizada, centros de soluciones especializados en líneas de negocio y centros
de gobierno.
 Creación de una Oficina de Gestión del Servicio, entidad garante de una correcta
prestación de servicios orientada totalmente al ciudadano, los profesionales y las
instituciones.
 Formalización de un departamento de Gestión de la Demanda, las necesidades son
tratadas, analizadas y aprobadas con la visión global de los requerimientos que exige una
mejor Administración de Justicia.

 Formalización de un departamento de Arquitectura Empresarial, creado para apoyar a
la toma de decisiones mediante la evaluación del impacto de las acciones a emprender
en la organización.
Además se definen nuevos roles y responsabilidades en coherencia con la nueva

estructura organizativa, con el fin de fomentar una responsabilidad de extremo a extremo, y
conseguir una mejora en la comunicación de la dirección al resto de la organización.
Creación de la estructura de gobierno integrada por 8 comités ejecutados

semanalmente, de los cuales, están relacionados con la seguridad el Comité de Dirección
y el Comité de Seguridad y Riesgos.
 Comité de Dirección: se informa de la situación de la estrategia de la SGNTJ y se
toman decisiones a nivel de la organización.
 Comité de Seguridad y Riesgos: se informa del estado de incidencias y planes de
seguridad y se toman decisiones relativas a seguridad.
 Comité de Cambios: se informa de los cambios planificados que afectan al servicio
de la SGNTJ y se toman decisiones de cada petición de cambio.
 Comité de Operaciones: se informa del estado general de servicio y operaciones y
se toman decisiones para su mejora.
 Comité de Arquitectura Corporativa: se informa del resultado de los estudios de
arquitectura y se toman decisiones sobre ellos.
 Comité de Gestión de proyectos: se informa del estado de los proyectos y se toman
decisiones sobre riesgos, cambios y problemas.
 Comité de Gestión de la Demanda: se informa sobre la situación de las demandas
y se toman decisiones, se establece su priorización y se canalizan.
 Comité Económico Financiero: se informa de la ejecución presupuestaria de la
SGNTJ y se toman decisiones de carácter económico.
Estructura organizativa de la SGNTJ

La seguridad, se considera un factor clave en el diseño de la nueva estructura organizativa y
estratégica, de modo que, para satisfacer los requerimientos de la SGNTJ en cuanto al
manejo y gestión de los sistemas de información, se transforma el modelo anterior en el que
cada departamento asumía su propia gestión de la seguridad para crear y mantener un
modelo unificado de servicio de gestión de la seguridad a nivel estratégico, táctico y
operativo.
Para ello, se define e implanta la Oficina de Seguridad encargada de la gobernanza, gestión

y operación con la finalidad de incrementar los niveles de seguridad de los sistemas que
aglutina las actividades para asegurar la ejecución y el resultado de las actuaciones de
colaboración estratégicas, de gestión y operación en materia de seguridad de la SGNTJ. Se
establecen los procesos que gestionan todo el ciclo estratégico dirigido a conseguir los
resultados para que todos los grupos de trabajo cuenten con una referencia detallada de los
pasos que deben seguir en cada momento. Y se definen los roles y responsabilidades, así
como los indicadores que permiten evaluar el desempeño para gestionar los servicios de
seguridad de la Subdirección General de Nuevas Tecnologías de la Justicia.
4.2.2 Consultoría y asesoramiento especializado
Dentro del papel de catalizador de la ciberseguridad nacional, el Centro Nacional de

Inteligencia (CNI) promueve y facilita el objetivo común de mejorar la seguridad de los
sistemas, servicios y redes TIC de las Administraciones Públicas en España. Por su parte, el
Ministerio de Justicia, tras la consolidación del proceso de Transformación Digital de la
Administración de Justicia, es plenamente consciente de que la seguridad debe ser el
paraguas común que acoja, de forma integral, desde la concepción de los servicios, sistemas
y aplicaciones a lo largo de su ciclo de vida, incluyendo los retos que implica la protección de
la información en una institución tan importante y esencial para la sociedad en su conjunto,
como es la Administración de Justicia, demandando la dotación de más y mejores medios
para este fin.
En consecuencia, ambas instituciones han aunado esfuerzos mediante la firma de un

Convenio de Colaboración en materia de ciberseguridad, suscrito el 5 de junio de 2018 (BOE
de 27 de julio de 2018). El convenio tiene por objeto establecer las actuaciones de
colaboración a las que se compromete el Ministerio de Justicia, representado por la SGNTJ,
y el CNI, a través del Centro Criptológico Nacional (CCN), en materia de seguridad de los
sistemas, servicios, y redes TIC de la Administración de Justicia, que procesan, almacenan o
transmiten información en formato electrónico, y que incluyen medios de cifra. A través de
este convenio se persigue:
 Mejorar el nivel de seguridad de la información y reducir el nivel de riesgo frente a
incidentes de seguridad.
 Velar por la seguridad de la transformación digital en la que está inmersa la Administración
de Justicia.
 Contar con servicios profesionales especializados para complementar las actuaciones de
seguridad que se realizan en el ciclo de vida de los sistemas.
 Mejorar las capacidades de vigilancia y detección de incidentes en los sistemas, así como
la optimización de la capacidad de reacción y respuesta ante cualquier contingencia, a
través de la creación de un Centro de Operaciones de Ciberseguridad (SOC).
Como resultado de las actuaciones desarrolladas en el ámbito de este Convenio, la SNTJ ha

puesto en funcionamiento la Oficina de Seguridad, entre cuyas acciones cabe destacar la
puesta en servicio de un Centro de Operaciones de Ciberseguridad, SOC, con el que se

han mejorado las capacidades de vigilancia y detección de incidentes en los sistemas de la
SGNTJ y se ha optimizado la capacidad de reacción y respuesta ante cualquier posible
ataque.
4.2.3 Creación de la Oficina de Seguridad
El funcionamiento de la Oficina de Seguridad engloba todas las actividades estratégicas, de

gestión, y operativas en materia de seguridad:
 A nivel estratégico: se elabora el Plan Director de Seguridad.
 A nivel de gestión: análisis y definición de cuadros de mando de seguridad, desarrollo,
publicación y difusión de la normativa de seguridad; elaboración de los planes de
adecuación de sistemas, desarrollo del plan de continuidad de negocio; análisis y gestión
de riesgos y el seguimiento y apoyo a la implantación de las medidas a aplicar como
resultado del Plan Director de Seguridad.
 A nivel operativo: prestación de todos los servicios operativos de seguridad junto con la
ejecución de auditorías de cumplimiento normativo, así como auditorías técnicas de
seguridad, asesoría tecnológica, formación y concienciación del personal.
Estructura de la Oficina de Seguridad
El objetivo global es lograr la madurez global del servicio de gestión de seguridad a través de
los siguientes objetivos específicos:
 Mejorar la implementación del servicio: mediante la implementación y funcionamiento
de una Oficina encargada de la estrategia, gestión, y operación de sistemas, servicios y
redes TIC para la Administración de Justicia, con la finalidad de incrementar los niveles
de seguridad actuales. Adicionalmente, se cuenta con el asesoramiento del CCN para la
elaboración, seguimiento y supervisión del Plan Director de Seguridad.
 Mejorar la gestión de incidentes de seguridad: al disponer de infraestructuras con
capacidades de monitorización, acceso a información técnica de seguridad contrastada,
procedimientos de resolución para aplicación en entornos del Sector Público, así como
asesoramiento especializado.
 Mejorar la seguridad de infraestructuras y servicios: ejecución de auditorías técnicas
de seguridad y de cumplimiento normativo, asesoría tecnológica, formación y
concienciación del personal en el concepto de seguridad TIC integral.

 Mejorar la Operación y Soporte del Servicio de seguridad: definición e implantación
del SOC mejorando las capacidades de vigilancia, detección y atención a incidentes en
los sistemas de la SGNTJ, optimizando la capacidad de reacción y respuesta ante
cualquier ataque. Por su naturaleza centralizada, el SOC facilitará la implantación de
herramientas y/o tecnologías más adecuadas en cada momento, como la adopción de
medidas oportunas para una defensa eficiente.
 Desarrollo del cuerpo documental normativo: el cual recoge todos aquellos
documentos que serán necesarios disponer para la adecuada gestión de la explotación
de los productos y servicios.
 Certificación en el Esquema Nacional de Seguridad: adicionalmente al despliegue
técnico del SOC, se afronta la elaboración del cuerpo normativo que permitirá a la SGNTJ
alcanzar la posibilidad de la certificación “Adecuación al ENS” en Seguridad en medios
electrónicos de la Administración Pública:
- Preparación y aprobación de la Política de Seguridad.
- Categorización de los sistemas según nivel de la información.
- Declaración de la aplicabilidad de las medidas del ENS.
- Elaboración del Plan de adecuación para la mejora de la seguridad.
- Implantación, operación y monitorización de las medidas de seguridad.
- Auditorías de Seguridad.
- Informar sobre el estado de la Seguridad.
4.3 Medidas Técnicas. Plan Director de Seguridad
El elemento vertebrador de las medidas técnicas es el Plan Director de Seguridad que

determina las bases para el cumplimiento de la Normativa de seguridad vigente y las
actuaciones para su materialización, en el orden organizativo, documental, procedimental y
de implantación. También establece los requisitos necesarios para la aplicación de las
medidas de seguridad preventiva y reactiva necesarias para resguardar la información ante
su pérdida, manipulación o utilización ilegítima, así como los hitos de cumplimiento de los
diferentes elementos del Plan.
El Modelo se ha estructurado en 3 líneas de defensa:
 Primera Línea de Defensa. Diseño, puesta en servicio y operación de los controles
necesarios en el día a día con el fin de mitigar los riesgos. El Centro de Operaciones de
Ciberseguridad (SOC) es el equipo encargado de ejecutar estas funciones, entre las que
merece destacar el proceso de aseguramiento de seguridad de las soluciones dentro
del ciclo de vida del software.
 Segunda línea de Defensa. Diseño de la normativa de la que derivarán los
procedimientos de aplicación de los controles de la primera línea, de igual manera se
comprueba el cumplimiento de la legislación vigente y la gestión metodológica de riesgos.
Para ello se ha incluido la realización de análisis de riesgos y, en su caso, evaluación
de impacto como paso previo a la realización de un tratamiento de datos personales.
 Tercera Línea de Defensa. Aseguramiento sobre la efectividad de la gestión de riesgos
y la aplicación de medidas de control, incluyendo la manera en que la primera y
segunda línea de defensa alcanzan sus objetivos de gestión de riesgos y control mediante
la realización de auditorías de conformidad con el Esquema Nacional de Seguridad,
Esquema Judicial de Interoperabilidad y Seguridad y con el Reglamento General de
Protección de Datos de la Unión Europea.

4.3.1 Primera Línea de Defensa. Puesta en servicio del Centro de Operaciones de
Ciberseguridad (SOC)
Se ha puesto en servicio un Centro de Operaciones de Ciberseguridad (SOC) para la

monitorización de los sistemas, servicios y redes TIC del Ministerio de Justicia con el objetivo
de detectar comportamientos inseguros por parte de los usuarios, diagnosticar
vulnerabilidades y amenazas, bloquear ciberataques y mejorar la prevención y gestión de los
riesgos asociados a la seguridad. Por su naturaleza centralizada, el SOC facilita tanto la
implantación de las herramientas y/o tecnologías más adecuadas en cada momento, como la
adopción de las medidas oportunas para una defensa eficiente.
El SOC constituye el eje central de la gestión de la seguridad, dota de un centro de respuesta

a incidentes de seguridad con disponibilidad 24 horas, 7 días a la semana, 365 días al
año. Desde el SOC se realizan todas las actividades encaminadas a garantizar la seguridad
de las infraestructuras y los servicios prestados por la SGNTJ, incluyendo la ejecución de
todas las actuaciones dirigidas a la prevención, detección y respuestas ante incidentes.
Para acometer este proyecto se cuenta con la colaboración del CCN, fruto del convenio de
colaboración suscrito entre el Ministerio de Justicia y el CNI, en el que el CCN-CERT, como
CERT Gubernamental Nacional, actúa como prestador del servicio según las competencias
del Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad
(ENS), modificado por el Real Decreto 951/2015, de 23 de octubre, y bajo la supervisión de
la SGNTJ.
Cabe destacar por otra parte, que en cumplimiento de lo establecido por la Secretaría General
de Administración Digital de considerar los servicios de seguridad como servicios
compartidos, este SOC operará como una extensión del Centro de Operaciones de
Ciberseguridad de la Administración General del Estado (SOC-AGE) tendiendo de manera
progresiva a unificar y converger las diferentes actuaciones de seguridad que se
proporcionen.
A través del Centro de Operaciones de Ciberseguridad se prestan un total de 22 servicios

agrupados en 5 líneas de actuación: prevención, operación, actuación, formación y mejora
como se muestra en la siguiente figura:

Mapa de servicios de SOC
4.3.1.1 Pruebas de seguridad en el ciclo de vida del software
Dentro de las funciones del SOC merece especial atención la introducción del proceso de
aseguramiento de seguridad de las soluciones dentro del ciclo de vida del software con el fin
de detectar posibles vulnerabilidades antes de la fase de producción. Así pues, cada fase del
ciclo de vida de desarrollo tiene asociada su correspondiente fase de seguridad con la
ejecución de auditorías y controles específicos que se van realizando de forma paralela.
Para ello se ha establecido el procedimiento que define las pruebas, controles y requisitos
a realizar y las fases del ciclo de vida del software donde corresponde su realización.
En dicho procedimiento se incluye:
 La elección de los entornos adecuados para la ejecución de las pruebas de seguridad y/o
la reutilización de los ya existentes.
 Los criterios a partir de los cuales se recomienda la promoción de la aplicación conforme
a los resultados de las auditorías realizadas.
 Dimensión del servicio en base al esfuerzo y duración estimado para la realización de las
auditorías de pruebas de caja blanca (requisitos estructurales de diseño y código) y de
caja negra (requisitos funcionales) Tener en cuenta que dichas auditorías se realizan
como parte del ciclo de desarrollo del software tanto para cambios de versión mayores
como menores. Del mismo modo, se evalúa la realización de este tipo de pruebas cuando
se aplican pocos cambios o correcciones al software.
El equipo de Auditoría es la unidad técnica experta encargada de evaluar la seguridad del

tratamiento de la información, la configuración del software y hardware, identificar
vulnerabilidades o brechas de seguridad y su posible impacto y simular ataques directos a la
organización (hacking ético). Todo ello con el objetivo de elaborar un plan de contingencia
que permita resolver las debilidades encontradas y preparar y probar las medidas de
mitigación oportunas.

La aplicación ANA del CCN es la herramienta utilizada para gestionar y presentar los
resultados de las auditorías y análisis (de código e infraestructura) para su posterior gestión.
Este servicio se refuerza con la gestión de la auditoría de los servicios en producción

tanto de aplicaciones como infraestructura.
4.3.1.2 Gestión de Incidentes de Seguridad
El servicio de gestión de incidentes de seguridad del SOC se presta a todos los niveles
para encargarse tanto los incidentes considerados de prioridad baja o media, como los
considerados de muy alta prioridad o críticos. Para ello, se ha dotado al SOC de la
correspondiente infraestructura que permite el tratamiento de todas las tipologías de
incidentes. Asimismo, cuenta con un laboratorio de emulación del comportamiento del
malware y con el equipamiento necesario para la realización de los análisis forenses.
El servicio tiene como objeto la identificación y notificación de posibles incidentes de
seguridad que serán gestionados posteriormente siguiendo el procedimiento correspondiente
a la naturaleza del incidente.
Para ello se ha establecido un sistema de detección y reacción frente a código dañino y se
registran los incidentes de seguridad que se produzcan y las acciones de tratamiento que se
sigan. Estos registros se emplean para la mejora continua de la seguridad del sistema.
La gestión de incidentes consta de las siguientes fases:
 Fase de preparación: creación del equipo de respuesta a ciberincidentes (ERC),
formación en el uso de herramientas y de otros recursos necesarios. Durante esta fase,
se identifican y despliegan un determinado conjunto de medidas de seguridad, durante la
cual, persistirá un riesgo residual.
 Fase de detección, análisis y notificación: una vez implantadas las medidas de
seguridad que ayudan a detectar las posibles brechas de seguridad de los sistemas de
información del organismo, se procede a realizar su análisis, desencadenando los
procesos de notificación correspondientes a los que hubiere lugar.
 Fase de contención, erradicación y recuperación: consiste en la mitigación del impacto
en la gestión del riesgo, procediendo a su eliminación de los sistemas afectados y
recuperando el sistema. Durante esta fase es necesario realizar periódicamente el análisis
de amenazas y de cuyos resultados se desprenderán, nuevos mecanismos de contención
y erradicación.
 Fase post-ciberincidente: La Oficina de Seguridad, emite informes periódicos en los que
se detallan las características de los ciberincidentes sufridos junto con su análisis de
riesgo, el cual está enfocado especialmente en el impacto sobre los servicios afectados
así como las medidas a tomar para prevenir futuros casos análogos (lecciones
aprendidas).
Se ha definido el procedimiento de gestión de incidentes que proporciona una guía

práctica para una resolución efectiva y eficiente de los incidentes acaecidos en los sistemas
de información que son propiedad o están bajo cargo o responsabilidad de la SGNTJ. Este
procedimiento desarrolla la Norma de gestión de incidentes de seguridad de la información.
En él se describe los diferentes pasos para gestionar un incidente en el que se incluye un

diagrama de flujo y una descripción detallada de dichos pasos de forma que se tenga
información precisa y clara de lo que se debe hacer en cada caso. El procedimiento se puede
aplicar de forma independientemente a cualquier plataforma hardware, sistema operativo,
protocolo o aplicación relacionados con el incidente.

Para la definición del procedimiento se han tenido en cuenta las recomendaciones del
Esquema Nacional de Seguridad (artículos 7.3, 11, 24, 36, 37, op.exp.7 y op.exp.9 anexo II),
el Reglamento de protección de datos de carácter personal (artículo 90) y las normas de
gestión de incidentes de seguridad de la información publicadas por el CCN-STIC en esta
materia.
Para la prestación del servicio se utilizan herramientas de notificación y gestión de

posibles incidentes de seguridad.
 Para la correcta notificación de posibles incidentes de seguridad se cuenta con la
integración de las capacidades de un sistema de gestión de información y eventos de
seguridad (Security Information and Event Management, SIEM), y herramientas
adicionales que permiten su identificación. Para ello, la oficina de seguridad de la SGNTJ
ha puesto en marcha las herramientas del CCN GLORIA (gestión, procesado y
correlación de logs) CARMEN (detección de Amenazas Persistentes Avanzadas) y
CLAUDIA (detección de amenazas en el puesto de trabajo). Estas herramientas ayudan
a la oficina de seguridad a tener un mayor control sobre la seguridad de la organización.
El resultado es que, de forma automatizada y mediante reglas de correlación, se generen
alertas de lo que es relevante y pueda ser un incidente de seguridad para activar el
protocolo de gestión de incidentes. Para llegar a ello, el servicio se mantiene actualizado
y hay un continuo mantenimiento de mejora.
 La aplicación de gestión de incidentes LUCIA, mejora el intercambio de información de
incidentes de seguridad y mantiene la trazabilidad y seguimiento de los mismos. Esta
herramienta se ha personalizado para atender las necesidades de la SGNTJ y el CCN-
CERT en cuanto al cumplimiento de los requerimientos y procedimientos a seguir, así
como el cumplimiento de los requisitos establecidos en el ENS.
 REYES (Intercambio de ciberinteligencia) es una herramienta para el intercambio de
información y conocimiento de ciberamenazas que permite investigar ciberincidentes y
compartir información.
 MARTA y MARÍA son servicios ofrecidos por CCN-CERT para ayudar en el proceso de
análisis de código dañino mediante sandboxing (ejecución de muestras / ficheros en un
entorno virtual controlado que registra la actividad del código malicioso).
 Las sondas SAT-SARA y SAT-INET (Detección de intrusiones) proporcionan un servicio
de alerta temprana para los organismos públicos. En ambos casos, mediante la
monitorización y detección de amenazas, desde el centro de operaciones del SAT
correspondiente, se notifica al Ministerio de Justicia para que proceda con su análisis.
Para ello, se utiliza la herramienta LUCIA. Las alertas de LUCIA de SAT-INET se pueden
ver directamente por los analistas de gestión de incidentes. Para ello, acceden a la cola
de incidentes de LUCIA y llevan a cabo las investigaciones correspondientes a través de
la gestión de incidentes.
La SGNTJ cuenta con el equipo de gestión de incidentes de forma permanente que

depende del Responsable de Seguridad. El equipo está disponible para recibir la
comunicación de cualquier persona que descubra o sospeche que se ha producido un
incidente que afecta a la organización a través de los mecanismos habilitados. Este equipo
se complementa por personal de las áreas para responder a los diferentes incidentes de
seguridad. Su principal función es analizar los datos del incidente, determinar su impacto y
actuar apropiadamente para limitar los daños y restaurar los servicios. En su caso, el equipo
recaba los apoyos que sean necesarios para resolver el incidente. Para realizar sus funciones
el equipo se apoya en la herramienta LUCIA, puesto que les permite registrar los incidentes,
la documentación relacionada con el mismo y dar soporte a la coordinación necesaria para
su resolución.

Para terminar, destacar que el procedimiento de gestión de incidentes incluye el proceso a
seguir para efectuar la notificación de los incidentes de forma interna a los responsables,
así como las notificaciones externas a las autoridades de control competentes y los
afectados en los casos en que la brecha de seguridad afecte a los datos personales. Esto
permite disponer de un criterio común a todos los tratamientos de datos personales de la
SGNTJ, facilita una comunicación rápida y eficaz con los responsables, en los plazos
establecidos y por los canales adecuados.
4.3.1.3 Formación y concienciación
Desde el SOC también se asume la responsabilidad de lograr un adecuado nivel de

divulgación y concienciación de los implicados para reducir la probabilidad de introducción
de vulnerabilidades en los sistemas y la realización de actividades inadecuadas,
intencionadas o no, que puedan afectar a la seguridad de la información manejada,
promoviendo un uso correcto y seguro de los recursos. Para ello, se ha implementado el S
Servicio de Concienciación en Seguridad.
Las acciones de este servicio se dirigen tanto a los usuarios de los sistemas de información
que prestan servicio a la Administración de Justicia como al personal TIC de la SGNTJ. Se
encarga de la elaboración de material específico sobre buenas prácticas en el uso de los
sistemas y la información, planificación y ejecución continua de acciones de formación y
sensibilización.
Desde el Servicio de Formación en seguridad del SOC apoya y forma adecuadamente y
de forma continua a los profesionales TIC de la SGNTJ y, en particular al personal
especializado en seguridad. Estos profesionales son los encargados de diseñar, desarrollar
y mantener los sistemas de información, productos y servicios que tratan datos personales y,
por ello, es de capital importancia reforzar la concienciación en la implantación de los
requerimientos de protección de datos en los sistemas que se diseñan.
4.3.2 Segunda Línea de Defensa. Modelo de prestación de servicios para el
cumplimiento normativo de seguridad
A efectos del cumplimiento de la legalidad vigente, la SGNTJ se encarga de elaborar la

documentación normativa y de utilización de medios para la gestión de la seguridad de la
información e implementar las medidas que facilitan el control y mediciones del nivel de
cumplimiento para incorporar acciones de mejora continua.
La Oficina de Seguridad ha configurado un modelo de prestación de servicios para el

cumplimiento de la legislación vigente de modo que sea comprensivo con los derechos
fundamentales, y que sea capaz de generar un sistema de funcionamiento que posibilite su
gestión en el ámbito de la Administración de Justicia. No se puede olvidar que el cumplimiento
legal además de una obligación, revierte en la buena imagen de la justicia aportando
seguridad, calidad y confianza.
Por su parte, la adaptación al Reglamento General de Protección de Datos de carácter

personal de la Unión Europea, de obligado cumplimiento desde el 25 de mayo de 2018, ha
requerido nuevas obligaciones y modificaciones de algunos aspectos del régimen que se
estaba aplicando. En este contexto ha sido necesario adaptar la normativa interna de la
SGNTJ y sus procedimientos de trabajo para poder cumplir con el Reglamento.
En la siguiente figura se muestra el modelo definido en la SGNTJ, que está integrado por 6
servicios, los cuales hacen posible el cumplimiento y adecuación a la legislación y normativa

aplicable en materia de seguridad y protección de la información. Estos servicios se prestan
desde la Oficina de Seguridad de la SGNTJ.
Mapa de servicios para el cumplimiento de la normativa
El Equipo de Normativa, está dedicado a la adecuación y elaboración del cuerpo documental

de la normativa de seguridad de la SGNTJ al Esquema Nacional de Seguridad, al Esquema
Judicial de Interoperabilidad y Seguridad y al Reglamento General de Protección de Datos.
Esta medida contribuye a la uniformidad de la información mediante normas y procedimientos
de obligado cumplimiento que protegen la información en los ámbitos de confidencialidad,
integridad, trazabilidad, autenticación, disponibilidad, y conservación, siendo este último, de
la aplicación del EJIS.
4.3.2.1 Análisis de Riesgos
El modelo de gobernanza para la gestión de la seguridad de la información está basado en

una activa política de gestión de los riesgos asociados a los activos de la SGNTJ que
permite calibrar la confianza en que los sistemas desempeñan su función como se espera,
así como en el establecimiento de indicadores que permitan una adecuada monitorización y
medición del desempeño de la seguridad.
La gestión de riesgos facilita el mantenimiento de un entorno controlado, minimizando los
riesgos hasta niveles aceptables. La reducción de estos niveles se realiza mediante el
despliegue de medidas de seguridad, que establece un equilibrio entre la naturaleza de los
datos y de los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.
Estos niveles de riesgos y las correspondientes medidas son, posteriormente, evaluados y
analizados a través de los correspondientes cuadros de mando.
Los resultados se documentan en informes técnicos, ejecutivos y de seguimiento de la
implantación de las medidas. Para la realización de las actividades se dispone del apoyo de
las herramientas adecuadas para su llevanza: herramientas de gestión de riesgos, gestión de
activos, gestión del cambio, cuadros de mando, etc. Por último, periódicamente se evalúa el
estado de la seguridad identificándose las diferentes propuestas de mejora que aseguren
una gestión óptima de la misma, las cuales, se integran en un plan de programas y proyectos
para la mejora de la seguridad.

La realización del Análisis de Riesgos ha planteado un cambio de paradigma para la SGNTJ
ya que aporta una nueva visión en cuanto a la identificación de los diferentes activos, la
valoración de los servicios e información y la asignación de responsabilidades. En la siguiente
tabla se indican los aspectos considerados dentro del procedimiento establecido para el
análisis de riesgos en la SGNTJ.
Procedimiento para Análisis de Riesgos
Identificación de Según el catálogo de servicios se han agrupado en 7 líneas de negocio que a su vez
servicios de representan a un grupo de usuarios de los servicios de TI de la SGNTJ.
negocio
Identificación de Servicios sobre los que se apoyan los servicios de negocio.
servicios
transversales
Aplicaciones que conforman los servicios de negocio o los servicios transversales, que
Identificación de
forman parte de los sistemas de información sobre los cuales se realizan los análisis de
soluciones riesgos.
Identificación de la A partir de la definición y la finalidad del tratamiento y la descripción de la categoría de
información que los datos personales que se recogen en el Registro de Actividades de Tratamiento.
se trata
Dimensiones de seguridad: y se realiza sobre cinco dimensiones de seguridad:
Criterios para la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Añadiendo en los
valoración del servicios e información del ámbito de la Ley 18/2011 la dimensión de conservación
impacto conforme al EJIS.
(guía CNN-STIC de Niveles de seguridad: Para determinar el nivel de impacto sobre cada dimensión de
Valoración de seguridad se aplica uno de los siguientes niveles: BAJO, MEDIO o ALTO.
sistemas de Categorización: se debe establecer la categoría del sistema de información que da
información) soporte a la información y servicios: ALTA, MEDIA o BÁSICA, considerando el valor
máximo de todas sus dimensiones
Valoración de la La Oficina de Seguridad realiza una propuesta de valoración que debe ser ratificada por
información y el Responsable de la Información y Servicios.
servicios ( guía La propuesta se basa en el análisis de los tratamientos de datos personales, catálogo
CCN-STIC 803) de servicios y catálogo de soluciones.
Identificación de Identifica qué activos y tipos de activos dan soporte a los servicios para determinar el
los activos árbol de dependencias y los riesgos más relevantes.
relevantes que Los activos se agrupan siguiendo el modelo básico de capas de la herramienta PILAR
dan soporte a los con algunas modificaciones (Activos de información, servicios, servicios TI,
servicios aplicaciones, equipos, comunicaciones, instalaciones y personal.
Dependencias La valoración sobre la información y el servicio se hereda por los activos que la soportan,
(metodología de tal forma, que los riesgos sobre los activos y las medidas de seguridad a aplicar son
MAGERIT) consecuencia directa de la valoración realizada.
Identificación y Desastres naturales, origen industrial, errores y fallos no intencionados, ataques
valoración de deliberados.
amenazas
(PILAR)
Riesgo potencial El valor del riesgo potencial es consecuencia de la imputación en la herramienta PILAR
(PILAR) de los activos, tipología, valoración de los mismos e identificación de las amenazas.
Identificación de Según establece la LOPPDGDD serán las que se determinen en el anexo II del ENS o
las medidas de anexo III del EJIS para la evaluación del impacto realizada.
seguridad a
implementar
Aplicación de las Las medidas de seguridad pueden ser de distinto tipo: organizativas, operacionales y
medidas de aplicar a varias áreas de distinta forma y su aplicación depende de cada área.
seguridad y
responsabilidades

Las herramientas y buenas prácticas reconocidas que ayudan a la Oficina de Seguridad
a tener un mayor control sobre la seguridad de la información y que permiten la gestión de
riesgos son:
 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
MAGERIT v.3 que facilita la implantación y aplicación del Esquema Nacional de
Seguridad a través de la concienciación, ofrece un método sistemático de análisis de
riesgos en el uso de las TIC, apoyo en los tratamientos oportunos y realización de los
procesos de evaluación, auditoría, certificación o acreditación que corresponda en cada
caso.
 Herramienta PILAR del CCN para la monitorización continúa del estado de riesgo y
seguimiento de proyectos de mejora de la seguridad que sigue la metodología Magerit
v.3. Con esta herramienta se analiza el riesgo en las dimensiones de confidencialidad,
integridad, disponibilidad, autenticidad y trazabilidad y se propone tratamiento del riesgo
mediante salvaguardas, normas y procedimientos de seguridad. También se analiza el
impacto de las interrupciones en el servicio y propone salvaguardas, respaldo y planes de
recuperación ante desastres.
4.3.3 Tercera Línea de Defensa. Verificación del cumplimiento
Se centra en el aseguramiento sobre la efectividad de la gestión de riesgos y la aplicación de
medidas de control, incluyendo la manera en que la primera y segunda línea de defensa
alcanzan sus objetivos de gestión de riesgos y control mediante la realización de auditorías
de conformidad con el Esquema Nacional de Seguridad, Esquema Judicial de
Interoperabilidad y Seguridad y con el Reglamento General de Protección de Datos de la
Unión Europea.
Merece destacar que el Ministerio de Justicia dispone del soporte y asesoramiento
especializado del CCN para facilitar el desarrollo normativo, la realización de análisis de
riesgos de los sistemas de información, así como de análisis de impacto sobre la información
personal tratada y de auditorías de cumplimiento para verificar periódicamente la adecuación
de los sistemas de información a los requerimientos de seguridad establecidos.
La SGNTJ define y ejecuta un plan anual de auditorías de cumplimiento normativo a los
diferentes procesos y sistemas de la SGNTJ, los cuales, se agrupan en tipologías por líneas
de negocio de la SGNTJ (Auditoría de cumplimiento normativo de sistemas para Órganos
Judiciales, para Fiscalía, para IMLs e INTCF, Registros Administrativos, para Registros
Judiciales, para Registros Civiles, para Soluciones de Administración Electrónica y para
Órganos Administrativos.

5 BUENAS PRÁCTICAS EN EL CUMPLIMIENTO DE LA
NORMATIVA. ACTUACIONES ESPECÍFICAS CUMPLIMIENTO
RGPD Y LOPDGDD
5.1 Marco legal y diferenciación de tratamientos
Para el cumplimiento de la legislación y la normativa aplicable en materia de seguridad y

protección de datos, la SGNTJ está sujeta tanto a los requerimientos como organismo
de la Administración General del Estado como a los requerimientos específicos en
calidad de prestador de servicios TIC a los órganos de la Administración de Justicia de
su ámbito de gestión.
 La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que establece
que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos
públicos y entidades vinculados o dependientes a través de medios electrónicos.
 La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, que recoge en su artículo 13 sobre derechos de las personas
en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos
de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que
figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
 La Ley Orgánica 6/1985, de 1 de julio del Poder Judicial expone en su articulado que la
información tratada por Órganos Jurisdiccionales ha de someterse a la normativa vigente
sobre protección de datos personales, estableciendo las responsabilidades y las
actuaciones pertinentes para su cumplimiento.
 El 27 de abril de 2016 el Parlamento Europeo y el Consejo aprobaron un reglamento (de
aplicación directa en todos los países miembros de la Unión Europea y una directiva, que
precisa ser traspuesta en leyes nacionales para su aplicación por los países miembros.
Estas normas son las siguientes:
 El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de
2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva
95/46/CE.
 El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de
confianza para las transacciones electrónicas en el mercado interior.
 La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de prevención
investigación, detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo.
 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía
de los derechos digitales y Real Decreto 1720/2007, de 21 de diciembre.
 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el ámbito de la Administración Electrónica y Real Decreto 951/2015, de 23
de octubre, de modificación del anterior.
 A los tratamientos que traten datos de Administración de Justicia le será de aplicación la
Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y las
comunicaciones en la Administración de Justicia.

 Bases del Esquema Judicial de Interoperabilidad y Seguridad.
 La Orden JUS/1293/2017, de 14 de diciembre, por la que se aprueba la Política de
Seguridad de la Información en el ámbito de la administración electrónica (BOE 28 de
diciembre de 2017). Esta Política es de aplicación a todos los departamentos del
Ministerio y establece la estructura organizativa para la gestión de la seguridad de la
información.
 Ley Orgánica 4/2018, de 28 de diciembre, de reforma de la Ley Orgánica 6/1985, de 1 de
julio, del Poder Judicial que establece obligaciones en el uso de las herramientas
informáticas dentro del Poder Judicial. Las instrucciones generales o singulares de uso
de las nuevas tecnologías que el Consejo General del Poder Judicial o la Fiscalía General
del Estado dirijan a los jueces y magistrados o a los fiscales, respectivamente,
determinando su utilización, serán de obligado cumplimiento. Los sistemas informáticos
que se utilicen en la Administración de Justicia deberán ser compatibles entre sí para
facilitar su comunicación e integración, en los términos que determine el Comité Técnico
Estatal de la Administración de Justicia Electrónica.
 Además, al estar entre sus competencias el mantenimiento de los sistemas de
información de los Órganos Jurisdiccionales centrales, y los Órganos jurisdiccionales
territoriales y fiscalías cuya asistencia no ha sido transferida a las Comunidades
Autónomas correspondientes, le es de aplicación la normativa que se desarrolle en los
grupos de trabajo del Comité Técnico Estatal de la Administración Judicial Electrónica
(CTEAJE).
Diferenciación de Tratamientos
El Ministerio de Justicia está sujeto a los requerimientos específicos en calidad de prestador
de servicios TIC a los órganos de la Administración de Justicia de su ámbito de gestión.
En este sentido, los tratamientos de los datos jurisdiccionales y no jurisdiccionales son
responsabilidad de los órganos judiciales y oficinas judiciales. Mientras que los tratamientos
de datos utilizados en los Sistemas de Información que dan soporte a las Fiscalías, son
responsabilidad de las mismas.
El Ministerio de Justicia, en su actividad diaria es responsable de los tratamientos de
los datos que sirven de apoyo a la actividad de la Administración de Justicia (órganos
judiciales, Ministerio Fiscal, Fuerzas y Cuerpos de Seguridad del Estado y otros órganos
administrativos), como son:
 Registro Central de Penados.
 Registro Central para la Protección de las Víctimas de la Violencia Doméstica.
 Registro Central de Medidas Cautelares, Requisitorias y Sentencias No Firmes.
 Registro Central de Rebeldes Civiles.
 Registro de Sentencias de Responsabilidad Penal de los Menores.
 Registro Central de Delincuentes Sexuales, Instituto Nacional de Toxicología y Ciencias
Forenses.
 Institutos de Medicina Legal.
 Así como del tratamiento de los datos correspondientes a la trazabilidad y registro de
usuarios de la plataforma de comunicaciones electrónicas LexNET.
Por su parte, la Subdirección General de Nuevas Tecnologías de la Justicia, como
organismo TIC que provee los sistemas de información y servicios digitales (desarrollo,
mantenimiento y operación) a la Administración de Justicia, es el encargado del tratamiento
de los anteriores datos.

Por tanto, en su actividad diaria, la SGNTJ es responsable de la seguridad, custodia
y configuración de los sistemas de información, mientras que la responsabilidad
del tratamiento de los datos corresponde o al Ministerio de Justicia o a los órganos
judiciales, oficinas judiciales y fiscalías.
5.2 Gobernanza
En virtud de la Orden JUS/1293/2017, de 14 de diciembre, por la que se aprueba la Política
de Seguridad de la Información en el ámbito de la administración electrónica, que
establece la estructura organizativa para la gestión de la seguridad de la información, y la
equivalencia de responsabilidades efectuada teniendo en cuenta lo establecido en la
legislación nacional de protección de datos de carácter personal, la SGNTJ ha definido la
estructura organizativa y el modelo de gobernanza que permite una adecuada gestión de la
Seguridad de la Información en la SGNTJ. Además, la SGNTJ es responsable de desarrollar
las normas específicas de los aspectos organizativos de la Seguridad de la Información que
cumplan con la legislación vigente y contemplen las buenas prácticas de Seguridad de la
Información.
La estructura organizativa de la SGNTJ se ha definido a partir de las siguientes características
y funciones:
 Implantar un modelo de gobernanza de la seguridad de la información eficaz y eficiente.
 Definir las responsabilidades y funciones de Seguridad de la Información que aseguren
una útil y práctica gestión y coordinación para el aseguramiento de la seguridad.
 Estar integrada con la estructura organizativa de la SGNTJ.
Dentro de la estructura de gobierno de la SGNTJ se ha establecido el Comité de Dirección
como órgano superior de gobierno de la seguridad y el Comité de Seguridad y Riesgos para
informar del estado de incidencias y planes de seguridad y toma de decisiones relativas a
seguridad. Asimismo la SGNTJ ha designado y nombrado al Responsable de Seguridad,
y Responsable del Sistema.
Por lo que se refiere a la Política de Seguridad de la Información en el ámbito de la
administración electrónica del Ministerio de Justicia, la SGNTJ participa en los órganos de
gobierno, nombramiento de responsables y otras actividades enfocadas al cumplimiento de
dicha política. En concreto forma parte del Comité de Dirección de Seguridad de la
Información y del Grupo de Trabajo Técnico de Seguridad de la Información.
Por otra parte, tanto el Reglamento (UE) 2016/679 como la Directiva (UE) 2016/680 prevén y
establecen como requerimiento el nombramiento o designación de un Delegado de
Protección de Datos como garante del cumplimiento de las medidas establecidas por la
normativa. El pasado mes de mayo de 2018 el Ministerio de Justicia nombró un Delegado de
Protección de Datos (DPD) con el que la SGNTJ mantiene contacto permanente para
adecuarse a los requerimientos de la Política de Seguridad del Ministerio de Justicia, su
normativa de desarrollo y los establecidos por el propio DPD.

5.3 Adaptación al Reglamento General de Protección de Datos
Para realizar la adaptación al RGPD, la SGNTJ ha adaptado su normativa interna y sus
procedimientos de trabajo. Los principales impactos de este Reglamento se pueden resumir
en cinco cuestiones clave:
 Cambios organizativos para tener en cuenta la figura del Delegado de Protección de
Datos del Ministerio de Justicia y las implicaciones de sus funciones de asesoramiento e
informativas, así como la necesaria colaboración con los responsables del tratamiento de
los datos de carácter personal.
 Cambios relativos al cuerpo normativo de la seguridad de la información en la SGNTJ
que incluyen tanto la modificación de la normativa actual como la redacción de nuevas
normas.
 Mantenimiento de registros sobre los tratamientos que se realizan en la SGNTJ con
datos de carácter personal, así como evidencias de que se cumple el Reglamento.
 Modificaciones de los procedimientos operativos de la organización relacionados con
el tratamiento de los datos de carácter personal.
 Revisión y actualización de ciertas aplicaciones informáticas para cumplir las normas
del Reglamento.
Registro de Actividades de Tratamiento

Se dispone de un Registro de actividades de tratamiento de datos personales de los que
la SGNTJ es responsable o encargada de tratamiento. El inventario se actualiza cada vez
que se incorpora un nuevo tratamiento o cuando alguno de los existentes se modifica en
los supuestos establecidos (categorías de datos que se tratan, finalidades del tratamiento,
nuevos responsables de los datos etc.).
Textos preceptivos a incluir en la obtención de datos personales
Por parte de la SGNTJ se han elaborado los textos a incluir en la obtención de datos
personales acordes a la especificidad del órgano que vaya a obtener los datos y del
tratamiento que se vaya a realizar de dichos datos personales y se han remitido a las
correspondientes áreas de soluciones para su adecuación e inclusión en las próximas
promociones de los sistemas de información.
Cláusulas a incluir en los contratos de encargado de tratamiento
La Oficina de Seguridad de la SGNTJ ha elaborado las nuevas cláusulas y se han remitido
al Área de Gestión Económica y Proveedores para su inclusión en los contratos que se
realicen con empresas externas como encargados de tratamiento para la creación,
mantenimiento o cualquier actividad relacionada con los tratamientos de datos
personales.
Procedimiento para garantizar el ejercicio de derechos
Para el ejercicio de los derechos de acceso, rectificación, supresión, limitación del
tratamiento y oposición se ha establecido un procedimiento gestionado por la Oficina de
Seguridad en el que interviene la secretaría de la SGNTJ como punto de recepción y
envío de las peticiones de ejercicio de derechos y comunicaciones al interesado.

5.4 Seguridad y protección de los datos desde el inicio y por
defecto
El Reglamento establece como preceptivo la realización de un análisis de riesgos previo a la

realización de un tratamiento de datos personales, para la obtención de las medidas de
seguridad adecuadas para llevar a cabo el tratamiento. Si de este análisis de riesgos se
determina como probable un alto riesgo para los derechos y las libertades de las personas
físicas, hay que realizar una evaluación de impacto de las operaciones de tratamiento de
datos personales.
La SGNTJ ha modificado la metodología de gestión del ciclo de vida del software, añadiendo
análisis de riesgo y evaluación de impacto relativa a la seguridad y protección de datos
personales antes de la puesta en producción de nuevos tratamientos o cuando se prevé la
puesta en producción de una versión con modificaciones que puedan implicar cambios en la
valoración de las dimensiones de seguridad afectadas. Además, se están realizando análisis
de riesgos sobre los tratamientos de datos existentes extrayendo las medidas de seguridad
requeridas para su entrega a los equipos de soluciones a efectos de que se tengan en cuenta
en el desarrollo.
La Oficina de Seguridad ha llevado a cabo las acciones necesarias para la inclusión en el
ciclo de vida del software del análisis de riesgos y –en su caso– una evaluación de
impacto relativa a la protección de datos personales antes de la puesta en producción de
nuevos tratamientos, o cuando se prevé la puesta en producción de una versión con
modificaciones que puedan implicar cambios en la valoración de las dimensiones de
seguridad afectadas. Para ello, desde la Oficina de Seguridad, se ha coordinado con el resto
de áreas de la SGNTJ para la modificación de la documentación relativa a la metodología de
buenas prácticas en el desarrollo y mantenimiento de aplicaciones (MEDES).
En este sentido, se ha adecuado el proceso de gestión de la demanda para que desde el

momento del inicio de una demanda en la SGNTJ, intervenga la Oficina de Seguridad
para realizar un estudio previo de impacto, así como un análisis de seguridad cuando median
datos de carácter personal. Este análisis previo permite realizar una calificación previa del
sistema o servicio a desarrollar para determinar desde el principio las medidas de seguridad
adecuadas al tratamiento. Durante las siguientes fases de desarrollo y hasta la puesta en
producción se siguen aplicando más técnicas y procesos de evaluación.
De este modo la seguridad y la privacidad de la información se convierten en una parte

esencial del sistema o servicio que se desarrolla y se previenen y anticipan problemas antes
de que se materialicen.
También es preceptivo que se comunique a la Oficina de Seguridad el desarrollo de
nuevos tratamientos para realizar un análisis de riesgos previo, en cuanto se conozca la
finalidad del tratamiento, los datos a tratar, los colectivos a los que pertenecen los datos a
tratar, qué unidades u órganos van a tratar dichos datos y – a grandes rasgos- las
características del tratamiento (si es sobre Internet o no, por ejemplo). Este análisis previo
permite realizar una calificación previa del sistema para determinar las medidas de seguridad
adecuadas al tratamiento.
En primer lugar se establece la categorización de los sistemas como BÁSICO, MEDIO o
ALTO, a partir del resultado de la evaluación del riesgo y de su impacto, conforme a las
consideraciones establecidas en el Anexo I del Esquema Nacional de Seguridad (ENS) y en
el Esquema Judicial de Interoperabilidad y Seguridad (EJIS). Las medidas de seguridad
aplicables serán en todo caso las que se exponen en el Anexo II del Esquema Nacional de

Seguridad (ENS) y en el Esquema Judicial de Interoperabilidad y seguridad (EJIS)
dependiendo de la categorización de los sistemas.
El procedimiento de categorización de los sistemas que ha definido la Oficina de
Seguridad se apoya en un cuestionario que responde a los requerimientos del Esquema
Nacional de Seguridad, basado en preguntas sobre las implicaciones de la vulneración de la
seguridad en las dimensiones establecidas de Disponibilidad, Autenticidad, Integridad y
Confidencialidad y Trazabilidad. Inicialmente, la evaluación se realiza en la SGNTJ, e
intervienen además de la Oficina de Seguridad, los Centros de Soluciones y de Producción.
Esta evaluación inicial, junto con la explicación de los criterios de evaluación, se comparte
con el responsable del servicio correspondiente para obtener la evaluación definitiva de la
categorización del sistema.
De cada evaluación se extraen las medidas de seguridad requeridas, que se entregan a los
equipos de soluciones para que se tengan en cuenta en el desarrollo.
Para la realización de la categorización y el análisis de riesgos de los sistemas de la SGNTJ,
se han establecido las siguientes tipologías que agrupan los sistemas en función de líneas
de negocio conforme al catálogo de servicios: Órganos Judiciales, Fiscalía, IML e INTCF,
Registros Administrativos, Registros Judiciales, Registros Civiles, Soluciones de
Administración Electrónica y Órganos Administrativos.
5.5 Gestión de Incidentes de Seguridad y Notificación

Responder de forma adecuada a los incidentes de seguridad de la información es clave para
su protección. Aunque las acciones preventivas, basadas en el análisis de riesgos, pueden
reducir la vulnerabilidad de los sistemas y el número de incidentes, no todos son previsibles.
Una capacidad de respuesta es, por lo tanto, necesaria para su rápida detección, la
minimización de los daños y pérdidas sobre los activos de información de la SGNTJ, la
reducción de las debilidades que puedan explotarse y la restauración, temprana y eficaz, de
la información, los sistemas y servicios de información y comunicaciones, así como la mejora
continua en esta materia.
A nivel de gobierno de la SGNTJ se ha creado el Comité de Dirección y el Comité de
Seguridad y Riesgos donde se toman decisiones relativas a la seguridad, se informa del
estado de incidencias y planes de seguridad. Se encargan asimismo de las acciones de
coordinación y actuación en caso de incidentes graves (análisis del incidente, características,
el impacto sobre la organización y posibles medidas de contención, erradicación y
recuperación de los sistemas que han sido afectados por el incidente). El Responsable de
Seguridad puede convocar el Comité de Seguridad y Riesgos cuando considera que es
necesario para resolver el incidente con mayor rapidez y eficacia. Las decisiones del Comité
se comunican al Equipo de Gestión de Incidentes para su ejecución o su distribución a otras
organizaciones involucradas en la resolución del incidente.
Tal y como se ha expuesto en el marco de la primera línea de defensa del Plan Director de
Seguridad el servicio de gestión de incidentes de seguridad se presta por el SOC en
base al procedimiento establecido, para lo cual se cuenta con la participación y asesoramiento
de expertos del CCN aportando su experiencia y conocimiento en esta materia.
Destacar que dentro de dicho servicio se incluye el proceso a seguir para efectuar la
notificación de los incidentes acaecidos a las autoridades de control competentes y
los afectados en los casos en que la brecha de seguridad afecte a los datos personales,
adecuándose a las exigencias del RGPD.

5.6 Formación y concienciación
Desde el punto de vista de la seguridad de la información, los elementos más vulnerables de
un sistema de información y de las comunicaciones son las personas que los desarrollan y
utilizan. La estrategia de la SGNTJ para contribuir a la creación de una cultura de protección
de datos se centra en la prevención y disminución de riesgos mediante actuaciones y
mecanismos que contribuyan a una mayor concienciación, sensibilización, formación y
apoyo al personal y usuarios de los servicios prestados por la SGNTJ.
En el marco de los servicios de concienciación y formación prestados desde el SOC, se han
realizado las siguientes acciones para implicar a los usuarios y personal técnico sobre el
correcto uso de datos de carácter personal y su papel como garantes de la seguridad de la
información que manejan.
5.6.1 Formación a equipos de desarrollo

Se considera fundamental formar y educar de forma continua a los profesionales TIC de la
SGNTJ, tanto aquellos que diseñan, desarrollan y programan los productos y servicios, como
el personal que integra la Oficina de Seguridad. Para ello se han incrementado los esfuerzos
y recursos dedicados a través del Servicio de Formación en seguridad del SOC, que nos
ha permitido desarrollar una estrategia formativa para cubrir dos aspectos clave:
Por una parte la realización de acciones de formación en seguridad del software diseñada
ad hoc para los sistemas e infraestructuras de la SGNTJ, así como la elaboración de
materiales para enseñar tanto errores comunes como buenas prácticas puestos a su
disposición para su consulta en cualquier momento. Mencionar que también se ha involucrado
al departamento de formación de las aplicaciones de la SGNTJ, de modo que se ha elaborado
material concreto y directrices en materia de seguridad para su empleo por los formadores
de la SGNTJ.
De otra, potenciar la asistencia y participación en las acciones formativas y eventos de
seguridad organizados por parte de instituciones y empresas de referencia en el sector
tecnológico y de la seguridad. Así se consigue que nuestros profesionales están en constante
proceso de actualización en cuanto a las últimas tendencias tecnológicas existentes, además
de compartir experiencias y escuchar a expertos cómo se han podido abordar problemas
surgidos en las diferentes empresas y organismos sobre temas complejos como seguridad,
Big Data, inteligencia artificial, etc.
El CISO de la SGNTJ ha asistido a los siguientes eventos:
 ECHA Reunión Security Officers Network (Helsinki) celebrado en febrero de 2019. La
European Chemical Agency (ECHA) equivalente europeo del Instituto Nacional de
Toxicología y Ciencias Forenses (INTCF) celebró una reunión en Helsinky sobre Poison
Centres Notification (PCN), portal muy similar al Servicio de Información Toxicológica
(SIT). Dicha reunión se centró esencialmente sobre seguridad tanto externa como interna
entre los participantes de la aplicación. Además, se trató la integración del PCN con la
aplicación SIT, por lo que fue de gran interés para la SGNTJ.
 Gartner Security & Risk Management Summit 2019 (Londres) celebrado en
septiembre de 2019. Cumbre a la que asistieron más de 3.500 profesionales entre los que
se encuentran los principales CISOs y los mejores profesionales de la seguridad y la
gestión de riesgos. La cumbre proporcionó la información más reciente sobre nuevas
amenazas y tecnologías emergentes como la IA, el aprendizaje automático, el análisis y
la cadena de bloques, a la vez que ayudó a los asistentes a abordar la escasez constante
de personal calificado. La asistencia del CISO a este evento fue de gran importancia ya
que los conocimientos adquiridos contribuyen a mejorar la seguridad en el ámbito de las
nuevas tecnologías de la justicia.

Responsables del Ministerio de Justicia han participado como ponentes en el Taller Práctico
sobre Protección de Datos. El LAJ y la Protección de Datos. El Reglamento 2016/679.
El “Secreto de Actuaciones”. Los Medios de Comunicación. Cuestiones prácticas,
organizado por el Centro de Estudios Jurídicos en octubre de 2019. Por parte de la SGNTJ,
se ha intervenido en las ponencias sobre la seguridad electrónica en el tratamiento de los
datos personales, así como la perspectiva tecnológica en la aplicación de las tecnologías
disruptivas en la Administración de Justicia.
Por lo que se refiere al personal de desarrollo y de la Oficina de Seguridad se asiste de
forma regular a las jornadas formativas del CCN:
 Jornadas públicas STIC CCN-CERT, organizadas por el Departamento de
Ciberseguridad del Centro Criptológico Nacional con periodicidad anual.
 Jornadas para Administraciones Públicas como usuarias del Sistema de Alerta
Temprana para la detección rápida de incidentes y anomalías dentro del ámbito de la
Administración (de la red SARA y de los accesos a Internet de los distintos organismos)
que permite detectar todo tipo de ataques, evitando su expansión, respondiendo de forma
rápida ante el incidente detectado y, de forma general, generando normas de actuación
para evitar futuros incidentes.
 Cursos de formación ad hoc para el personal funcionario de la SGNTJ (Gestión de
Seguridad de las Tecnologías de la Información y Comunicación y del Esquema Nacional
de Seguridad, Seguridad en Redes Inalámbricas, Gestión de Incidentes de
Ciberseguridad, Seguridad en Infraestructuras de Red, Auditorías de Seguridad TIC,
Esquema Nacional de Seguridad, Análisis y gestión de riesgos, Seguridad en entorno
Linux, Windows, etc).
5.6.2 Plan de Concienciación en Seguridad
El Plan de Concienciación en Seguridad está dirigido tanto a personal de la administración
de justicia como a los equipos técnicos de la SGNTJ. El objetivo de este plan es doble, por
un lado, sensibilizar a los usuarios, es decir, concienciar e influenciar al profesional para que
recapacite y perciba la importancia de la Seguridad, y por otro, capacitar a los usuarios, es
decir, formar a los profesionales para que tengan la disposición y la aptitud para conseguir
aplicar la seguridad a su entorno.
El Plan de 8 semanas de duración, consiste en el lanzamiento de cuatro campañas de forma
progresiva para garantizar que los usuarios asimilen los principios de ciberseguridad. Cada
una de las campañas también tiene una permanencia determinada e incluyen varios
materiales de difusión y capacitación que irán apareciendo a lo largo del calendario
establecido: consejos prácticos y comunicados informativos por correo electrónico,
mensajes en el puesto de usuario, soportes publicitarios (banner) en la plataforma de
formación Aula en Línea, píldoras formativas y exhibición de cartelería en la sedes.
Los usuarios reciben en su correo electrónico una serie de materiales informativos entre los
que se encuentran consejos y comunicados con ejemplos reales que les ayudan a detectar
posibles engaños en la red, así como recomendaciones para evitarlos. También se
distribuyen carteles en las sedes y se difunden avisos al encender el ordenador con los
principales aspectos a tener en cuenta para proteger nuestra información.
Para la ampliación de información se incluye el enlace de acceso al Portal de Seguridad, que
incluye material audiovisual para afianzar el aprendizaje, permitiendo asimilar las
recomendaciones sobre seguridad de forma ágil y entretenida. Como complemento, se ha
puesto a disposición de los usuarios varias infografías y vídeos tutoriales del Centro
Criptológico Nacional (CCN) relativos a buenas prácticas y claves para combatir la
desinformación y proteger nuestra cuenta corporativa en redes sociales.

Calendario Plan de Concienciación en Seguridad

 Campaña 1 “Refuerza tus contraseñas”
Campaña de 3 semanas de duración (1 a 18 de octubre de 2019), que promueve la
construcción de las barreras necesarias que permitan fortalecer la seguridad dentro del
ecosistema de la Subdirección General de Nuevas Tecnologías de la Justicia.
Poster con trucos y recomendaciones para crear contraseñas seguras y su protección

 Campaña 2 “La Seguridad empieza por ti”
Campaña de 2 semanas de duración (21 a 31 de octubre de 2019), que tiene como misión
concienciar a las personas de que la seguridad informática empieza por uno mismo. Pretende
ofrecer al usuario las herramientas necesarias para combatir la desinformación y protegerse
de los ciberataques más comunes que recibe a diario a través de redes sociales, correo
electrónico, sitios web, llamadas y sms.
La acción gira en torno al eje de la ingeniería social al constituir ésta uno de los métodos más
usados para obtener información confidencial y comprometer la seguridad de nuestra
información.
Póster con recomendaciones para protegerse de la ingeniería social

 Campaña 3 “Puesto de Trabajo Seguro”
Campaña de 1 semana de duración (18 a 22 de noviembre de 2019) que se crea para
promover la construcción de las barreras necesarias que permitan fortalecer la seguridad
dentro del ecosistema de la Subdirección General de Nuevas Tecnologías de la Justicia.
Facilita las claves y recomendaciones sobre tres puntos:
- Escritorio de Trabajo (Bloqueo del PC y la importancia de tener una mesa
despejada, sin documentos confidenciales).
- Navegación (Conocer direcciones de confianza, ficheros descargados, cerrar la
sesión, limpiar el historial).
- Correo electrónico, (claves para la utilización del correo electrónico de manera
responsable y cauta.
Póster con recomendaciones para fomentar la cultura de Ciberseguridad en el puesto de

trabajo

 Campaña 4 “Protege tu portátil y tu móvil con total seguridad”
Campaña de 2 semanas de duración (9 a 20 de diciembre de 2019) con el objetivo de
concienciar a los usuarios sobre la importancia de proteger la información y documentos en
nuestros dispositivos. Y de esta forma conseguir reflexionar sobre dónde se guarda y la
importancia de hacer copias de la misma con precaución y de forma responsable, además
de fomentar la cultura de ciberseguridad en la organización, dando las claves y
recomendaciones sobre tres puntos: Dispositivos, discos y USB; custodiar los equipos y
bloqueo mediante pin/otro.
5.7 Cumplimiento ENS

El Plan Director de seguridad está enfocado al cumplimiento del Esquema Nacional de
Seguridad y resto de normativa a la que estamos obligados.
Para dar cumplimiento a la legislación aplicable en materia de protección de datos de carácter
personal, se debe, en parte, identificar la información con datos de carácter personal, realizar
la evaluación de impacto, el análisis de los riesgos e identificar las medidas de seguridad a
aplicar recogidas en el ENS.
Por otra parte, para dar cumplimiento al ENS y al EJIS se debe realizar el Análisis de riesgos
sobre los sistemas de información que soportan los servicios e información en el ámbito de
estas normas.
Esto supone que con el Análisis de Riesgos de los sistemas de información que dan
soporte a los servicios prestados por el Ministerio de Justicia en el ámbito de la
Administración de Justicia tenemos la base para el cumplimiento de la normativa que
estamos obligados a cumplir: RGPD, LOPDGDD, ENS y EJIS.
5.8 Proyectos para una mejor protección de datos

Adicionalmente se está trabajando en proyectos específicos que redundan en una mejor
protección de los datos como son la estrategia de identidad digital y el proyecto de
anonimización de documentos judiciales.
5.8.1 Estrategia de Identidad Digital

Establecer quién, cómo y cuándo puede acceder a los activos de información, así como
registrar convenientemente dichos accesos es fundamental dentro del cumplimiento de la
política de seguridad de la SGNTJ, máxime en el contexto actual de la Administración de
Justicia caracterizada por la heterogeneidad y el elevado número de usuarios que deben
acceden a múltiples sistemas de información y servicios TIC.
Existe, por tanto, la necesidad de gestionar la complejidad creciente en la gestión de los
accesos de los usuarios a los sistemas informáticos de la SGNTJ, asegurando que sólo
acceden a la información las personas o colectivos que por sus funciones laborales así lo
necesiten.
Con el fin de proteger la identidad digital de los usuarios de la Administración de Justicia,
mediante este proyecto se contempla todo el ciclo de vida de dicha identidad; tanto la fase de
identificación como la de autorización, y teniendo en cuenta en cada momento el perfil del
puesto de trabajo asociado a cada usuario, en cada una de las soluciones y herramientas
puestas a su disposición.

Pretende dotar a los usuarios de la Administración de Justicia de una identidad
única admitida y válida en todos los sistemas para la gestión de forma segura,
óptima y eficiente de la gestión de los usuarios en las aplicaciones.
Estrategia de identidad digital

Gobierno de la Identidad Digital y Gobierno Único de los privilegios de acceso de la
Administración de Justicia.
Contribución a Creación y aprovisionamiento único de cuentas de usuario
estrategia de la Optimizar y automatizar los procesos de concesión de permisos
SGNTJ Garantizar la confidencialidad, integridad y la disponibilidad de la información
Segregación de funciones y mínimos privilegios
Interoperabilidad con terceros estamentos.
 Mejora de la Usabilidad y la Productividad: unificación de credenciales, gestión
Delegada del personal y gestión de recursos a través del Catálogo de Servicios de
Gestión de Identidades
 Procesos de autenticación robusta
 Automatización y optimización: eficiencia operativa por reducción de los tiempos
de respuesta en las asignaciones de accesos. Asignación de permisos gobernada
por el estado y por los atributos de la identidad
Beneficios  Agilidad Empresarial: Facilita la movilidad de los usuarios geográfica o funcional

 Reducción de costes de CAU y Explotación: reducción de Incidencias y mejora
de la calidad y nivel de servicio
 Control y Normalización del proceso de creación y gestión sobre los privilegios
de acceso otorgados: adecuar los accesos y permisos a la categoría profesional y
a la oficina judicial y fiscal dinámicamente. Visibilidad real y total de accesos alineada
con el Negocio. Reducción de Infraestructura
 Crecimiento controlado
 Cumplimiento normativo: Reforzamiento de la Seguridad
Actualmente se han conseguido lo siguientes avances:
 Identificador único
 Aprovisionamiento y creación automático de identidades, gestión de bajas y traslados.
 Autenticación y control de Acceso, Logon único y transparente para el acceso a
distintas aplicaciones (Autenticación y SSO en 12 sistemas), acceso con certificados.
 Gestión centralizada y sincronización de contraseñas en 42 sistemas, autoservicio
para reseteo de contraseñas y notificaciones de caducidad.
5.8.2 Anonimización de documentos judiciales
Dentro de la investigación en la aplicación de tecnologías disruptivas en el ámbito de la
Administración de Justicia, se está estudiando el desarrollo y aplicación de los algoritmos
precisos para automatizar actividades tales como: la categorización documental, la
identificación de entidades nominales inmersas en los documentos de un expediente, así
como el establecimiento de las relaciones entre las mismas, anonimizando los documentos
de forma instantánea, así como la obtención de cualquier otro valor que se vaya identificando
de carácter automatizable.

El objetivo es desarrollar un sistema que basado en el análisis de datos y patrones,
sea capaz de producir documentos legibles que no contengan datos personales de
aquellas personas físicas que son susceptibles de protección, es decir, proteger
los datos personales de los documentos judiciales que los órganos judiciales
hacen públicos con las máximas garantías de publicidad, transparencia y
seguridad posibles.
Al respecto ya disponemos de los patrones capaces de detectar las entidades nominales que
aparecen en los distintos documentos que integran los Expedientes Judiciales Electrónicos,
así como de la tecnología que permite deconstruir y construir documentos pdf y distintas
técnicas de anonimización (por ocultación, soslayado o sustitución).
5.9 CTEAJE: Política de Seguridad de la información de la

Administración Judicial Electrónica
Dadas las peculiaridades de la Administración de Justicia, a la que asiste la SGNTJ dotándola
de medios tecnológicos de sistemas de información, que además de garantizar la seguridad
de la información que trata, ha de mantener su independencia respecto a los otros poderes
del estado, la SGNTJ, en colaboración con el Consejo General del Poder Judicial (CGPJ) y
con el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE), está
impulsando el desarrollo conjunto de una política de seguridad de la Administración de
Justicia, así como de su normativa asociada y de los controles requeridos de verificación y
cumplimiento.
Dentro del Grupo de Trabajo Bases de Interoperabilidad y Seguridad del CTEAJE
(https://www.cteaje.gob.es), se abrió una línea de trabajo de “Seguridad” para trabajar en la
Guía Técnica de Seguridad y una Política de Seguridad para la Administración de Justicia
bajo las siguientes premisas:
El Grupo de Trabajo BIS Seguridad acuerda que la Política de Seguridad debe ser única
para la Administración de Justicia. Asimismo, se aprueba que el Grupo de Trabajo
constituya el punto de encuentro para la elaboración, seguimiento, desarrollo de la normativa
de seguridad; resolución de conflictos técnicos; elaboración de informes preceptivos y debe
aunar a todos los responsables de seguridad que se hayan nombrado dentro de cada
organización para que las directrices que se marquen desde este órgano se trasladen a cada
una de las administraciones.
 El Pleno del CTEAJE en la sesión celebrada el 30 de octubre de 2019 aprobó la

Política de Seguridad de la información de la Administración Judicial
Electrónica presentada por el Ministerio de Justicia para su estudio por el Grupo de
Trabajo BIS Seguridad del CTEAJE.
 Actualmente, se está trabajando en el desarrollo de la Guía Técnica de Seguridad
de obligado cumplimiento.
5.10 Grado de riesgo y complejidad de los tratamientos

La dificultad para adaptarse a las exigencias del derecho a la protección de datos es mayor
en el ámbito de la Administración de Justicia, pues a las normas estrictamente dirigidas a la
protección de datos, hay que sumar las normas orgánicas y procesales, que complican la
cuestión. No siempre es fácil conciliar ambos cuerpos de normas, especialmente
cuando hay que complementar el derecho fundamental a la protección de datos y los

derechos fundamentales a la tutela judicial efectiva y a un proceso con todas las
garantías, y el conjunto de derechos fundamentales que los rodean.
Los datos personales están presentes en las actuaciones judiciales y en otros muchos
aspectos de funcionamiento de la Administración de Justica como los registros públicos de la
actividad judicial, los cuales permiten llevar a cabo diligencias fundamentales de apoyo a la
actividad jurisdiccional y para la investigación criminal.
En definitiva, se ven afectados ciertos datos personales, bien sean relativos a las partes,
delincuentes o víctimas de los delitos, y algunos de ellos especialmente protegidos como en
los supuestos de víctimas de violencia de género, o bien pertenecientes a terceros, como
testigos, peritos, abogados u otros colaboradores de la Administración de Justicia. Además,
muchos de esos datos afectan a cuestiones relativas a la ideología, afiliación sindical, religión
o creencias, se refieren al origen racial, salud o vida sexual de las personas, o a la comisión
por éstas de infracciones penales o administrativas.
Así pues, el grado de riesgo y complejidad del tratamiento de los datos que efectúa
la SGNTJ tiene una particular importancia, tanto por el volumen de tratamiento de
datos, y cuyo origen puede ser muy diverso (documentos de texto, grabaciones de
audio, videos,…), como por tratarse, en la mayoría de casos, de datos sensibles y
especialmente protegidos.
5.10.1 Nuevas oportunidades: Tecnologías disruptivas y Explotación de los datos

Tal y como se ha expuesto, este creciente volumen de datos, la variedad de información de
que disponemos en la actualidad y que los nuevos sistemas tecnológicos permiten el
procesamiento de los datos a gran velocidad, nos permite plantearnos nuevos objetivos
basados en el potencial de la aplicación de las tecnologías basadas en Inteligencia
Artificial, así como en la explotación de los datos consustancial a las políticas de
Justicia Abierta, los cuales pueden contribuir de forma notable a una mejora en la Justicia.
En particular se abren numerosas oportunidades:
 Facilitar y agilizar la actividad de la oficina judicial ahorrando tiempo y recursos a
la Administración de Justicia. Con la utilización de sistemas inteligentes y
automatizados y la aplicación de análisis semánticos sobre los documentos y expedientes
judiciales, es posible la identificación de los datos clave y revisión ágil de los
procedimientos, realizar trabajos repetitivos de forma precisa y rápida, relacionar la
legislación que afecta a expedientes similares, determinar su naturaleza jurídica y
proponer fundamentos jurídicos a aplicar, entrenamiento en materia concretas, etc.
 Apoyo a la toma de decisiones judiciales y asistencia a la investigación judicial y
fiscal. El objetivo es facilitar conocer, relacionar e interpretar de forma rápida y precisa
cuestiones de todo tipo en base a la información almacenada en distintas bases de datos,
contribuir a la unificación de criterios de decisión, reducir la posibilidad de errores y lograr
mayor precisión en las decisiones judiciales.
 Acercar la justicia a los operadores jurídicos, personas jurídicas y ciudadanos
avanzando en el concepto de justicia inteligente y abierta. El objetivo es facilitar y
orientar a los beneficiarios de la Administración de Justicia, de información básica,
trámites e interacciones habituales en el ámbito judicial. Ofrecer respuestas
personalizadas a determinadas consultas, asistir en cuestiones más complejas y análisis
de posibles respuestas judiciales a partir de antecedentes y patrones de respuestas de
casos similares.

Con este fin, la SGNTJ ha adoptado un programa estratégico relativo a la adopción de
tecnologías disruptivas y ha creado un Laboratorio de Innovación, encargado de analizar
qué aplicaciones podrían tener dentro del ámbito de la Justicia las tecnologías existentes de
Big Data, aprendizaje automático, inteligencia artificial y biometría. Fruto de dicho análisis, se
han esbozado una serie de proyectos en los que se podría apoyar la transformación del
funcionamiento de la Administración de Justicia en los próximos años.
Es fundamental tener en cuenta que un requisito imprescindible de muchos de los
proyectos de Inteligencia Artificial es el uso de datos reales para poder alimentarse de
los mismos y así establecer patrones de conducta y tratar de manera automática la
información. El uso de datos y experiencias reales sirve a los procesos de aprendizaje
automático para aprender y tener mejores resultados en las siguientes ejecuciones del
mismo. Este uso de documentos reales para el desarrollo de estas tecnologías, en ningún
caso puede implicar desatención a las normativas reguladoras en materia de protección de
datos.
La utilización de documentos judiciales reales por el Laboratorio de Innovación para realizar
pruebas y análisis de datos con tecnologías de Big Data, Inteligencia Artificial y Machine
Learning podría considerarse, respecto de los datos personales contenidos en esos
documentos, como un tratamiento para fines de investigación científica, que justificaría el
acceso a los mismos. Si bien, mediante la adopción de medidas destinadas a la supresión de
los datos personales de los documentos judiciales se debe garantizar la protección y
privacidad del tratamiento de dichos datos a través de medios técnicos e informáticos, dando
cumplimiento a la regulación aplicable.
En este sentido, se están analizando distintas líneas de actuación:
 Asegurar la privacidad: anonimizar los datos de las identidades reales para crear
conjuntos de datos anónimos. Mediante la adopción de técnicas destinadas a la supresión
de los datos personales de los documentos judiciales se debe garantizar la protección y
privacidad del tratamiento de dichos datos a través de medios técnicos e informáticos,
dando cumplimiento a la regulación aplicable.
 Información y consentimiento: dada la necesidad de utilizar documentos y expedientes
judiciales, los responsables de los datos, es decir, los órganos y oficinas jurisdiccionales,
deben estar informados de ese tratamiento, de las condiciones del mismo y sus medidas
de seguridad.
 Análisis de calidad: Una vez que se disponga de acceso a los datos reales, y se realicen
las diferentes técnicas de extracción y preparación de los datos, será necesario el análisis
de la calidad de los datos obtenidos. Es importante tener en cuenta que hasta que no se
analicen dichos datos, no se podrá conocer el alcance de los mismos, por lo tanto, hasta
entonces no sabremos qué proyectos estamos en condiciones de abordar y cuáles no.
 Apoyo de grupo de expertos de la Administración de Justicia: como requisito
imprescindible para abordar con éxito estos proyectos, es contar con el apoyo de un grupo
de expertos de la Administración de Justicia (jueces/magistrados, fiscales y letrados de la
administración de Justicia), que trabajen en colaboración con el personal técnico para ir
definiendo las funcionalidades, detectando mejoras, en definitiva, que colaboren en la
construcción de los nuevos sistemas que van a servir de apoyo a la actividad judicial.
aportando su experiencia en la materia. Al respecto se está trabajando en el marco de
cooperación instaurado en el CTEAJE.
 Reformas legislativas: será necesario acometer reformas legislativas para adaptar los
procesos y las metodologías de tramitación a las exigencias del cambio de escenario
digital de los tiempos venideros es capital.

 Gobernanza de los datos: es fundamental impulsar una gobernanza de los datos y de la
información que refuerce el desarrollo de una Justicia abierta, inteligente e inclusiva. En
este sentido, es clave tanto la adopción de tecnologías de Inteligencia Artificial para
potenciar y mejorar los derechos de acceso de los ciudadanos y simplificar burocracia,
como la capacidad de dar una respuesta efectiva al reto de la privacidad de los datos
sensibles de los ciudadanos.
5.10.2 Continuidad de los servicios
Hay que referirse también a la criticidad que supone mantener la continuidad de los
servicios prestados por la SGNTJ ya que la falta de disponibilidad provocaría un gran
impacto en los usuarios de los mismos, que no sólo son los órganos judiciales, sino que
implica a Fuerzas y Cuerpos de Seguridad del Estado, personal sanitario y, a todos los
ciudadanos en algunos casos, pudiendo producirse un quebrantamiento del derecho a la
tutela judicial efectiva. Muchos de los servicios se prestan a todo el territorio nacional, 24
horas al día, todos los días del año. Entre los servicios más críticos están:
 El servicio del Expediente Judicial y Fiscal Electrónico.
 Servicio de Comunicaciones Electrónicas.
 Servicio de Información Toxicológica a ciudadanos y personal sanitario en caso de
emergencias por casos de intoxicación toxicológica.
 Servicio de consulta de antecedentes penales, órdenes de protección y medidas
cautelares por parte de órganos judiciales y de las Fuerzas y Cuerpos de Seguridad del
Estado. Servicio de consulta de las resoluciones firmes por la comisión de un delito de
carácter sexual que impongan penas o medidas de seguridad. Servicio de intercambio de
información relativa a antecedentes penales que afecten a los países europeos miembros
ECRIS (European Criminal Records Information System) etc.
La heterogeneidad de los servicios prestados a la Administración de Justicia depende de sus
infraestructuras tecnológicas, las cuales, deben estar a la altura de sus requerimientos y
deben contar con las máximas garantías ante diferentes contingencias. Para dar soporte a
los distintos proyectos de transformación digital ejecutados, el Ministerio de Justicia ha
realizado una importante inversión en reforzar la capacidad tecnológica y dotar de una
arquitectura robusta y segura con la Modernización integral de los Centros de
Procesos de Datos (CPDs) y de la infraestructura de las sedes judiciales del ámbito
territorial del Ministerio de Justicia.
Las líneas de actuación se han desarrollado aplicando las últimas tecnologías existentes y se
extienden, entre otras, a Data Center, Salas Técnicas, Servidores Físicos y Plataforma de
Virtualización, Almacenamiento de Larga Duración, Bases de Datos y Seguridad Perimetral.
De este modo se proporciona cobertura a las actuales líneas de trabajo y a las necesidades
futuras bajo los principios de eficiencia, productividad y calidad.
De este modo, el Ministerio de Justicia dispone de nuevos servicios, mejoras en eficiencia y
reducción de costes. Se ha conseguido un incremento en todos los parámetros (capacidad
de computación, capacidad de almacenamiento, capacidad de comunicación) que supera
1.900% en media de la capacidad de la infraestructura (casi 20 veces más).

Modernización, transformación y mejora del almacenamiento y capacidad de
cálculo del CPDs.
 Un incremento de 2.406% en computación con respecto a 2011, valorando
equipamiento hardware energéticamente más eficiente, sin perjuicio del rendimiento
y productividad. A modo de ejemplo: un chasis actual permite una capacidad de
memoria y procesamiento 3 veces superior al equipamiento antiguo, con la misma
huella y sin incremento de consumo energético y/o calor.
 Un incremento de 1.380% en almacenamiento con respecto a 2011. En concreto,
en la elección de la solución técnica se ha optado por la utilización de discos de estado
sólido que supone una reducción significativa del calor emitido y el consiguiente
ahorro energético por la reducción de frigorías en los CPD’s.
 Optimización de los tiempos de funcionamiento y gestión de sus copias de
seguridad y en consecuencia de los tiempos invertidos en las actuaciones de puesta
en marcha, parada y recuperación de las Bases de Datos.
 Mejora la gestión eficiente de la capacidad de procesamiento, memoria y
computación.
 Mejora de la capacidad de intercambio de datos y disponibilidad ante fallos,
multiplicando por 10 la capacidad de mover datos entre los servidores de las CPDs a
100 GBps por segundo.
 Se dispone de instalaciones de contingencia en caso de caída de suministro
eléctrico (SAIs y grupo electrógeno) adaptado a las necesidades del Ministerio de
Justicia, y a las restricciones de los edificios.
 Modernización de la infraestructura de comunicación y enrutado en los CPDs,
Renovación de conmutadores de red en las Sedes de la Nueva Red de Justicia,
Modernización y alta disponibilidad de cortafuegos perimetrales y proxies en los
CPDs. Además de multiplicar por 10 la capacidad de las líneas troncales, permite
automatizar y simplificar la gestión de políticas de red, aprovechando la flexibilidad de
las redes definidas por software, así como proporcionar mayor seguridad perimetral y
en la navegación de Internet.

6 RESULTADOS
Protección efectiva de la información de los expedientes judiciales electrónicos
mediante el Servicio de Auditoria.
El Servicio de Auditoría ha realizado un total de 82 auditorias: 54 de aplicaciones y/o servicios,
9 de puesto de trabajo y 19 de infraestructura sobre un total de 379 activos.
Durante 2019 se han realizado 52 auditorias: 34 de aplicaciones y 18 de infraestructura (9 de
puesto de trabajo y 9 de infraestructura).
Eficiencia y eficacia en la gestión de incidentes.
Creación de un grupo especializado en ciberseguridad y dotación de las herramientas
específicas para el análisis, detección y respuesta de ciberamenazas. En estos momentos
está en fase de crecimiento.
Con la implantación de este nuevo Servicio, se ha incrementado la detección de incidentes
alcanzando un valor de 85 detectados durante el mes de octubre.
Cumplimiento de la legislación vigente en materia de seguridad
Creación de un grupo especializado en el desarrollo de medidas basadas en el Esquema
Nacional de Seguridad (ENS) y en el Reglamento General de Protección de Datos. Las
principales acciones que desempeña este equipo son:
 Análisis de riesgos: Se ha realizado un 33% del total de análisis de riesgos (47 sistemas
identificados).
 Normativa: Implantación de las medidas de seguridad, operaciones y de protección que
establece el ENS. El proyecto abarca un total de 75 medidas que deben ser observadas
y actualmente se encuentra en un 36% de avance aproximado.
 Proyectos: elaboración de soluciones procedimentales que surgen de la evolución
tecnológica en la que está alineada esta Subdirección.
Adopción e Implantación de nuevas tecnologías basadas en el porfolio de servicios
del CNI-CCN que facilitan la gestión de medios y servicios enfocados a proporcionar
una mejora en la seguridad
 ANA (gestor de vulnerabilidades)
 LUCIA (gestor de incidentes)
 Correo Seguro (Sistema AS/AV de nueva generación)
 GLORIA (Gestión, procesado y correlación de logs)
 MARTA y MARIA (análisis de códigos maliciosos)
 CARMEN (Detección de Amenazas Persistentes Avanzadas)
 CLAUDIA (Detección de Amenazas en el Puesto de Trabajo)
 Sondas SAT-SARA y SAT-INET (Detección de intrusiones)
 REYES (Intercambio de ciberinteligencia)
 Seguridad Perimetral (Renovación tecnológica)

7 BENEFICIOS
El Ministerio de Justicia ha realizado un importante esfuerzo con el fin de desarrollar y
consolidar el proceso de transformación digital de la Administración de Justicia y avanzar en
el compromiso constante para crear una cultura de seguridad en todos los niveles de la
organización. En estos cinco años, los usuarios de la Administración de Justicia, los
profesionales que se relacionan con ella y los ciudadanos están experimentado una
transformación más profunda que en los últimos cien años.
El cambio de paradigma de una organización con orientación a silos hacia una estructura
colaborativa, ha sido uno de los pilares que ha sustentado la estrategia global de seguridad
integrándose en el proceso rutinario de gestión, de modo que todos los elementos del sistema
de seguridad son eficaces y nos aportan importantes beneficios y capacidades:
 Una visión global y realista del estado de la seguridad puesto que nos permite
conocer: el inventario pormenorizado de todos los activos (servicios de negocio, servicios
transversales, aplicaciones y de la información que se trata), su interrelación y valor; la
situación real de las condiciones en que se trabaja y aquello que es importante y crítico.
De manera que es posible detectar lo que se debe mejorar o cambiar y sirve de base para
la toma de decisiones estratégicas y establecer prioridades.
 Capacidad para implementar medidas eficaces y eficientes de protección ante
amenazas e incidentes para asegurar que se cumplen los objetivos específicos de
seguridad de la información y que se cumplen las metas del Ministerio de Justicia.
 La monitorización continua de los activos de la SGNTJ permite la detección temprana
de anomalías e incidentes ofreciendo la posibilidad de llevar a cabo las acciones
necesarias antes de que se ocasionen daños significativos.
 Capacidad de reacción proporcional y metódica a los incidentes ocurridos. Las
actuaciones están ordenadas y organizadas para que los potenciales problemas se
analicen y comuniquen con agilidad hacia el nivel de decisión, de manera que se pueda
realizar el tratamiento oportuno y adoptar las medidas idóneas, ya sean medidas técnicas
u organizativas.
 Los procedimientos implementados cuando se detecta un incidente proporcionan
información suficiente para su calificación y permite priorizar las acciones de contención
adecuadas mientras se desarrollar una estrategia apropiada para devolver la operación
a su estado óptimo en un tiempo razonable.

Los proyectos que integran el proceso de transformación digital han recibido los
siguientes premios y reconocimientos:
 Premio Aslan 2015 por el proyecto Implantación del Expediente Judicial Electrónico
en la Sala de lo Contencioso-Administrativo de la Audiencia Nacional en la categoría
“Administración Central Servicios Digitales”.
 Premios Administración Judicial Electrónica 2015 Fundación SOCINFO por el
proyecto Proceso de implantación de la presentación telemática de escritos a través
del Sistema de Gestión de Comunicaciones telemáticas LexNET.
 Premios Administración Judicial Electrónica 2015 Fundación SOCINFO por el
proyecto Mejora Tecnológica del Registro Central de Medidas Cautelares,
Requisitorias y Sentencias no firmes.
 Premios SPOUG (Spain Oracle Users Group) 2015 Premio por la aplicación de
tecnología Oracle y sus capacidades de encriptación y seguridad en sus Bases de
Datos, en la Categoría Impacto Empresarial/Institucional.
 Premio Aslan 2017 al proyecto Generalización de las Comunicaciones Electrónicas
en la Administración de Justicia en la categoría “Interoperabilidad eficiente”.
 Premios CNIS 2017 (Congreso Nacional de Innovación y Servicios Públicos) por el
proyecto Sistema informático de soporte a la gestión del Registro Central de
Delincuentes Sexuales en la categoría “Proyecto consolidado en interoperabilidad”.
 Certificado de Buenas Prácticas EPSA 2017 al proyecto Justicia Digital.
 Premio AUTELSI 2018, por el proyecto Justicia Digital como mejor iniciativa
tecnológica en el sector público.
 Premio Aslan 2018 por el proyecto Justicia Digital del Ministerio de Justicia en la
categoría “Mejora de la Productividad”
 VI edición Premios EnerTIC Awards 2018. Mejor directivo en el sector de la
Administración Pública Central para el Subdirector General de Nuevas Tecnologías
de la Justicia.
 Premios ComputerWorld 2018 a la Transformación Digital.
 Premio Data Center Market 2019 por el proyecto de Modernización del CPD.
 IX Congreso Nacional de Innovación y Servicios Públicos (Premios CNIS 2019).
Premio Proyecto consolidado en Interoperabilidad por el proyecto Remisión
Electrónica de Expedientes Administrativos.
 Premio CIO SUMMIT 2019 en la categoría “Proyecto de Data Governance (Data
Management) para obtener valor a través del dato por la estrategia de transformación
digital.
Premios European Crystal Scales of Justice 2019 del Consejo de Europa: Mención
especial por el proyecto Justicia Digital.


Justicia Digital - Vision 360 - Nov2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Justicia Digital - Vision 360 - Nov2019

Cargado por

Copyright:

Formatos disponibles

Justicia Digital: la visión

5 BUENAS PRÁCTICAS EN EL CUMPLIMIENTO DE LA NORMATIVA. ACTUACIONES

La Secretaría General de la Administración de Justicia que depende directamente de la

La Subdirección General de Programación de la Modernización (SGPM): entre sus

La Subdirección General de Nuevas Tecnologías de la Justicia (SGNTJ) es el órgano del

A través de la SGNTJ, el Ministerio de Justicia presta servicios tecnológicos a Juzgados y

Desde el punto de vista territorial, el ámbito de gestión se extiende a las Comunidades

En cuanto a las 12 Comunidades Autónomas con competencias transferidas se establecen

Esquema relación de la SGNTJ con sus principales agentes

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 2

Catálogo de Servicios SGNTJ

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 3

El plan estratégico para la aceleración de la transformación digital consolidado procura una

El desarrollo y ejecución del Plan estratégico ha requerido la adopción de legislación

Para hacerlo posible, el compromiso de la SGNTJ, tanto con el proceso de transformación

En primer lugar ha redefinido su misión “Mejorar la Justicia a través de la tecnología”,

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 4

Además, el reto más importante en el proceso de transformación digital pasa por la

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 5

El resultado de la digitalización de la Justicia ha supuesto la llegada al siglo XXI de una

Ecosistema Justicia Digital

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 6

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 7

Justicia Digital consiste en la dotación a los órganos judiciales y fiscalías de un sistema de

Los elementos claves de la innovación se detallan en los siguientes apartados.

3.1 Generalización de las Comunicaciones Electrónicas

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 8

Mapa Comunicaciones Electrónicas

3.2 Tramitación electrónica en Órganos Judiciales y Fiscalías

Para hacer realidad la tramitación electrónica y llevar a cabo la tramitación y seguimiento de

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 9

Solución tecnológica y operativa Justicia Digital

3.3 Procesos organizativos y procesales

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 10

3.4.1 Fase I y II (enero a diciembre de 2016)

3.4.2 Fase III (2017 y 2018)

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 11

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 12

TOTAL 1.454 9.222 8.618 93% 41.816 5.136 Alto - 4,08

Presencial 232 848 805 95% 3.979 284 Alto - 4,21

Cargador de Expedientes 6 130 116 89% 348 103 Alto - 4,01

Visor de Expedientes 155 260 224 86% 474 95 Alto - 4,54

 En octubre de 2018 se puso en marcha el Plan de Mejora de la Calidad de los Servicios

3.5.1.3 Soporte a Profesionales y operadores jurídicos

 En enero de 2016 se creó el portal Web http://lexnetjusticia.gob.es como herramienta

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 13

3.6 Transformación Digital del Puesto de Trabajo

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 14

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 15

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 16

A fin de garantizar la máxima eficiencia y madurez de este proceso de transformación digital,

A día de hoy, la SGNTJ cuenta con un Director de Seguridad de la Información, CISO, y un

Los proyectos de transformación digital desarrollados por el Ministerio de Justicia han

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 17

Consecuentemente, el Ministerio de Justicia, con el objeto de gestionar adecuadamente la

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 18

Esta estrategia sostenida por un conjunto de medidas de orden organizativo y tecnológico,

En el ámbito organizativo se lleva a cabo la transformación organizativa de la SGNTJ para

En el ámbito tecnológico, se define el Plan Director de Seguridad estructurado en 3 líneas

4.2 Medidas organizativas

27/11/2019 Justicia Digital: la visión 360º de la Seguridad - Ministerio de Justicia 19

Además se definen nuevos roles y responsabilidades en coherencia con la nueva

Creación de la estructura de gobierno integrada por 8 comités ejecutados