Documentos de Académico
Documentos de Profesional
Documentos de Cultura
360º de la Seguridad
Ministerio de Justicia
27 de noviembre de 2019
Índice
1 PRESENTACIÓN ............................................................................................................................ 3
2 CONTEXTUALIZACION: ESTRATEGIA DE TRANSFORMACIÓN DIGITAL ................................ 4
3 PROGRAMA JUSTICIA DIGITAL ................................................................................................... 8
3.1 GENERALIZACIÓN DE LAS COMUNICACIONES ELECTRÓNICAS .................................................................... 8
3.2 TRAMITACIÓN ELECTRÓNICA EN ÓRGANOS JUDICIALES Y FISCALÍAS .......................................................... 9
3.3 PROCESOS ORGANIZATIVOS Y PROCESALES ........................................................................................... 10
3.4 PROCESO DE IMPLANTACIÓN.................................................................................................................. 11
3.4.1 Fase I y II (enero a diciembre de 2016) ........................................................................................................... 11
3.4.2 Fase III (2017 y 2018) ...................................................................................................................................... 11
3.5 CAMBIO CULTURAL ................................................................................................................................ 12
3.6 TRANSFORMACIÓN DIGITAL DEL PUESTO DE TRABAJO ............................................................................ 14
3.7 RESULTADOS Y DATOS DE USO .............................................................................................................. 15
4 VISIÓN 360º DE LA SEGURIDAD ................................................................................................ 17
4.1 RETOS .................................................................................................................................................. 17
4.2 MEDIDAS ORGANIZATIVAS ...................................................................................................................... 19
4.2.1 Reestructuración organizativa ......................................................................................................................... 19
4.2.2 Consultoría y asesoramiento especializado .................................................................................................... 21
4.2.3 Creación de la Oficina de Seguridad ............................................................................................................... 22
4.3 MEDIDAS TÉCNICAS. PLAN DIRECTOR DE SEGURIDAD............................................................................. 23
4.3.1 Primera Línea de Defensa. Puesta en servicio del Centro de Operaciones de Ciberseguridad (SOC) .......... 24
4.3.2 Segunda Línea de Defensa. Modelo de prestación de servicios para el cumplimiento normativo de seguridad
28
4.3.3 Tercera Línea de Defensa. Verificación del cumplimiento .............................................................................. 31
6 RESULTADOS .............................................................................................................................. 51
7 BENEFICIOS ................................................................................................................................. 52
1 PRESENTACIÓN
El Ministerio de Justicia español es el encargado de preparar y ejecutar la política del gobierno
para el desarrollo del poder judicial, incluyendo la organización y el apoyo a la administración
de justicia. Sobre la base de la Ley 18/2011, el Ministerio de Justicia desarrolla y promueve
la implementación del programa de Justicia Digital.
Funciones de la SGNTJ
La planificación estratégica, la dirección y la ejecución de la modernización
tecnológica de los juzgados y tribunales, del Ministerio Fiscal y de los registros
administrativos de apoyo a la actividad judicial, así como la coordinación de las
actuaciones en esta materia con otras administraciones, órganos del Estado,
corporaciones profesionales e instituciones públicas.
El impulso y la gestión de los expedientes de contratación de tecnologías de la
información y comunicación del ámbito de competencias de la Secretaría General de
la Administración de Justicia.
Actualmente, la SGNTJ presta servicio a 20.000 funcionarios (de los cuales 15.000
corresponden a usuarios directos como jueces, fiscales, letrados de la Administración de
Justicia y demás funcionarios, y 5.000 ponderados por el servicio prestado a las comunidades
autónomas transferidas), y a más de 270.000 profesionales de la Justicia (abogados,
procuradores, graduados sociales, fuerzas y cuerpos de seguridad del estado, centros
sanitarios, etc.). Uno de sus objetivos fundamentales es la plena incorporación de las
Tecnologías de la Información y Comunicación, así como los servicios de administración
electrónica que transformen digitalmente la Administración de Justicia en una administración
eficaz, eficiente, innovadora y enfocada a la ciudadanía y los profesionales. La cobertura del
Servicio se extiende a numerosos colectivos e instituciones.
En los últimos 5 años, la modernización de la Justicia ha constituido una de las acciones clave
impulsadas por el Ministerio de Justicia con el objetivo de conseguir una transformación
integral y efectiva de la Administración de Justicia utilizando las Tecnologías de la Información
y Comunicación como aliadas y basadas en el conocimiento y la innovación.
Desde un punto de vista organizativo, ha sido necesario el trabajo colaborativo con otras
unidades del Ministerio de Justicia para realizar los cambios necesarios en los procesos de
trabajo del personal al servicio de la Administración de Justicia, así como en su relación con
profesionales y ciudadanos, para adaptarlos al nuevo modelo de trabajo en digital.
Para hacerlo posible, se ha construido una infraestructura digital de primer orden, basada en
el poder del dato y que dota a los CPDs de la capacidad para proporcionar servicios en
El alcance del programa es proporcionar la gestión procesal electrónica en todos los órdenes
jurisdiccionales (civil, penal, social, y contencioso-administrativo) y todas las instancias
(etapas jurisdiccionales en los que se divide la presentación, estudio y resolución de todos
los asuntos que se presentan ante un tribunal de justicia) del ámbito territorial del Ministerio
de Justicia, incluyendo las Fiscalías.
Se establece un modelo de presentación de demandas y escritos por vía telemática, así como
el traslado de escritos y de notificaciones por la misma vía. El intercambio de información
procesal de forma electrónica reduce significativamente la entrada y salida de documentación
en papel en las oficinas judiciales y posibilita la integración con el Sistema de Gestión
Procesal constituyendo un elemento clave en la implantación del Expediente Judicial
Electrónico. Principales sistemas implicados:
Plataforma de comunicaciones electrónicas LexNET: actúa como enlace clave entre
los profesionales y organismos que se relacionan con la Administración de Justicia y los
Órganos Judiciales permitiendo el intercambio electrónico de información entre los
diferentes actores implicados. LexNET es un medio de transmisión seguro de información
que mediante el uso de técnicas criptográficas garantiza la presentación de escritos y
documentos y la recepción de actos de comunicación, sus fechas de emisión, puesta a
disposición y recepción o acceso al contenido de los mismos. Su capacidad para enviar y
recibir comunicaciones de forma bidireccional y su integración con el Sistema de Gestión
Procesal ha conseguido agilizar los tiempos de gestión de las comunicaciones y optimizar
los recursos utilizados.
Acceso interfaz Web (https://lexnet.justicia.es). Los colectivos de usuarios que
utilizan esta forma de conexión son los profesionales que actúan en el ámbito de la
Administración de Justicia. En concreto, Abogados, Procuradores, Graduados
Sociales, Cuerpo de Abogados del Estado, Letrados del Servicio Jurídico de la
Administración de la Seguridad Social, de las demás Administraciones públicas, de
las Comunidades Autónomas o de los Entes Locales, así como Sanidad Privada y
Administradores Concursales.
Acceso Servicios Web. Los colectivos de usuarios que utilizan esta forma de
conexión son: Policía Nacional, Guardia Civil, Consejo General de la Abogacía de
España, Consejo General de Procuradores de España, Hospitales Públicos, etc. Las
aplicaciones desarrolladas han de superar un proceso de homologación en el que se
verifica el cumplimiento del Real Decreto regulador de LexNet y la integración técnica
realizada.
Comunicaciones
1.798 21.719 13.380 62% 49.121 11.330 Alto - 3,97
Electrónicas
Fase I : presencial 808 5.232 4.928 94% 21.315 3.063 Alto - 3,91
Fase II: presencial 230 1.854 1.700 92% 7.148 743 Alto - 3,87
Justicia Fase III:
344 2.067 1.944 94% 13.308 1.291 Alto - 3,82
Digital presencial+online
Cursos Exprés 72 69 46 67% 46 39 Alto - 4,41
Durante el periodo de estabilización del sistema se presta soporte presencial por formadores
y Operadores In Situ (personal cualificado y especialistas en las aplicaciones judiciales) que
se encargan de la asistencia y resolución de dudas en el puesto de trabajo. Se atienden todas
las incidencias de carácter tecnológico con el objetivo de asegurar el funcionamiento estable
del nuevo sistema de gestión y que funciona de acuerdo con las especificaciones establecidas
en el Manual de Operativas. Asimismo se realizan sesiones presenciales monográficas para
abordar dudas frecuentes que surgen tras la implantación del sistema.
4.1 Retos
Ello implica importantes retos para mejorar la seguridad y preservar los derechos que implica
la protección de la información. Una institución tan importante y esencial para la sociedad en
su conjunto, como es la Administración de Justicia, es diana habitual de ciberamenazas y
ciberdelincuencia en general. Cada vez son más numerosos y sofisticados los ataques que
se producen, y a menudo se aprovecha la falta de concienciación y formación en aspectos
básicos de seguridad, de manera que la ciberseguridad adquiere una gran relevancia para la
continuidad de negocio y garantizar un entorno digital seguro y confiable.
Para afrontar los retos anteriores, según se establece en la norma transversal que regula el
uso de las tecnologías de la información y la comunicación en la Administración de Justicia
(Ley 18/2011), la seguridad debe estar presente de forma integral desde la concepción de los
servicios, sistemas y aplicaciones a lo largo del ciclo de vida. Asimismo, la gestión de la
seguridad judicial se configura como un proceso integral que incluye los elementos técnicos,
humanos, materiales y organizativos relacionados con cada sistema y servicio, atendiendo
en todo momento a la especial sensibilidad de la información que contienen los
procedimientos judiciales electrónicos.
En este sentido, cumplir con las previsiones del Reglamento General de Protección de
Datos (RGPD) y Ley Orgánica de Protección de Datos y garantía de los derechos
digitales (LOPDGDD), y avanzar en la consecución de sus objetivos cobra una relevancia
especial para la SGNTJ. La adecuada protección de la información y datos personales
requiere realizar adaptaciones a la nueva normativa para disponer de los modelos de
funcionamiento y mecanismos que garanticen esa efectiva protección de datos personales y
solucionar los problemas ante los riesgos que surjan.
Adicionalmente se establece que las medidas necesarias para garantizar la seguridad de los
sistemas, los datos, las comunicaciones y los servicios electrónicos, que permitan a los
ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través del uso de medios electrónicos son las definidas en el Real Decreto 3/2010,
de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica (ENS). Y en el caso de la Administración de Justicia se aplicarán
también las medidas establecidas en las Bases del Esquema Judicial de Interoperabilidad
y Seguridad (EJIS), desarrolladas por el Comité técnico estatal de la Administración judicial
electrónica (CTEAJE).
El objetivo global es lograr la madurez global del servicio de gestión de seguridad a través de
los siguientes objetivos específicos:
Mejorar la implementación del servicio: mediante la implementación y funcionamiento
de una Oficina encargada de la estrategia, gestión, y operación de sistemas, servicios y
redes TIC para la Administración de Justicia, con la finalidad de incrementar los niveles
de seguridad actuales. Adicionalmente, se cuenta con el asesoramiento del CCN para la
elaboración, seguimiento y supervisión del Plan Director de Seguridad.
Mejorar la gestión de incidentes de seguridad: al disponer de infraestructuras con
capacidades de monitorización, acceso a información técnica de seguridad contrastada,
procedimientos de resolución para aplicación en entornos del Sector Público, así como
asesoramiento especializado.
Mejorar la seguridad de infraestructuras y servicios: ejecución de auditorías técnicas
de seguridad y de cumplimiento normativo, asesoría tecnológica, formación y
concienciación del personal en el concepto de seguridad TIC integral.
Para acometer este proyecto se cuenta con la colaboración del CCN, fruto del convenio de
colaboración suscrito entre el Ministerio de Justicia y el CNI, en el que el CCN-CERT, como
CERT Gubernamental Nacional, actúa como prestador del servicio según las competencias
del Real Decreto 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad
(ENS), modificado por el Real Decreto 951/2015, de 23 de octubre, y bajo la supervisión de
la SGNTJ.
Cabe destacar por otra parte, que en cumplimiento de lo establecido por la Secretaría General
de Administración Digital de considerar los servicios de seguridad como servicios
compartidos, este SOC operará como una extensión del Centro de Operaciones de
Ciberseguridad de la Administración General del Estado (SOC-AGE) tendiendo de manera
progresiva a unificar y converger las diferentes actuaciones de seguridad que se
proporcionen.
Dentro de las funciones del SOC merece especial atención la introducción del proceso de
aseguramiento de seguridad de las soluciones dentro del ciclo de vida del software con el fin
de detectar posibles vulnerabilidades antes de la fase de producción. Así pues, cada fase del
ciclo de vida de desarrollo tiene asociada su correspondiente fase de seguridad con la
ejecución de auditorías y controles específicos que se van realizando de forma paralela.
Para ello se ha establecido el procedimiento que define las pruebas, controles y requisitos
a realizar y las fases del ciclo de vida del software donde corresponde su realización.
En dicho procedimiento se incluye:
La elección de los entornos adecuados para la ejecución de las pruebas de seguridad y/o
la reutilización de los ya existentes.
Los criterios a partir de los cuales se recomienda la promoción de la aplicación conforme
a los resultados de las auditorías realizadas.
Dimensión del servicio en base al esfuerzo y duración estimado para la realización de las
auditorías de pruebas de caja blanca (requisitos estructurales de diseño y código) y de
caja negra (requisitos funcionales) Tener en cuenta que dichas auditorías se realizan
como parte del ciclo de desarrollo del software tanto para cambios de versión mayores
como menores. Del mismo modo, se evalúa la realización de este tipo de pruebas cuando
se aplican pocos cambios o correcciones al software.
El servicio de gestión de incidentes de seguridad del SOC se presta a todos los niveles
para encargarse tanto los incidentes considerados de prioridad baja o media, como los
considerados de muy alta prioridad o críticos. Para ello, se ha dotado al SOC de la
correspondiente infraestructura que permite el tratamiento de todas las tipologías de
incidentes. Asimismo, cuenta con un laboratorio de emulación del comportamiento del
malware y con el equipamiento necesario para la realización de los análisis forenses.
El servicio tiene como objeto la identificación y notificación de posibles incidentes de
seguridad que serán gestionados posteriormente siguiendo el procedimiento correspondiente
a la naturaleza del incidente.
Para ello se ha establecido un sistema de detección y reacción frente a código dañino y se
registran los incidentes de seguridad que se produzcan y las acciones de tratamiento que se
sigan. Estos registros se emplean para la mejora continua de la seguridad del sistema.
La gestión de incidentes consta de las siguientes fases:
Fase de preparación: creación del equipo de respuesta a ciberincidentes (ERC),
formación en el uso de herramientas y de otros recursos necesarios. Durante esta fase,
se identifican y despliegan un determinado conjunto de medidas de seguridad, durante la
cual, persistirá un riesgo residual.
Fase de detección, análisis y notificación: una vez implantadas las medidas de
seguridad que ayudan a detectar las posibles brechas de seguridad de los sistemas de
información del organismo, se procede a realizar su análisis, desencadenando los
procesos de notificación correspondientes a los que hubiere lugar.
Fase de contención, erradicación y recuperación: consiste en la mitigación del impacto
en la gestión del riesgo, procediendo a su eliminación de los sistemas afectados y
recuperando el sistema. Durante esta fase es necesario realizar periódicamente el análisis
de amenazas y de cuyos resultados se desprenderán, nuevos mecanismos de contención
y erradicación.
Fase post-ciberincidente: La Oficina de Seguridad, emite informes periódicos en los que
se detallan las características de los ciberincidentes sufridos junto con su análisis de
riesgo, el cual está enfocado especialmente en el impacto sobre los servicios afectados
así como las medidas a tomar para prevenir futuros casos análogos (lecciones
aprendidas).
En la siguiente figura se muestra el modelo definido en la SGNTJ, que está integrado por 6
servicios, los cuales hacen posible el cumplimiento y adecuación a la legislación y normativa
Dependencias La valoración sobre la información y el servicio se hereda por los activos que la soportan,
(metodología de tal forma, que los riesgos sobre los activos y las medidas de seguridad a aplicar son
MAGERIT) consecuencia directa de la valoración realizada.
Identificación y Desastres naturales, origen industrial, errores y fallos no intencionados, ataques
valoración de deliberados.
amenazas
(PILAR)
Riesgo potencial El valor del riesgo potencial es consecuencia de la imputación en la herramienta PILAR
(PILAR) de los activos, tipología, valoración de los mismos e identificación de las amenazas.
Identificación de Según establece la LOPPDGDD serán las que se determinen en el anexo II del ENS o
las medidas de anexo III del EJIS para la evaluación del impacto realizada.
seguridad a
implementar
Aplicación de las Las medidas de seguridad pueden ser de distinto tipo: organizativas, operacionales y
medidas de aplicar a varias áreas de distinta forma y su aplicación depende de cada área.
seguridad y
responsabilidades
5.2 Gobernanza
En virtud de la Orden JUS/1293/2017, de 14 de diciembre, por la que se aprueba la Política
de Seguridad de la Información en el ámbito de la administración electrónica, que
establece la estructura organizativa para la gestión de la seguridad de la información, y la
equivalencia de responsabilidades efectuada teniendo en cuenta lo establecido en la
legislación nacional de protección de datos de carácter personal, la SGNTJ ha definido la
estructura organizativa y el modelo de gobernanza que permite una adecuada gestión de la
Seguridad de la Información en la SGNTJ. Además, la SGNTJ es responsable de desarrollar
las normas específicas de los aspectos organizativos de la Seguridad de la Información que
cumplan con la legislación vigente y contemplen las buenas prácticas de Seguridad de la
Información.
La estructura organizativa de la SGNTJ se ha definido a partir de las siguientes características
y funciones:
Implantar un modelo de gobernanza de la seguridad de la información eficaz y eficiente.
Definir las responsabilidades y funciones de Seguridad de la Información que aseguren
una útil y práctica gestión y coordinación para el aseguramiento de la seguridad.
Estar integrada con la estructura organizativa de la SGNTJ.
Dentro de la estructura de gobierno de la SGNTJ se ha establecido el Comité de Dirección
como órgano superior de gobierno de la seguridad y el Comité de Seguridad y Riesgos para
informar del estado de incidencias y planes de seguridad y toma de decisiones relativas a
seguridad. Asimismo la SGNTJ ha designado y nombrado al Responsable de Seguridad,
y Responsable del Sistema.
Por lo que se refiere a la Política de Seguridad de la Información en el ámbito de la
administración electrónica del Ministerio de Justicia, la SGNTJ participa en los órganos de
gobierno, nombramiento de responsables y otras actividades enfocadas al cumplimiento de
dicha política. En concreto forma parte del Comité de Dirección de Seguridad de la
Información y del Grupo de Trabajo Técnico de Seguridad de la Información.
Por otra parte, tanto el Reglamento (UE) 2016/679 como la Directiva (UE) 2016/680 prevén y
establecen como requerimiento el nombramiento o designación de un Delegado de
Protección de Datos como garante del cumplimiento de las medidas establecidas por la
normativa. El pasado mes de mayo de 2018 el Ministerio de Justicia nombró un Delegado de
Protección de Datos (DPD) con el que la SGNTJ mantiene contacto permanente para
adecuarse a los requerimientos de la Política de Seguridad del Ministerio de Justicia, su
normativa de desarrollo y los establecidos por el propio DPD.
La SGNTJ ha modificado la metodología de gestión del ciclo de vida del software, añadiendo
análisis de riesgo y evaluación de impacto relativa a la seguridad y protección de datos
personales antes de la puesta en producción de nuevos tratamientos o cuando se prevé la
puesta en producción de una versión con modificaciones que puedan implicar cambios en la
valoración de las dimensiones de seguridad afectadas. Además, se están realizando análisis
de riesgos sobre los tratamientos de datos existentes extrayendo las medidas de seguridad
requeridas para su entrega a los equipos de soluciones a efectos de que se tengan en cuenta
en el desarrollo.
La Oficina de Seguridad ha llevado a cabo las acciones necesarias para la inclusión en el
ciclo de vida del software del análisis de riesgos y –en su caso– una evaluación de
impacto relativa a la protección de datos personales antes de la puesta en producción de
nuevos tratamientos, o cuando se prevé la puesta en producción de una versión con
modificaciones que puedan implicar cambios en la valoración de las dimensiones de
seguridad afectadas. Para ello, desde la Oficina de Seguridad, se ha coordinado con el resto
de áreas de la SGNTJ para la modificación de la documentación relativa a la metodología de
buenas prácticas en el desarrollo y mantenimiento de aplicaciones (MEDES).
Esto supone que con el Análisis de Riesgos de los sistemas de información que dan
soporte a los servicios prestados por el Ministerio de Justicia en el ámbito de la
Administración de Justicia tenemos la base para el cumplimiento de la normativa que
estamos obligados a cumplir: RGPD, LOPDGDD, ENS y EJIS.
Identificador único
Aprovisionamiento y creación automático de identidades, gestión de bajas y traslados.
Autenticación y control de Acceso, Logon único y transparente para el acceso a
distintas aplicaciones (Autenticación y SSO en 12 sistemas), acceso con certificados.
Gestión centralizada y sincronización de contraseñas en 42 sistemas, autoservicio
para reseteo de contraseñas y notificaciones de caducidad.
5.8.2 Anonimización de documentos judiciales
Dentro de la investigación en la aplicación de tecnologías disruptivas en el ámbito de la
Administración de Justicia, se está estudiando el desarrollo y aplicación de los algoritmos
precisos para automatizar actividades tales como: la categorización documental, la
identificación de entidades nominales inmersas en los documentos de un expediente, así
como el establecimiento de las relaciones entre las mismas, anonimizando los documentos
de forma instantánea, así como la obtención de cualquier otro valor que se vaya identificando
de carácter automatizable.
Al respecto ya disponemos de los patrones capaces de detectar las entidades nominales que
aparecen en los distintos documentos que integran los Expedientes Judiciales Electrónicos,
así como de la tecnología que permite deconstruir y construir documentos pdf y distintas
técnicas de anonimización (por ocultación, soslayado o sustitución).
Así pues, el grado de riesgo y complejidad del tratamiento de los datos que efectúa
la SGNTJ tiene una particular importancia, tanto por el volumen de tratamiento de
datos, y cuyo origen puede ser muy diverso (documentos de texto, grabaciones de
audio, videos,…), como por tratarse, en la mayoría de casos, de datos sensibles y
especialmente protegidos.