SlideShare una empresa de Scribd logo

20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspectos principales

Miguel A. Amutio
Miguel A. Amutio

Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspectos principales

Tecnología
1 de 20
Descargar para leer sin conexión
El Esquema Nacional de Seguridad Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Política Territorial y Administración Pública El Esquema Nacional de Seguridad 1
ÍNDICE 1. Creación del Esquema Nacional de Seguridad....................................................3 2. Objetivos..................................................................................................................5 3. Estructura y contenido...........................................................................................6 3.1 Los principios básicos.............................................................................................7 3.2 Los requisitos mínimos............................................................................................8 3.3 El mecanismo para el cumplimiento de los requisitos mínimos...........................10 3.4 Las medidas de seguridad....................................................................................11 3.5 La auditoría de la seguridad..................................................................................12 3.6 Las comunicaciones electrónicas.........................................................................12 3.7 La respuesta ante incidentes de seguridad..........................................................13 3.8 La certificación de la seguridad.............................................................................14 3.9 La conformidad con el Esquema Nacional de Seguridad.....................................15 3.10 Otras cuestiones..................................................................................................15 4. Adecuación al Esquema Nacional de Seguridad...............................................16 5. Más información....................................................................................................17 Anexo. Medidas de seguridad..................................................................................19 Figuras Figura 1. Panorámica de principios básicos, requisitos mínimos y medidas de seguridad .......................................................................................................................................7 Figura 2. Panorámica de las medidas de seguridad...................................................11 Figura 3. Portal CCN-CERT........................................................................................14 Figura 4. Portal del Organismo del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TIC...................................................................................................15 El Esquema Nacional de Seguridad 2
1. CREACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, reconoce que la necesaria generalización de la sociedad de la información depende, en gran medida, de la confianza que genere en los ciudadanos la relación a través de medios electrónicos. En consecuencia, esta Ley 11/2007 tiene entre sus objetivos crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, de los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Además, la consagración del derecho de los ciudadanos a comunicarse con las Administraciones Públicas a través de medios electrónicos comporta la obligación correlativa de éstas en cuanto a la promoción de las necesarias condiciones de confianza y seguridad mediante la aplicación segura de las tecnologías. En este contexto, se entiende por seguridad la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes, acciones ilícitas o malintencionadas, que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen, o a través de los que se realiza el acceso. Dicho lo anterior, diversos principios de la Ley 11/2007 se refieren a la seguridad: – El principio de respeto al derecho a la protección de los datos de carácter personal en los términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal. – El principio de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, en cuya virtud se exigirá al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa. El Esquema Nacional de Seguridad 3
– El principio de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. También figura la seguridad entre los derechos de los ciudadanos recogidos en la citada Ley, de forma que se contempla el derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Además, a lo largo del texto de la Ley 11/2007, el requisito de seguridad está presente de forma explícita en el tratamiento de cuestiones tales como la sede electrónica, las transmisiones de datos entre administraciones, los registros electrónicos, las comunicaciones electrónicas, el archivo electrónico de documentos y el procedimiento por medios electrónicos. Para dar respuesta a todo lo anterior, el artículo 42 de la Ley 11/2007 crea el Esquema Nacional de Seguridad (ENS), cuyo objeto es establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la citada Ley y que está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Dicho Esquema Nacional de Seguridad se ha elaborado con la participación de todas las Administraciones Públicas y se ha materializado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El ámbito de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, según se establece en el artículo 2 de la Ley 11/2007. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo. El Esquema se ha elaborado atendiendo a la normativa nacional sobre Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica y Documento Nacional de Identidad Electrónico, Centro Criptológico Nacional, Sociedad de la Información, Reutilización de la Información en el Sector Público y Órganos Colegiados responsables de la Administración Electrónica; así como a la regulación de diferentes Instrumentos y Servicios de la Administración, a las recomendaciones de la Unión El Esquema Nacional de Seguridad 4
Europea, a las Directrices y Guías de la OCDE, así como a la normalización de ámbito nacional e internacional. También se han estudiado actuaciones similares en otros países. En particular, un referente que merece una mención singular entre los manejados es la conocida Federal Information Security Management Act, conocida como FISMA, que es el título tercero de la ley de gobierno electrónico de los Estados Unidos de América, por su naturaleza de texto legal, por su alcance y por su enfoque. Finalmente, cabe decir que la regulación del Esquema Nacional de Seguridad constituye un hito en nuestro ordenamiento jurídico pues concreta las condiciones relativas a la protección de los sistemas, los datos, las comunicaciones y los servicios electrónicos en el ámbito administrativo, dando respuesta a retos complejos derivados del alto grado de sofisticación de las tecnologías aplicadas a la prestación de servicios públicos por los medios electrónicos. 2. OBJETIVOS El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas. Por lo que sus objetivos principales son los siguientes: – Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. – Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información. El Esquema Nacional de Seguridad 5
– Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información. – Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria. También persigue lo siguiente: – Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. – Facilitar un tratamiento continuado de la seguridad, al margen de ‘impulsos del momento’ o bien de su ausencia. – Proporcionar instrumentos a las administraciones públicas para gestionar la seguridad de la información frente a las dinámicas e intereses del mercado. En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas. Dada la naturaleza de la seguridad, la consecución de estos objetivos requiere un desarrollo que tenga en cuenta la complejidad técnica, la obsolescencia de la tecnología subyacente y el importante cambio que supone en la operativa de la Administración la aplicación de la Ley 11/2007. 3. ESTRUCTURA Y CONTENIDO El Esquema Nacional de Seguridad establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y de los servicios en el ámbito de la Ley 11/2007. Sus elementos principales son los siguientes: El Esquema Nacional de Seguridad 6
– Los principios básicos a considerar en las decisiones en materia de seguridad. – Los requisitos mínimos que permitan una protección adecuada de la información. – El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger. – La auditoría de la seguridad. – Las comunicaciones electrónicas. – La respuesta ante incidentes de seguridad. – La certificación de la seguridad. – La conformidad. El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos, según se expone a Figura 1: Panorámica de principios básicos, requisitos mínimos y medidas de seguridad. continuación. 3.1 Los principios básicos. En primer lugar se introducen los principios básicos que constituyen fundamentos que deben regir toda acción orientada a asegurar la información y los servicios: El Esquema Nacional de Seguridad 7
– Seguridad integral: la seguridad se entiende como un proceso integral, constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados. – Gestión de riesgos: permite el equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que están expuestos y las medidas de seguridad. – Prevención, reacción y recuperación: la seguridad debe contemplar la prevención, reacción y recuperación para conseguir que las amenazas no se materialicen o no afecten gravemente a la información y los servicios. Además, sin merma de los demás principios básicos y requisitos mínimos establecidos, el sistema garantizará la conservación de los datos e informaciones en soporte electrónico. – Líneas de defensa: constituidas por medidas de naturaleza organizativa, física y lógica, permiten ganar tiempo, reducir la posibilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo. – Reevaluación periódica: las medidas de seguridad requieren de la reevaluación y actualización periódicas para adecuar su eficacia a la evolución de los riesgos y de los sistemas de protección. – La seguridad como función diferenciada: es necesario distinguir las responsabilidades relativas a la información, a los servicios y a la seguridad. El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. 3.2 Los requisitos mínimos. En segundo lugar, se introducen los requisitos mínimos que son exigencias necesarias para asegurar la información y los servicios: – Organización e implantación del proceso de seguridad: la política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. El Esquema Nacional de Seguridad 8
– Análisis y gestión de los riesgos: las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos. – Gestión de personal: todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. – Profesionalidad: la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. – Autorización y control de los accesos: el acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas. – Protección de las instalaciones: los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. – Adquisición de productos: en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones Públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. – Seguridad por defecto: los sistemas deberán diseñarse y configurarse para que garanticen la seguridad por defecto. – Integridad y actualización del sistema: todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Y se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. – Protección de la información almacenada y en tránsito: se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. – Prevención ante otros sistemas de información interconectados: el sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. El Esquema Nacional de Seguridad 9
– Registro de actividad: con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. – Incidentes de seguridad: se establecerá un sistema de detección y reacción frente a código dañino. Y se registrarán los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. – Continuidad de la actividad: los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo. – Mejora continua del proceso de seguridad: el proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 3.3 El mecanismo para el cumplimiento de los requisitos mínimos. En tercer lugar, se señala el mecanismo para lograr el cumplimiento de los requisitos mínimos, a través de la adopción de las correspondientes medidas de seguridad. Este mecanismo responde a la necesidad de modular el equilibrio entre la importancia de la información que se maneja y de los servicios que se prestan, por un lado, y el esfuerzo de seguridad requerido, en función de los riesgos a los que se está expuesto, bajo el criterio del principio de proporcionalidad, por otro lado. Para facilitar la aplicación del principio de proporcionalidad se contempla la categorización de los sistemas en tres categorías, BÁSICA, MEDIA y ALTA, en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios a proteger con perjuicio para las dimensiones de seguridad, disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, que a su vez se valoran en tres escalones BAJO, MEDIO y ALTO. En la valoración del impacto sobre estas dimensiones cabe tener en cuenta la repercusión en la capacidad de la El Esquema Nacional de Seguridad 10
organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y de los derechos de los ciudadanos. A la luz de lo anterior, la determinación de la categoría de un sistema de información se realiza de acuerdo con lo siguiente: Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO; de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior; y de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. La determinación de la categoría de un sistema sobre esta base no implica que se altere el nivel de las dimensiones de seguridad que no han influido en la determinación de la categoría del mismo. Seguidamente, la selección de las medidas de seguridad apropiadas se ha de realizar de acuerdo con las dimensiones de seguridad y sus niveles y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. 3.4 Las medidas de seguridad Las medidas de seguridad se estructuran en los siguientes tres grupos: – Marco organizativo: Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. – Marco operacional: Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. – Medidas de protección: Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las Figura 2: Panorámica de las dimensiones afectadas. medidas de seguridad. La articulación entre la protección de datos de carácter personal y el Esquema Nacional de Seguridad se plantea según la mecánica siguiente: cuando un sistema al que El Esquema Nacional de Seguridad 11
afecte el Esquema Nacional de Seguridad maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema. Para lograr un mejor cumplimiento del Esquema se hace referencia a los servicios e infraestructuras comunes y a las guías de seguridad elaboradas por el Centro Criptológico Nacional (CCN). Adicionalmente se tratan otros aspectos tales como los que se indican a continuación. 3.5 La auditoría de la seguridad. En cuarto lugar, se establece la auditoría de la seguridad que verifique el cumplimiento del Esquema al menos cada dos años. Dicha auditoría se realizará en función de la categoría del sistema y para la misma se utilizarán los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicable a la misma. El informe de auditoría deberá dictaminar sobre el grado de cumplimiento del Esquema, identificar las deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas; deberá, igualmente, incluir los criterios metodológicos de auditorías utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes serán analizados por este último que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. 3.6 Las comunicaciones electrónicas. Junto con las cuestiones anteriores se tratan diversos aspectos que también tienen relevancia como los que se exponen a continuación. Se tratan las comunicaciones electrónicas contemplando las condiciones técnicas de seguridad de este tipo de comunicaciones, los requerimientos técnicos de notificaciones y publicaciones electrónicas y la firma electrónica: – Se establece un mandato para que las condiciones técnicas de seguridad de las comunicaciones electrónicas en lo relativo a la constancia de la transmisión y El Esquema Nacional de Seguridad 12
recepción, de sus fechas, del contenido integro de las comunicaciones y la identificación fidedigna del remitente y destinatario de las mismas, sean implementadas de acuerdo con lo establecido en el Esquema Nacional de Seguridad. – En cuanto a los requerimientos técnicos de las notificaciones y publicaciones electrónicas, se establecen exigencias técnicas relativas al aseguramiento de la autenticidad del organismo que lo publique, de la integridad de la información publicada, de la constancia de fecha y hora de puesta a disposición del interesado y acceso al contenido, así como de la autenticidad del destinatario. – En cuanto a la firma electrónica, se contempla que los mecanismos de firma electrónica serán establecidos de acuerdo con lo previsto en las medidas de seguridad, con la política de firma electrónica que concretará los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas. 3.7 La respuesta a incidentes de seguridad Se trata la respuesta a incidentes de seguridad donde se recoge como capacidad de respuesta a los incidentes de seguridad de los sistemas en las Administraciones Públicas, la estructura CCN-CERT del Centro Criptológico Nacional que actuará sin perjuicio de las capacidades de respuesta que pueda tener cada administración pública, y de su función como coordinador a nivel nacional e internacional, prestando los siguientes servicios a las Administraciones públicas: – Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad o agresiones recibidas por las distintas Administraciones públicas (general, autonómica y local) y las Entidades de Derecho público con personalidad jurídica propia dependientes de éstas. Para el cumplimiento de estos fines se podrán recabar los informes de auditoría de los sistemas afectados. – Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de la Administración. El Esquema Nacional de Seguridad 13
– Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información. – Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. De igual modo, se regula el desarrollo por parte del CCN-CERT de un programa que ofrezca apoyo a las Administraciones públicas para que desarrollen sus propias capacidades de respuesta a incidentes de seguridad. Figura 3: Portal CCN-CERT, disponible en https://www.ccn- cert.cni.es/ 3.8 Certificación de la seguridad El Esquema también destaca la importancia de la certificación a la hora de adquirir productos de seguridad por parte de la Administración. En particular, reconoce la contribución de los productos evaluados y certificados para el cumplimiento de los requisitos mínimos de manera proporcionada. Se cita al Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC (el propio Centro Criptológico Nacional) como aquel encargado de determinar el criterio a cumplir en función del uso previsto del producto, en relación con el nivel de evaluación, otras certificaciones de seguridad que se requieran adicionales, así como en aquellos casos en los que no existan productos certificados. Se contempla que se valorarán positivamente aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Asimismo, en diversas ocasiones, el Esquema señala la recomendación y, o bien, obligación de utilizar algoritmos certificados por el Centro Criptológico Nacional a la hora de utilizar diferentes productos o El Esquema Nacional de Seguridad 14
características de los sistemas, como en el caso de la utilización de dispositivos físicos (tokens), protección de claves criptográficas, protección de la confidencialidad, autenticidad e integridad o de los medios utilizados en la firma electrónica. Y se incluye, finalmente, un modelo de cláusula para los pliegos de prescripciones técnicas. Figura 4: Portal del Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC, en http://www.oc.ccn.cni.es/index_es.html 3.9 Conformidad con el Esquema Nacional de Seguridad Se tratan también las normas de conformidad con el Esquema Nacional de Seguridad en cuanto a sedes y registros electrónicos; ciclo de vida de servicios y sistemas, mecanismos de control para garantizar el cumplimiento del Esquema, así como la publicación de la citada conformidad. 3.10 Otras cuestiones Finalmente, las disposiciones adicionales inciden en las cuestiones siguientes: – La formación necesaria para garantizar el conocimiento del Esquema Nacional de Seguridad por parte del personal de las Administraciones Públicas. – INTECO, y otras entidades análogas, podrán desarrollar proyectos de innovación y programas de investigación dirigidos a la mejor implantación de las medidas de seguridad contempladas en el Esquema. El Esquema Nacional de Seguridad 15
– Se establece un órgano colegiado para la cooperación de las Administraciones Públicas en materia de adecuación e implantación de lo previsto en el Esquema. 4. ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor. El plan de adecuación al que se refiere el párrafo anterior será elaborado por el Responsable de Seguridad del sistema, deberá estar aprobado por los órganos superiores competentes y contendrá la siguiente información: – La política de seguridad. – Información que se maneja, con su valoración. – Servicios que se prestan, con su valoración. – Datos de carácter personal. – Categoría del sistema. – Declaración de aplicabilidad de las medidas del Anexo II del ENS. – Análisis de riesgos. – Insuficiencias del sistema. – Plan de mejora seguridad, incluyendo plazos estimados de ejecución. Por otra parte, de acuerdo con lo previsto en el artículo 29 del Real Decreto 3/2010, relativo a la elaboración de guías de seguridad por parte de Centro Criptológico Nacional para mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, se vienen elaborando las siguientes guías disponibles en el Portal del CCN-CERT: – Guía 800 - Glosario de Términos y Abreviaturas del ENS. – Guía 801 - Responsables y Funciones en el Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad 16
– Guía 802 - Auditoría del Esquema Nacional de Seguridad. – Guía 803 - Valoración de sistemas en el Esquema Nacional de Seguridad. – Guía 804 - Medidas de implantación del Esquema Nacional de Seguridad. – Guía 805 - Política de Seguridad de la Información. – Guía 806 - Plan de Adecuación del Esquema Nacional de Seguridad. – Guía 807 - Criptología de empleo en el Esquema Nacional de Seguridad. – Guía 808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. – Guía 809 - Declaración de Conformidad del Esquema Nacional de Seguridad. Estas guías también se acompañan de herramientas para la realización del análisis y gestión de riesgos. 5. MÁS INFORMACIÓN – Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. URL: http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf – Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. URL: http://www.boe.es/boe/dias/2009/11/18/pdfs/BOE-A-2009- 18358.pdf. – Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf – Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf – Portal CCN-CERT. URL: http://www.ccn-cert.cni.es/ – Serie de Guías CCN-STIC. URL: http://www.ccn-cert.cni.es/. El Esquema Nacional de Seguridad 17
– Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. URL: http://www.oc.ccn.cni.es/index_es.html – MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. URL: http://administracionelectronica.gob.es/? _nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184 – OCDE, Directrices para la seguridad de sistemas y redes de información - Hacia una cultura de seguridad URL: http://administracionelectronica.gob.es/? _nfpb=true&_pageLabel=P1001588021272550014344&langPae=es&detalleLista=P AE_000001340 El Esquema Nacional de Seguridad 18
ANEXO. MEDIDAS DE SEGURIDAD Tabla de medidas de seguridad extraída del anexo II del Real Decreto 3/2010. El Esquema Nacional de Seguridad 19
El Esquema Nacional de Seguridad 20

Recomendados

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL miguelserrano5851127
 
PRACTICA 7
PRACTICA 7PRACTICA 7
PRACTICA 7Danya Ferrer
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosmipasquau
 
Antologia Legislacion Informatica
Antologia Legislacion InformaticaAntologia Legislacion Informatica
Antologia Legislacion InformaticaEduardo S de Loera
 
Act5 .aspectos legales de informacion
Act5 .aspectos legales de informacionAct5 .aspectos legales de informacion
Act5 .aspectos legales de informacionRenatarastafari
 
Mª Dolores Luengo 1.3.pptx
Mª Dolores Luengo 1.3.pptxMª Dolores Luengo 1.3.pptx
Mª Dolores Luengo 1.3.pptxLola243056
 
Pechakucha
PechakuchaPechakucha
PechakuchaJose A.
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 

Recomendados

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE LA CONTRALORÍA GENERAL miguelserrano5851127
 
PRACTICA 7
PRACTICA 7PRACTICA 7
PRACTICA 7Danya Ferrer
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosmipasquau
 
Antologia Legislacion Informatica
Antologia Legislacion InformaticaAntologia Legislacion Informatica
Antologia Legislacion InformaticaEduardo S de Loera
 
Act5 .aspectos legales de informacion
Act5 .aspectos legales de informacionAct5 .aspectos legales de informacion
Act5 .aspectos legales de informacionRenatarastafari
 
Mª Dolores Luengo 1.3.pptx
Mª Dolores Luengo 1.3.pptxMª Dolores Luengo 1.3.pptx
Mª Dolores Luengo 1.3.pptxLola243056
 
Pechakucha
PechakuchaPechakucha
PechakuchaJose A.
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datossprewill
 
La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaliras loca
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosLucaGaveteLozano
 
02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informatica02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informaticabrenog
 
Tema3 aaee
Tema3 aaeeTema3 aaee
Tema3 aaeeMª Angeles Vallejo Bernal
 
Legislacion informática
Legislacion informáticaLegislacion informática
Legislacion informáticaEvǝǝthzhiitha Crüz
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datosLourdesPriorBalczar
 
Modulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de DatosModulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de DatosANTONIO GARCÍA HERRÁIZ
 
Relación entre el derecho y la informática
Relación entre el derecho y la informática Relación entre el derecho y la informática
Relación entre el derecho y la informática alhelimuro
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...Miguel A. Amutio
 
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Transformación digital de la administración en España
Transformación digital de la administración en EspañaTransformación digital de la administración en España
Transformación digital de la administración en EspañaMiguel A. Amutio
 
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...Miguel A. Amutio
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Miguel A. Amutio
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadMiguel A. Amutio
 
Una Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónicaUna Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónicaMiguel A. Amutio
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Foro mutualia 14
Foro mutualia 14Foro mutualia 14
Foro mutualia 14mutualia
 
Proyecto tu pyme en internet
Proyecto tu pyme en internetProyecto tu pyme en internet
Proyecto tu pyme en internetGuadalinfo Baeza
 

Más contenido relacionado

La actualidad más candente

La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaliras loca
 
02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informatica02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informaticabrenog
 
Modulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de DatosModulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de DatosANTONIO GARCÍA HERRÁIZ
 
Relación entre el derecho y la informática
Relación entre el derecho y la informática Relación entre el derecho y la informática
Relación entre el derecho y la informática alhelimuro
 

La actualidad más candente (8)

La legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informáticaLa legislación y normatividad actual relativa a la función informática
La legislación y normatividad actual relativa a la función informática
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informatica02 Legislacion Informatica El Derecho Y La Informatica
02 Legislacion Informatica El Derecho Y La Informatica
 
Tema3 aaee
Tema3 aaeeTema3 aaee
Tema3 aaee
 
Legislacion informática
Legislacion informáticaLegislacion informática
Legislacion informática
 
Proteccion de datos
Proteccion de datosProteccion de datos
Proteccion de datos
 
Modulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de DatosModulo I, parte 4 Curso Protección de Datos
Modulo I, parte 4 Curso Protección de Datos
 
Relación entre el derecho y la informática
Relación entre el derecho y la informática Relación entre el derecho y la informática
Relación entre el derecho y la informática
 

Destacado

Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Miguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...Miguel A. Amutio
 
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Transformación digital de la administración en España
Transformación digital de la administración en EspañaTransformación digital de la administración en España
Transformación digital de la administración en EspañaMiguel A. Amutio
 
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...Miguel A. Amutio
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Miguel A. Amutio
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadMiguel A. Amutio
 
Una Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónicaUna Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónicaMiguel A. Amutio
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Foro mutualia 14
Foro mutualia 14Foro mutualia 14
Foro mutualia 14mutualia
 
Proyecto tu pyme en internet
Proyecto tu pyme en internetProyecto tu pyme en internet
Proyecto tu pyme en internetGuadalinfo Baeza
 
Los recursos administrativos en la ley 39 2015
Los recursos administrativos en la ley 39 2015Los recursos administrativos en la ley 39 2015
Los recursos administrativos en la ley 39 2015Angela Pascual Langa
 
Ley 39 2015 título preliminar
Ley 39 2015 título preliminarLey 39 2015 título preliminar
Ley 39 2015 título preliminarGuadalinfo Baeza
 
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamientoVictor Almonacid
 

Destacado (20)

Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
Retos y dificultades de aplicación del Esquema Nacional de Seguridad (ENS) (r...
 
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
20111020 Las Normas Técnicas de Interoperabilidad relativas al documento elec...
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Transformación digital de la administración en España
Transformación digital de la administración en EspañaTransformación digital de la administración en España
Transformación digital de la administración en España
 
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
Retos Legales (2): Impacto tecnológico de las Leyes 39 y 40 en el Procedimien...
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
 
Una Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónicaUna Administración sin papel. Novedades en administración electrónica
Una Administración sin papel. Novedades en administración electrónica
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
 
Foro mutualia 14
Foro mutualia 14Foro mutualia 14
Foro mutualia 14
 
Proyecto tu pyme en internet
Proyecto tu pyme en internetProyecto tu pyme en internet
Proyecto tu pyme en internet
 
Elearningbaeza
ElearningbaezaElearningbaeza
Elearningbaeza
 
Presentacion
PresentacionPresentacion
Presentacion
 
Gastronomia de Baeza
Gastronomia de BaezaGastronomia de Baeza
Gastronomia de Baeza
 
Los recursos administrativos en la ley 39 2015
Los recursos administrativos en la ley 39 2015Los recursos administrativos en la ley 39 2015
Los recursos administrativos en la ley 39 2015
 
Ley 39 2015 título preliminar
Ley 39 2015 título preliminarLey 39 2015 título preliminar
Ley 39 2015 título preliminar
 
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento
10 cosas que deberías saber para implantar la ley 39/2015 en el ayuntamiento
 

Similar a 20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspectos principales

Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba beayeniferbaez
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Manual politicas seguridad
Manual politicas seguridadManual politicas seguridad
Manual politicas seguridadragmyl
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticagrupo5proyectoiv
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Estado de situación y recomendaciones
Esquema Nacional de Seguridad. Estado de situación y recomendacionesEsquema Nacional de Seguridad. Estado de situación y recomendaciones
Esquema Nacional de Seguridad. Estado de situación y recomendacionesMiguel A. Amutio
 
4 aspectos legales y éticos de la seguridad informática
4 aspectos legales y éticos de la seguridad informática4 aspectos legales y éticos de la seguridad informática
4 aspectos legales y éticos de la seguridad informáticayessi_barrientos
 
Legislación sobre documentos electrónicos / Seguridad de la Información
Legislación sobre documentos electrónicos / Seguridad de la Información Legislación sobre documentos electrónicos / Seguridad de la Información
Legislación sobre documentos electrónicos / Seguridad de la Información raulerney
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticareyna cristina rojas salgado
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticareyna cristina rojas salgado
 

Similar a 20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspectos principales (20)

Esquema Nacional de Seguridad publicado en el BOE
Esquema Nacional de Seguridad publicado en el BOEEsquema Nacional de Seguridad publicado en el BOE
Esquema Nacional de Seguridad publicado en el BOE
 
Real Decreto 951/2015, Esquema Nacional de Seguridad
Real Decreto 951/2015, Esquema Nacional de SeguridadReal Decreto 951/2015, Esquema Nacional de Seguridad
Real Decreto 951/2015, Esquema Nacional de Seguridad
 
El internet aplicado al procesamiento de datos
El internet aplicado al procesamiento de datosEl internet aplicado al procesamiento de datos
El internet aplicado al procesamiento de datos
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Trabajo de elba bea
Trabajo de elba beaTrabajo de elba bea
Trabajo de elba bea
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Manual politicas seguridad
Manual politicas seguridadManual politicas seguridad
Manual politicas seguridad
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Esquema Nacional de Seguridad. Estado de situación y recomendaciones
Esquema Nacional de Seguridad. Estado de situación y recomendacionesEsquema Nacional de Seguridad. Estado de situación y recomendaciones
Esquema Nacional de Seguridad. Estado de situación y recomendaciones
 
4 aspectos legales y éticos de la seguridad informática
4 aspectos legales y éticos de la seguridad informática4 aspectos legales y éticos de la seguridad informática
4 aspectos legales y éticos de la seguridad informática
 
Tema10 aaee
Tema10 aaeeTema10 aaee
Tema10 aaee
 
Cartilla de-directiva-de-seguridad
Cartilla de-directiva-de-seguridadCartilla de-directiva-de-seguridad
Cartilla de-directiva-de-seguridad
 
Legislación sobre documentos electrónicos / Seguridad de la Información
Legislación sobre documentos electrónicos / Seguridad de la Información Legislación sobre documentos electrónicos / Seguridad de la Información
Legislación sobre documentos electrónicos / Seguridad de la Información
 
Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
 
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informaticaPresentacion 4.aspectos lgales y eticos de la seguridad informatica
Presentacion 4.aspectos lgales y eticos de la seguridad informatica
 
Protección de datos - nuevas atribuciones del IFAI
Protección de datos - nuevas atribuciones del IFAIProtección de datos - nuevas atribuciones del IFAI
Protección de datos - nuevas atribuciones del IFAI
 

Más de Miguel A. Amutio

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Miguel A. Amutio
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Miguel A. Amutio
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of SpainMiguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónMiguel A. Amutio
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadMiguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSMiguel A. Amutio
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity ContextMiguel A. Amutio
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadMiguel A. Amutio
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneMiguel A. Amutio
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesMiguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMiguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
 

Más de Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 

Último

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 

Último (20)

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 

20110124 Qué es el Esquema Nacional de Seguridad (ENS) y cuáles son sus aspectos principales

  • 1. El Esquema Nacional de Seguridad Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Política Territorial y Administración Pública El Esquema Nacional de Seguridad 1
  • 2. ÍNDICE 1. Creación del Esquema Nacional de Seguridad....................................................3 2. Objetivos..................................................................................................................5 3. Estructura y contenido...........................................................................................6 3.1 Los principios básicos.............................................................................................7 3.2 Los requisitos mínimos............................................................................................8 3.3 El mecanismo para el cumplimiento de los requisitos mínimos...........................10 3.4 Las medidas de seguridad....................................................................................11 3.5 La auditoría de la seguridad..................................................................................12 3.6 Las comunicaciones electrónicas.........................................................................12 3.7 La respuesta ante incidentes de seguridad..........................................................13 3.8 La certificación de la seguridad.............................................................................14 3.9 La conformidad con el Esquema Nacional de Seguridad.....................................15 3.10 Otras cuestiones..................................................................................................15 4. Adecuación al Esquema Nacional de Seguridad...............................................16 5. Más información....................................................................................................17 Anexo. Medidas de seguridad..................................................................................19 Figuras Figura 1. Panorámica de principios básicos, requisitos mínimos y medidas de seguridad .......................................................................................................................................7 Figura 2. Panorámica de las medidas de seguridad...................................................11 Figura 3. Portal CCN-CERT........................................................................................14 Figura 4. Portal del Organismo del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TIC...................................................................................................15 El Esquema Nacional de Seguridad 2
  • 3. 1. CREACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, reconoce que la necesaria generalización de la sociedad de la información depende, en gran medida, de la confianza que genere en los ciudadanos la relación a través de medios electrónicos. En consecuencia, esta Ley 11/2007 tiene entre sus objetivos crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, de los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Además, la consagración del derecho de los ciudadanos a comunicarse con las Administraciones Públicas a través de medios electrónicos comporta la obligación correlativa de éstas en cuanto a la promoción de las necesarias condiciones de confianza y seguridad mediante la aplicación segura de las tecnologías. En este contexto, se entiende por seguridad la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes, acciones ilícitas o malintencionadas, que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen, o a través de los que se realiza el acceso. Dicho lo anterior, diversos principios de la Ley 11/2007 se refieren a la seguridad: – El principio de respeto al derecho a la protección de los datos de carácter personal en los términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal. – El principio de seguridad en la implantación y utilización de los medios electrónicos por las Administraciones Públicas, en cuya virtud se exigirá al menos el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos en la actividad administrativa. El Esquema Nacional de Seguridad 3
  • 4. El principio de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. También figura la seguridad entre los derechos de los ciudadanos recogidos en la citada Ley, de forma que se contempla el derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Además, a lo largo del texto de la Ley 11/2007, el requisito de seguridad está presente de forma explícita en el tratamiento de cuestiones tales como la sede electrónica, las transmisiones de datos entre administraciones, los registros electrónicos, las comunicaciones electrónicas, el archivo electrónico de documentos y el procedimiento por medios electrónicos. Para dar respuesta a todo lo anterior, el artículo 42 de la Ley 11/2007 crea el Esquema Nacional de Seguridad (ENS), cuyo objeto es establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la citada Ley y que está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Dicho Esquema Nacional de Seguridad se ha elaborado con la participación de todas las Administraciones Públicas y se ha materializado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El ámbito de aplicación del Esquema Nacional de Seguridad es el de las Administraciones Públicas, los ciudadanos en sus relaciones con las mismas y el de las relaciones entre ellas, según se establece en el artículo 2 de la Ley 11/2007. Están excluidos de su ámbito de aplicación los sistemas que tratan información clasificada regulada por Ley 9/1968 de 5 de abril, de Secretos Oficiales y sus normas de desarrollo. El Esquema se ha elaborado atendiendo a la normativa nacional sobre Administración Electrónica, Protección de Datos de Carácter Personal, Firma Electrónica y Documento Nacional de Identidad Electrónico, Centro Criptológico Nacional, Sociedad de la Información, Reutilización de la Información en el Sector Público y Órganos Colegiados responsables de la Administración Electrónica; así como a la regulación de diferentes Instrumentos y Servicios de la Administración, a las recomendaciones de la Unión El Esquema Nacional de Seguridad 4
  • 5. Europea, a las Directrices y Guías de la OCDE, así como a la normalización de ámbito nacional e internacional. También se han estudiado actuaciones similares en otros países. En particular, un referente que merece una mención singular entre los manejados es la conocida Federal Information Security Management Act, conocida como FISMA, que es el título tercero de la ley de gobierno electrónico de los Estados Unidos de América, por su naturaleza de texto legal, por su alcance y por su enfoque. Finalmente, cabe decir que la regulación del Esquema Nacional de Seguridad constituye un hito en nuestro ordenamiento jurídico pues concreta las condiciones relativas a la protección de los sistemas, los datos, las comunicaciones y los servicios electrónicos en el ámbito administrativo, dando respuesta a retos complejos derivados del alto grado de sofisticación de las tecnologías aplicadas a la prestación de servicios públicos por los medios electrónicos. 2. OBJETIVOS El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas. Por lo que sus objetivos principales son los siguientes: – Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. – Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información. El Esquema Nacional de Seguridad 5
  • 6. Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información. – Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria. También persigue lo siguiente: – Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. – Facilitar un tratamiento continuado de la seguridad, al margen de ‘impulsos del momento’ o bien de su ausencia. – Proporcionar instrumentos a las administraciones públicas para gestionar la seguridad de la información frente a las dinámicas e intereses del mercado. En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas pero deficientemente ensambladas. Dada la naturaleza de la seguridad, la consecución de estos objetivos requiere un desarrollo que tenga en cuenta la complejidad técnica, la obsolescencia de la tecnología subyacente y el importante cambio que supone en la operativa de la Administración la aplicación de la Ley 11/2007. 3. ESTRUCTURA Y CONTENIDO El Esquema Nacional de Seguridad establece los principios básicos y requisitos mínimos que, de acuerdo con el interés general, naturaleza y complejidad de la materia regulada, permiten una protección adecuada de la información y de los servicios en el ámbito de la Ley 11/2007. Sus elementos principales son los siguientes: El Esquema Nacional de Seguridad 6
  • 7. Los principios básicos a considerar en las decisiones en materia de seguridad. – Los requisitos mínimos que permitan una protección adecuada de la información. – El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger. – La auditoría de la seguridad. – Las comunicaciones electrónicas. – La respuesta ante incidentes de seguridad. – La certificación de la seguridad. – La conformidad. El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas deberán disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos, según se expone a Figura 1: Panorámica de principios básicos, requisitos mínimos y medidas de seguridad. continuación. 3.1 Los principios básicos. En primer lugar se introducen los principios básicos que constituyen fundamentos que deben regir toda acción orientada a asegurar la información y los servicios: El Esquema Nacional de Seguridad 7
  • 8. Seguridad integral: la seguridad se entiende como un proceso integral, constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados. – Gestión de riesgos: permite el equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que están expuestos y las medidas de seguridad. – Prevención, reacción y recuperación: la seguridad debe contemplar la prevención, reacción y recuperación para conseguir que las amenazas no se materialicen o no afecten gravemente a la información y los servicios. Además, sin merma de los demás principios básicos y requisitos mínimos establecidos, el sistema garantizará la conservación de los datos e informaciones en soporte electrónico. – Líneas de defensa: constituidas por medidas de naturaleza organizativa, física y lógica, permiten ganar tiempo, reducir la posibilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo. – Reevaluación periódica: las medidas de seguridad requieren de la reevaluación y actualización periódicas para adecuar su eficacia a la evolución de los riesgos y de los sistemas de protección. – La seguridad como función diferenciada: es necesario distinguir las responsabilidades relativas a la información, a los servicios y a la seguridad. El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. 3.2 Los requisitos mínimos. En segundo lugar, se introducen los requisitos mínimos que son exigencias necesarias para asegurar la información y los servicios: – Organización e implantación del proceso de seguridad: la política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. El Esquema Nacional de Seguridad 8
  • 9. Análisis y gestión de los riesgos: las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos. – Gestión de personal: todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. – Profesionalidad: la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. – Autorización y control de los accesos: el acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas. – Protección de las instalaciones: los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. – Adquisición de productos: en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones Públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. – Seguridad por defecto: los sistemas deberán diseñarse y configurarse para que garanticen la seguridad por defecto. – Integridad y actualización del sistema: todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Y se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. – Protección de la información almacenada y en tránsito: se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. – Prevención ante otros sistemas de información interconectados: el sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. El Esquema Nacional de Seguridad 9
  • 10. Registro de actividad: con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. – Incidentes de seguridad: se establecerá un sistema de detección y reacción frente a código dañino. Y se registrarán los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. – Continuidad de la actividad: los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo. – Mejora continua del proceso de seguridad: el proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 3.3 El mecanismo para el cumplimiento de los requisitos mínimos. En tercer lugar, se señala el mecanismo para lograr el cumplimiento de los requisitos mínimos, a través de la adopción de las correspondientes medidas de seguridad. Este mecanismo responde a la necesidad de modular el equilibrio entre la importancia de la información que se maneja y de los servicios que se prestan, por un lado, y el esfuerzo de seguridad requerido, en función de los riesgos a los que se está expuesto, bajo el criterio del principio de proporcionalidad, por otro lado. Para facilitar la aplicación del principio de proporcionalidad se contempla la categorización de los sistemas en tres categorías, BÁSICA, MEDIA y ALTA, en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los servicios a proteger con perjuicio para las dimensiones de seguridad, disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad, que a su vez se valoran en tres escalones BAJO, MEDIO y ALTO. En la valoración del impacto sobre estas dimensiones cabe tener en cuenta la repercusión en la capacidad de la El Esquema Nacional de Seguridad 10
  • 11. organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y de los derechos de los ciudadanos. A la luz de lo anterior, la determinación de la categoría de un sistema de información se realiza de acuerdo con lo siguiente: Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO; de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior; y de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior. La determinación de la categoría de un sistema sobre esta base no implica que se altere el nivel de las dimensiones de seguridad que no han influido en la determinación de la categoría del mismo. Seguidamente, la selección de las medidas de seguridad apropiadas se ha de realizar de acuerdo con las dimensiones de seguridad y sus niveles y, para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. 3.4 Las medidas de seguridad Las medidas de seguridad se estructuran en los siguientes tres grupos: – Marco organizativo: Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. – Marco operacional: Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. – Medidas de protección: Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las Figura 2: Panorámica de las dimensiones afectadas. medidas de seguridad. La articulación entre la protección de datos de carácter personal y el Esquema Nacional de Seguridad se plantea según la mecánica siguiente: cuando un sistema al que El Esquema Nacional de Seguridad 11
  • 12. afecte el Esquema Nacional de Seguridad maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema. Para lograr un mejor cumplimiento del Esquema se hace referencia a los servicios e infraestructuras comunes y a las guías de seguridad elaboradas por el Centro Criptológico Nacional (CCN). Adicionalmente se tratan otros aspectos tales como los que se indican a continuación. 3.5 La auditoría de la seguridad. En cuarto lugar, se establece la auditoría de la seguridad que verifique el cumplimiento del Esquema al menos cada dos años. Dicha auditoría se realizará en función de la categoría del sistema y para la misma se utilizarán los criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicable a la misma. El informe de auditoría deberá dictaminar sobre el grado de cumplimiento del Esquema, identificar las deficiencias y sugerir las posibles medidas correctoras o complementarias necesarias, así como las recomendaciones que se consideren oportunas; deberá, igualmente, incluir los criterios metodológicos de auditorías utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas. Los informes de auditoría serán presentados al responsable del sistema y al responsable de seguridad competentes. Estos informes serán analizados por este último que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas. 3.6 Las comunicaciones electrónicas. Junto con las cuestiones anteriores se tratan diversos aspectos que también tienen relevancia como los que se exponen a continuación. Se tratan las comunicaciones electrónicas contemplando las condiciones técnicas de seguridad de este tipo de comunicaciones, los requerimientos técnicos de notificaciones y publicaciones electrónicas y la firma electrónica: – Se establece un mandato para que las condiciones técnicas de seguridad de las comunicaciones electrónicas en lo relativo a la constancia de la transmisión y El Esquema Nacional de Seguridad 12
  • 13. recepción, de sus fechas, del contenido integro de las comunicaciones y la identificación fidedigna del remitente y destinatario de las mismas, sean implementadas de acuerdo con lo establecido en el Esquema Nacional de Seguridad. – En cuanto a los requerimientos técnicos de las notificaciones y publicaciones electrónicas, se establecen exigencias técnicas relativas al aseguramiento de la autenticidad del organismo que lo publique, de la integridad de la información publicada, de la constancia de fecha y hora de puesta a disposición del interesado y acceso al contenido, así como de la autenticidad del destinatario. – En cuanto a la firma electrónica, se contempla que los mecanismos de firma electrónica serán establecidos de acuerdo con lo previsto en las medidas de seguridad, con la política de firma electrónica que concretará los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas. 3.7 La respuesta a incidentes de seguridad Se trata la respuesta a incidentes de seguridad donde se recoge como capacidad de respuesta a los incidentes de seguridad de los sistemas en las Administraciones Públicas, la estructura CCN-CERT del Centro Criptológico Nacional que actuará sin perjuicio de las capacidades de respuesta que pueda tener cada administración pública, y de su función como coordinador a nivel nacional e internacional, prestando los siguientes servicios a las Administraciones públicas: – Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad o agresiones recibidas por las distintas Administraciones públicas (general, autonómica y local) y las Entidades de Derecho público con personalidad jurídica propia dependientes de éstas. Para el cumplimiento de estos fines se podrán recabar los informes de auditoría de los sistemas afectados. – Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de la Administración. El Esquema Nacional de Seguridad 13
  • 14. Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información. – Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. De igual modo, se regula el desarrollo por parte del CCN-CERT de un programa que ofrezca apoyo a las Administraciones públicas para que desarrollen sus propias capacidades de respuesta a incidentes de seguridad. Figura 3: Portal CCN-CERT, disponible en https://www.ccn- cert.cni.es/ 3.8 Certificación de la seguridad El Esquema también destaca la importancia de la certificación a la hora de adquirir productos de seguridad por parte de la Administración. En particular, reconoce la contribución de los productos evaluados y certificados para el cumplimiento de los requisitos mínimos de manera proporcionada. Se cita al Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC (el propio Centro Criptológico Nacional) como aquel encargado de determinar el criterio a cumplir en función del uso previsto del producto, en relación con el nivel de evaluación, otras certificaciones de seguridad que se requieran adicionales, así como en aquellos casos en los que no existan productos certificados. Se contempla que se valorarán positivamente aquellos productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Asimismo, en diversas ocasiones, el Esquema señala la recomendación y, o bien, obligación de utilizar algoritmos certificados por el Centro Criptológico Nacional a la hora de utilizar diferentes productos o El Esquema Nacional de Seguridad 14
  • 15. características de los sistemas, como en el caso de la utilización de dispositivos físicos (tokens), protección de claves criptográficas, protección de la confidencialidad, autenticidad e integridad o de los medios utilizados en la firma electrónica. Y se incluye, finalmente, un modelo de cláusula para los pliegos de prescripciones técnicas. Figura 4: Portal del Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las TIC, en http://www.oc.ccn.cni.es/index_es.html 3.9 Conformidad con el Esquema Nacional de Seguridad Se tratan también las normas de conformidad con el Esquema Nacional de Seguridad en cuanto a sedes y registros electrónicos; ciclo de vida de servicios y sistemas, mecanismos de control para garantizar el cumplimiento del Esquema, así como la publicación de la citada conformidad. 3.10 Otras cuestiones Finalmente, las disposiciones adicionales inciden en las cuestiones siguientes: – La formación necesaria para garantizar el conocimiento del Esquema Nacional de Seguridad por parte del personal de las Administraciones Públicas. – INTECO, y otras entidades análogas, podrán desarrollar proyectos de innovación y programas de investigación dirigidos a la mejor implantación de las medidas de seguridad contempladas en el Esquema. El Esquema Nacional de Seguridad 15
  • 16. Se establece un órgano colegiado para la cooperación de las Administraciones Públicas en materia de adecuación e implantación de lo previsto en el Esquema. 4. ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad: los sistemas de las administraciones deberán estar adecuados a este Esquema en el plazo de doce meses, aunque si hubiese circunstancias que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor. El plan de adecuación al que se refiere el párrafo anterior será elaborado por el Responsable de Seguridad del sistema, deberá estar aprobado por los órganos superiores competentes y contendrá la siguiente información: – La política de seguridad. – Información que se maneja, con su valoración. – Servicios que se prestan, con su valoración. – Datos de carácter personal. – Categoría del sistema. – Declaración de aplicabilidad de las medidas del Anexo II del ENS. – Análisis de riesgos. – Insuficiencias del sistema. – Plan de mejora seguridad, incluyendo plazos estimados de ejecución. Por otra parte, de acuerdo con lo previsto en el artículo 29 del Real Decreto 3/2010, relativo a la elaboración de guías de seguridad por parte de Centro Criptológico Nacional para mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, se vienen elaborando las siguientes guías disponibles en el Portal del CCN-CERT: – Guía 800 - Glosario de Términos y Abreviaturas del ENS. – Guía 801 - Responsables y Funciones en el Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad 16
  • 17. Guía 802 - Auditoría del Esquema Nacional de Seguridad. – Guía 803 - Valoración de sistemas en el Esquema Nacional de Seguridad. – Guía 804 - Medidas de implantación del Esquema Nacional de Seguridad. – Guía 805 - Política de Seguridad de la Información. – Guía 806 - Plan de Adecuación del Esquema Nacional de Seguridad. – Guía 807 - Criptología de empleo en el Esquema Nacional de Seguridad. – Guía 808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. – Guía 809 - Declaración de Conformidad del Esquema Nacional de Seguridad. Estas guías también se acompañan de herramientas para la realización del análisis y gestión de riesgos. 5. MÁS INFORMACIÓN – Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. URL: http://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf – Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. URL: http://www.boe.es/boe/dias/2009/11/18/pdfs/BOE-A-2009- 18358.pdf. – Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1330.pdf – Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. URL: http://www.boe.es/boe/dias/2010/01/29/pdfs/BOE-A-2010-1331.pdf – Portal CCN-CERT. URL: http://www.ccn-cert.cni.es/ – Serie de Guías CCN-STIC. URL: http://www.ccn-cert.cni.es/. El Esquema Nacional de Seguridad 17
  • 18. Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. URL: http://www.oc.ccn.cni.es/index_es.html – MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. URL: http://administracionelectronica.gob.es/? _nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=184 – OCDE, Directrices para la seguridad de sistemas y redes de información - Hacia una cultura de seguridad URL: http://administracionelectronica.gob.es/? _nfpb=true&_pageLabel=P1001588021272550014344&langPae=es&detalleLista=P AE_000001340 El Esquema Nacional de Seguridad 18
  • 19. ANEXO. MEDIDAS DE SEGURIDAD Tabla de medidas de seguridad extraída del anexo II del Real Decreto 3/2010. El Esquema Nacional de Seguridad 19
  • 20. El Esquema Nacional de Seguridad 20