ESQUEMA NACIONAL DE SEGURIDAD            Madrid, 16 de marzo de 2012                Miguel A. Amutio Gómez      Jefe de Ár...
Contenidos1. Por qué el ENS.2. Marco legal.3. Adecuarse al ENS.4. Relación del ENS con 27001 y 27002.5. Retos.
1. Por qué el ENS                                Seguridad y administración-e Los ciudadanos esperan que los servicios se...
2. Marco legal                                    Seguridad en la Ley 11/22007La Ley 11/2007 de acceso electrónico de los ...
ENS Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo  previsto sobre seguridad en la Ley 11/2007. Establ...
Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas...
3. Adecuarse al ENS
Elaborar y aprobar la                                       Política de seguridad Las AA.PP. deberán disponer de política...
Categorizar los sistemas Es necesario para modular el equilibrio entre la importancia de los sistemas y el  esfuerzo dedi...
Analizar los riesgosHerramienta PILAR / µPILAR : Perfil de protección para el ENSVéase https://www.ccn-cert.cni.es/
Elaborar la declaración de                                   aplicabilidad   Incorporar el cumplimiento del ENS en los pl...
Auditar la seguridad    Auditoría periódica para verificar el cumplimiento del ENS.         Categoría MEDIA o ALTA     ...
Publicar la conformidad    Manifestación expresa de que el sistema cumple lo establecido en el    ENS.    No se observan...
Conocer el estado de la                                seguridadEl ENS establece la obligación de conocer regularmente el ...
Usar guías e instrumentosEsfuerzo realizado para proporcionar guías e instrumentos de apoyo:Guías CCN-STIC publicadas:•   ...
Comunicar los incidentes                              de seguridad                                CCN-CERT: Centro de aler...
Considerar los productos                                 certificados                                          El ENS rec...
Preguntar• Escucha y resolución de dudas de manera continuada.• Construcción de una base de conocimiento sobre cuestiones ...
Formarse                 URL: https://www.ccn-cert.cni.es    URL: http://administracionelectronica.gob.es/
En qué puede ayudarla Industria a las AA.PP.      Ayudar a conocer y analizar la situación de       partida.      Elabor...
4. ENS, 27001 y 27002ENS, RD 3/2010  Es una norma jurídica, al servicio de la realización de derechos de los ciudadanos y...
ENS, 27001 y 27002
5. Retos Impulsar la implantación del ENS en los años 2012 y 2013. Adecuarse en condiciones de limitación de recursos  h...
Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid...
Próxima SlideShare
Cargando en…5
×

20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)

1.261 visualizaciones

Publicado el

Esta presentación repasa las acciones principales para adecuarse al Esquema Nacional de Seguridad de España.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.261
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
52
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)

  1. 1. ESQUEMA NACIONAL DE SEGURIDAD Madrid, 16 de marzo de 2012 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas
  2. 2. Contenidos1. Por qué el ENS.2. Marco legal.3. Adecuarse al ENS.4. Relación del ENS con 27001 y 27002.5. Retos.
  3. 3. 1. Por qué el ENS Seguridad y administración-e Los ciudadanos esperan que los servicios se presten en unas condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de las Administración. Crece la proporción del soporte electrónico frente al papel; y, cada vez más, ya no hay papel. Los servicios se prestan en un escenario complejo que requiere cooperación. La información y los servicios están sometidos a riegos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.La OCDE señala que el marco legal es un aspecto importante en la preparación de la administración-e.
  4. 4. 2. Marco legal Seguridad en la Ley 11/22007La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicosreconoce el derecho de los ciudadanos a relacionarse a travésde medios electrónicos con las AA.PP.Este reconocimiento implica la obligación de las AA.PP. de promociónde las condiciones de confianza y seguridad mediante la aplicaciónsegura de las tecnologías.Diversos principios de la Ley 11/2007 se refieren a la seguridad:  El principio de derecho a la protección de los datos de carácter personal.  El principio de seguridad en la implantación y utilización de los medios electrónicos.  El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones.La seguridad figura también entre los derechos de los ciudadanos:  Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP.La Ley 11/2007 crea el Esquema Nacional de Seguridad.
  5. 5. ENS Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo previsto sobre seguridad en la Ley 11/2007. Establece la política de seguridad en los servicios de administración-e.  Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Es de aplicación a todas las AA.PP.  Están excluidos los sistemas que manejan la información clasificada. Establece un mecanismo de adecuación escalonado (fecha límite 29.01.2014). Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
  6. 6. Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia. Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. Proporcionar lenguaje y elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. – Para facilitar la interacción y la cooperación de las AA.PP. – Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria. Estimular a la Industria del sector TIC.
  7. 7. 3. Adecuarse al ENS
  8. 8. Elaborar y aprobar la Política de seguridad Las AA.PP. deberán disponer de política de seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información. Secciones típicas de una Política de S.I.: 1. Misión u objetivos del organismo • Atención a: 2. Marco normativo - Los roles en el ENS. 3. Organización de seguridad – Definición de comités y roles unipersonales - Su ubicación adecuada en la org. – Funciones - La segregación de funciones. – Responsabilidades – Mecanismos de coordinación – Procedimientos de designación de personas 4. Concienciación y formación 5. Postura para la gestión de riesgos – Plan de análisis – Criterios de evaluación de riesgos – Directrices de tratamiento – Proceso de aceptación del riesgo residual 6. Proceso de revisión de la política de seguridad Véase “CCN-STIC-801 Responsables y funciones en el ENS” y “CCN-STIC-805 Política de seguridad de la información”, disponibles en https://www.ccn-cert.cni.es
  9. 9. Categorizar los sistemas Es necesario para modular el equilibrio entre la importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el principio de proporcionalidad. La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría un incidente con repercusiones en la capacidad organizativa y con perjuicio en las dimensiones de la seguridad. Véase “CCN-STIC-803 Valoración de sistemas en el ENS” disponible en https://www.ccn-cert.cni.es
  10. 10. Analizar los riesgosHerramienta PILAR / µPILAR : Perfil de protección para el ENSVéase https://www.ccn-cert.cni.es/
  11. 11. Elaborar la declaración de aplicabilidad Incorporar el cumplimiento del ENS en los pliegos de prescripciones técnicas de las contrataciones.Véase “CCN-STIC-806 Plan de adecuación del ENS” y “CCN-STIC-804 Medidasde implantación del ENS”, disponibles en https://www.ccn-cert.cni.es
  12. 12. Auditar la seguridad Auditoría periódica para verificar el cumplimiento del ENS.  Categoría MEDIA o ALTA  Categoría BÁSICA: autoevaluación. Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables. Según los siguientes términos:  La política de seguridad define roles y funciones.  Existen procedimientos para resolución de conflictos.  Se aplica el principio de segregación de funciones.  Se ha realizado el análisis de riesgos, con revisión y aprobación anual.  Existe un sistema de gestión de seguridad de la información documentado.Véase “CCN-STIC-802 GUÍA DE AUDITORÍA”disponible en https://www.ccn-cert.cni.es
  13. 13. Publicar la conformidad Manifestación expresa de que el sistema cumple lo establecido en el ENS. No se observan, por el momento, referencias a la conformidad con el ENS en la sección de declarativas de las sedes electrónicas. No existe, de momento, una certificación oficial de adecuación. Oferta del mercado: se va incluyendo la adecuación al ENS en ofertas de servicios de auditoría y de cumplimiento normativo.
  14. 14. Conocer el estado de la seguridadEl ENS establece la obligación de conocer regularmente el estado de laseguridad:Se contempla el establecimiento de un sistema de medición: Fuente: trabajo en curso sobre la guía CCN-STIC 815De interés para conocer: La evolución de la implantación del ENS. El estado de seguridad general de la Administración. El estado de seguridad de una entidad concreta.
  15. 15. Usar guías e instrumentosEsfuerzo realizado para proporcionar guías e instrumentos de apoyo:Guías CCN-STIC publicadas:• 800 - Glosario de Términos y Abreviaturas del ENS.• 801 - Responsables y Funciones en el ENS.• 802 - Auditoría del ENS.• 803 - Valoración de sistemas en el ENS. Disponibles en https://www.ccn-cert.cni.es• 804 - Medidas de implantación del ENS.• 805 - Política de Seguridad de la Información.• 806 - Plan de Adecuación del ENS.• 807 - Criptología de empleo en el ENS.• 808 - Verificación del cumplimiento de las medidas en el ENS.• 809 - Declaración de Conformidad del ENS.• 810 - Guía de Creación de un CERT/CSIRT.• 812 - Seguridad en Entornos y Aplicaciones Web.• 813 - Componentes certificados.• 814 - Seguridad en correo electrónico.• 815 - Indicadores y Métricas en el ENS.En desarrollo:• 816 - Seguridad en Redes Inalámbricas en el ENS.• 817 - Criterios Comunes para la Gestión de Incidentes de Seguridad en el ENS.• 818 - Herramientas de seguridad.• MAGERIT v3Próximamente:• 819 – Requisitos de seguridad en redes privadas virtuales en el ENS.• 820 – Requisitos de seguridad de cloud computing en el ENS• 821 – Seguridad en DNS en el ámbito del ENS.Programas de apoyo:• PILAR y µPILARServicios de respuesta a incidentes de seguridad CCN-CERT+ Esquema Nacional de Evaluación y Certificación
  16. 16. Comunicar los incidentes de seguridad CCN-CERT: Centro de alerta y respuesta de incidentes de seguridad, ayuda a las AA.PP. a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información. Comunidad: AA.PP. de España Reconocimiento internacional: 2007, EGC (2008) Presta servicios de:  resolución de incidentes,  divulgación de buenas prácticas,  formación  e información de amenazas y alertas.https://www.ccn-cert.cni.es/  Sondas en Red SARA e Internet.
  17. 17. Considerar los productos certificados  El ENS reconoce la contribución de los productos evaluados y certificados para el cumplimiento de los requisitos mínimos de manera proporcionada.  Relación con el Organismo de Certificación (el propio CCN).  La certificación es un aspecto a considerar al adquirir productos de seguridad.  En función del nivel, se contempla el uso preferentemente de productos certificados.  Modelo de cláusula para los pliegos de prescripciones técnicas.http://www.oc.ccn.cni.es/index_en.html
  18. 18. Preguntar• Escucha y resolución de dudas de manera continuada.• Construcción de una base de conocimiento sobre cuestiones de interés común.• Destacan las preguntas sobre:  El ámbito de aplicación del ENS.  Relación entre ENS y LOPD/RD 1720/2007  Elaboración de la política de seguridad.  Organización y roles singulares en el ENS.  Valoración y categorización de sistemas.  Aplicación de medidas concretas.  El papel del análisis de riesgos.  La adquisición de productos de seguridad. URL: https://www.ccn-cert.cni.es URL: http://administracionelectronica.gob.es/
  19. 19. Formarse URL: https://www.ccn-cert.cni.es URL: http://administracionelectronica.gob.es/
  20. 20. En qué puede ayudarla Industria a las AA.PP.  Ayudar a conocer y analizar la situación de partida.  Elaborar el plan de adecuación.  Asesorar sobre ciertos aspectos: – Alcance (información y servicios incluidos). – Organización de la seguridad. – Elaboración de política de seguridad.  Valorar los sistemas, para su categorización.  Analizar los riesgos.  Elaborar la declaración de aplicabilidad.  Implantar las medidas de seguridad.  Aplicar guías y herramientas para adecuación.  Auditar la conformidad con el ENS.  Elaborar declaración de conformidad con ENS.
  21. 21. 4. ENS, 27001 y 27002ENS, RD 3/2010  Es una norma jurídica, al servicio de la realización de derechos de los ciudadanos y de aplicación obligatoria a todas las AA.PP.  Trata la ‘protección’ de la información y los servicios y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un “sistema de gestión de seguridad de la información”.ISO/IEC 27001  Es una norma de ‘gestión’ que contiene los requisitos de un sistema de gestión de seguridad de la información, voluntariamente certificable.  La certificación de conformidad con 27001: NO es obligatoria en el ENS. Aunque quien se encuentre certificado contra 27001 tiene parte del camino recorrido para lograr su conformidad con el ENS.ISO/IEC 27002  Aunque muchas de las medidas indicadas en el anexo II del ENS coinciden con controles de 27002, el ENS es más preciso y establece un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas y reducir la discrecionalidad.  27002 carece de esta proporcionalidad, quedando a la mejor opinión del auditor que certifica la conformidad con 27001.  El ENS contempla diversos aspectos de especial interés para la protección de la información y los servicios de administración electrónica (por ejemplo, aquellos relativos a la firma electrónica) no recogidos en 27002.
  22. 22. ENS, 27001 y 27002
  23. 23. 5. Retos Impulsar la implantación del ENS en los años 2012 y 2013. Adecuarse en condiciones de limitación de recursos humanos y económicos. Áreas de trabajo de interés particular: • Responsables de seguridad y de recursos asignados. • Elaboración de políticas de seguridad globales. • Procedimientos y directrices de seguridad para los usuarios. • Mejora en el Control de accesos, configuraciones de seguridad y capacidad de reacción ante ataques. Responder a cuestiones prácticas sobre adecuación al ENS. Continuar el desarrollo de guías y otros instrumentos que faciliten la adecuación al ENS. Articular procedimientos para conocer regularmente el estado de seguridad en las AA.PP.
  24. 24. Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es Portal de la Administración Electrónica - ENS:http://administracionelectronica.gob.es Preguntas frecuentes:https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2855&Itemid=211&lang=eshttp://administracionelectronica.gob.es Espacio virtual del ENS:http://circa.administracionelectronica.gob.es/circabc Contacto para preguntas, dudas: ens@ccn-cert.cni.es

×