1
Miguel A. Amutio Gómez
Subdirector Adjunto
Dirección General de Modernización Administrativa,
Procedimientos e Impulso d...
2
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Cuál es el grado de avance
de los organismos públicos
en la impla...
3
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
El Esquema Nacional de Seguridad
Objetivos
4
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Seguimiento en las AA.PP.:
 Acuerdos de la Comisión Permanente del C...
5
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
 El grado de avance debería ser mayor.
 Aunque se ha hecho esfuerzo...
6
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Es esencial que haya:
 un plan de adecuación;
 un responsable de se...
7
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
2. ¿Qué novedades podemos
esperar este año en el ENS?
8
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
9
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Evolución del ENS
A la luz de la experiencia adquirida, de los coment...
10
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Armonizar el modo común de actuar en relación con ciertas
cuestiones...
11
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Consolidar información de los incidentes serios:
 Mediante una Inst...
12
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
 3.4 Proceso de autorización [org.4]
 4.1.2. Arquitectura de segur...
13
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
3. ¿Cómo demostrar la
conformidad con el ENS?
 Auditoría periódica
...
14
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1) Auditoría periódica para verificar el cumplimiento del ENS (art. ...
15
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Informe del estado de la seguridad
• Despliegue de la herramienta ‘I...
16
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
 Publicación de conformidad respecto al cumplimiento del ENS (art. ...
17
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
ENS y 27001
 ENS:
 Trata la protección de información y servicios,...
18
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
• Correos electrónicos
– ens@ccn-cert.cni.es
– ens.minhap@correo.gob...
Próxima SlideShare
Cargando en…5
×

Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad en las Administraciones Públicas"

474 visualizaciones

Publicado el

Seminario Estrategia de Ciberseguridad Nacional- Mesa redonda "La seguridad en las Administraciones
Públicas"

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
474
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
19
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad en las Administraciones Públicas"

  1. 1. 1 Miguel A. Amutio Gómez Subdirector Adjunto Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas Mesa redonda "La seguridad en las Administraciones Públicas" Sevilla, 4 de junio de 2014
  2. 2. 2 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. ¿Cuál es el grado de avance de los organismos públicos en la implantación del ENS?
  3. 3. 3 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS El Esquema Nacional de Seguridad Objetivos
  4. 4. 4 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Seguimiento en las AA.PP.:  Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.  Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.  Participación de carácter voluntario.  Herramienta disponible en el Portal de CCN-CERT. Adecuación al ENS, Seguimiento
  5. 5. 5 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS  El grado de avance debería ser mayor.  Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.  Situación comparativa para una muestra de medidas de seguridad consideradas particularmente significativas: ¿Dónde estamos?
  6. 6. 6 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Es esencial que haya:  un plan de adecuación;  un responsable de seguridad nombrado;  una categorización de los sistemas;  que se realice el análisis de riesgos. Recomendaciones:  Abordar aspectos de gobernanza y documentación: • Proceso de autorización y Arquitectura de seguridad.  Aplicar guías CCN-STIC: Configuración de seguridad y Protección de aplicaciones web.  Impulsar : • [op.exp.2] Configuración de seguridad. • [op.exp.3] Gestión de la configuración. • [op.exp.4] Mantenimiento y [op.exp.5] Gestión de cambios. • [op.exp.8] Registro de la actividad de los usuarios. • [op.mon.1] Detección de intrusión y [op.mon.2] Sistema de métricas. • [mp.per.3] Concienciación y [mp.per.4] Formación. ¿Qué podemos hacer? Recomendaciones
  7. 7. 7 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 2. ¿Qué novedades podemos esperar este año en el ENS?
  8. 8. 8 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS
  9. 9. 9 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Evolución del ENS A la luz de la experiencia adquirida, de los comentarios recibidos y de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio europeo:  ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil para todos?  ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad?  ¿Qué medidas de seguridad deben mejorarse?
  10. 10. 10 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Armonizar el modo común de actuar en relación con ciertas cuestiones.  Mediante la figura de las ‘Instrucciones Técnicas de Seguridad’.  Se aplicarían procedimientos consolidados en las Normas Técnicas de Interoperabilidad. Asentar un mecanismo que permita recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.  Son necesarios procedimientos para recogida y consolidación de información, aspectos metodológicos y responsables de su realización. Evolución del ENS <No exhaustivo. Sometido a cambios>
  11. 11. 11 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Consolidar información de los incidentes serios:  Mediante una Instrucción Técnica de Seguridad se determinarían las características de los incidentes sujetos a notificación y el procedimiento para realizarla.  La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de la UE. Tener en cuenta evidencias necesarias para la investigación:  Como: registros de auditoría, configuraciones, soportes y otra información relevante.  Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, y su normativa de desarrollo. Evolución del ENS <No exhaustivo. Sometido a cambios>
  12. 12. 12 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS  3.4 Proceso de autorización [org.4]  4.1.2. Arquitectura de seguridad [op.pl.2]  4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas  4.2.5. Mecanismo de autenticación [op.acc.5]  4.3.8. Registro de la actividad de los usuarios [op.exp.8]  4.6.1. Detección de intrusión [op.mon.1]  4.6.2. Sistema de métricas [op.mon.2]  5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]  5.5.5. Borrado y destrucción [mp.si.5]  5.7.4. Firma electrónica [mp.info.4]  5.7.7. Copias de seguridad [mp.info.9] <No exhaustivo. Sometido a cambios> ¿Qué medidas de seguridad deben mejorarse y cómo?
  13. 13. 13 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 3. ¿Cómo demostrar la conformidad con el ENS?  Auditoría periódica  Informe del estado de la seguridad  Certificación de la conformidad
  14. 14. 14 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1) Auditoría periódica para verificar el cumplimiento del ENS (art. 34).  Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables.  Según los siguientes términos: • La política de seguridad define roles y funciones. • Existen procedimientos para resolución de conflictos. • Se aplica el principio de segregación de funciones. • Se ha realizado el análisis de riesgos, con revisión y aprobación anual. • Existe un sistema de gestión de seguridad de la información documentado. Auditoría periódica Véase:  “802 Auditoría del Esquema Nacional de Seguridad”  “808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es
  15. 15. 15 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Informe del estado de la seguridad • Despliegue de la herramienta ‘INES’ para facilitar la recogida y consolidación de información para el Informe del Estado de la Seguridad (RD 3/2010, art. 35 y línea de acción 2 de Estrategia de Ciberseguridad Nacional).
  16. 16. 16 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS  Publicación de conformidad respecto al cumplimiento del ENS (art. 41):  Declaraciones de conformidad y distintivos de seguridad de los que sean acreedores, respecto al cumplimiento del ENS.  Manifestación expresa de que el sistema cumple lo establecido en el ENS.  Declarativas en las sedes electrónicas.  Hay capacidades solventes de auditoría/evaluación, certificación y acreditación.  Certificado de conformidad con el ENS:  Experiencia de AENOR y del Consejo General de la Abogacía con RedAbogacía.  Certificación de la conformidad con el ENS: Acreditación de que se cumplen los requisitos del ENS.  Alcance del certificado.  Certificación al sistema de gestión de seguridad de la información (SGSI) Conformidad con el ENS
  17. 17. 17 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ENS y 27001  ENS:  Trata la protección de información y servicios, de forma proporcionada para racionalizar la implantación de las medidas.  Contempla aspectos de especial interés para protección de información y servicios de administración-e.  Exige la gestión continuada de la seguridad.  27001:  Contiene requisitos para la construcción (y posterior certificación, en su caso) de un sistema de gestión de seguridad de la información.  Norma de gestión, de cumplimiento voluntario y certificable.  Guía CCN-STIC 825, relación entre ENS y 27001:  Explica la utilización de una certificación 27001 como soporte de cumplimiento del ENS.  Ayuda a determinar qué controles de la norma 27002 son necesarios para cumplimiento de cada medida del Anexo II y, en su caso, qué elementos adicionales son requeridos.
  18. 18. 18 MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS • Correos electrónicos – ens@ccn-cert.cni.es – ens.minhap@correo.gob.es – ccn@cni.es – sondas@ccn-cert.cni.es – redsara@ccn-cert.cni.es – organismo.certificacion@cni.es • Páginas Web: – administracionelectronica.gob.es – www.ccn-cert.cni.es – www.ccn.cni.es – www.oc.ccn.cni.es Muchas gracias por su atención

×