Los Jueves de ISACA: 5 de febrero.
Estado de situación y retos del ENS.
Miguel A. Amutio Gómez
Subdirector Adjunto
Direcci...
Contenidos
1. Por qué es necesaria la seguridad de la
información y los servicios en la
Administración.
2. La seguridad en...
1. Por qué es necesaria la
seguridad de la información
y los servicios en la
Administración
Por qué es necesaria la seguridad de información y servicios
Fuente: Estudio comparativo de servicios realizado por la Com...
Por qué es necesaria la seguridad de información y servicios
 Los ciudadanos esperan que los servicios
se presten en cond...
Incremento notable de incidentes
Fuente: Informe mensual de Ciberseguridad CCN-CERT IS-10/14 Fuente: Estrategia de Ciberse...
OCDE
Directrices de seguridad de la información y de las redes: ... Evaluación del riesgo, Diseño
y realización de la segu...
2. La seguridad en el
marco legal de la
administración electrónica.
La seguridad en el marco legal
de la Administración Electrónica
La Ley 11/2007 de acceso electrónico de los ciudadanos a l...
El Esquema Nacional de Seguridad
 Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo
previsto sobre segurid...
Objetivos del ENS
 Crear las condiciones necesarias de confianza en el uso de los medios
electrónicos, a través de medida...
7 elementos principales
 Los Principios básicos, que sirven de guía.
 Los Requisitos mínimos, de obligado
cumplimiento.
...
Las AA.PP. deberán disponer de una política de
seguridad en base a los principios básicos y aplicando los
requisitos mínim...
Adecuarse al ENS: 8 acciones principales
Aspectos principales de la adecuación:
Elaborar y aprobar la política de
segurida...
3. ¿Dónde estamos?
Situación. Fuente: INES. Diciembre 2014
Organización
Medidas de seguridad – panorámica general
Situación. Fuente: INES. Diciembre 2014
Lo ideal es que las tres líneas se acerquen a la circunferencia exterior (nivel 5)...
¿Qué podemos hacer? Urgencias
 Servicios comunes
Servicios de seguridad gestionada prestados de forma centralizada.
4. Retos (7)
Remember, we
don’t have
problems, only
challenges
Reto 1: Asegurar la plena
implantación del ENS.
ECSN Línea de acción 2
Reto 2: Conocer e informar del estado
de la seguridad.
¿Hacia dónde vamos?, ¿dónde estamos?
Evaluar el estado de la seguridad de los SI
El ENS exige evaluar regularmente el estado de seguridad:
También, la medición...
Pero, ¿hacia dónde vamos?
Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es
Madurez y cumplimiento
Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es
Cómo medir dos faceta...
Madurez y cumplimiento
Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es
L0 – Inexistente: En ...
¿Dónde estamos? Actividades de seguimiento
Herramientas
 Desplegada la herramienta ‘INES’:
Facilita la recogida y consolidación de información para el Informe
del E...
Reforzar el conocimiento del
estado de la seguridad (I/II)
 Incrementar el nivel de participación
en el informe del estad...
Reforzar el conocimiento del
estado de la seguridad (II/II)
 Acotar la subjetividad:
– La autocomplacencia (¡qué bien est...
Reto 3: Conocer información de
carácter económico relativa a la
seguridad y al ENS.
Información de carácter económico
Necesitamos datos para:
 Estimar la eficacia y eficiencia de las actividades
llevadas a...
Reto 4: Implantar servicios comunes.
Reforzar la seguridad del conjunto mediante la
prestación centralizada de servicios de seguridad
 Ciertas medidas de segu...
Usar infraestructuras y servicios comunes.
Oportunidades en seguridad
 Reducción del perímetro físico: se reduce la carga...
Reto 5: Publicar la conformidad con el
ENS.

¿Una certificación de la conformidad
con el ENS?
Publicar la conformidad
 Publicación de conformidad respecto al cumplimiento del ENS:
 Declaraciones de conformidad y di...
Reto 6: Actualizar el ENS.
Actualizar el ENS
 Revisión del RD 3/2010 a la luz de:
 la experiencia adquirida,
 los comentarios recibidos por vías f...
Actualizar el ENS. Aspectos principales
 Se introducen las instrucciones técnicas de seguridad
para señalar el modo común...
 Artículo 15. Profesionalidad
Actualizar el ENS. Más
 Artículo 18. Adquisición de productos y contratación
de servicios de seguridad
Actualizar el ENS. Más
 Se añaden dos nuevos apartados 4 y 5 al artículo 27:
 La relación de medidas de seguridad se formalizará en una
Declara...
Actualizar el ENS
 Instrucciones técnicas de seguridad
 Artículo afectado: 29
 Para armonizar el modo común de actuar e...
Actualizar el ENS
Se introducen precisiones orientadas a aumentar la eficacia de
ciertas medidas de seguridad del Anexo II...
Se alinea con el informe del estado de la seguridad
previsto en el artículo 35.
Actualizar el ENS
4.6.2. Sistema de métric...
Se alinea con el Reglamento (UE) Nº 910/2014 de identidad
electrónica y servicios de confianza.
Se generaliza la redacción...
Reto 7: Extender el ENS a todos los
sistemas de la Administración.
Extender la aplicación del ENS a todos los sistemas
de información de la Administración
 A la fecha, el ámbito de aplicac...
5. Conclusiones
Conclusiones
 Evolución hacia la gestión electrónica de los servicios: los servicios 24
x 7 -> requieren seguridad 24 x 7...
 El RD 3/2010, 25 Guías CCN-STIC (Serie 800), seguimiento, herramientas,
servicios…
Pero sobre todo:
 Esfuerzo colectivo...
Muchas gracias
 Correos electrónicos
– ens@ccn-cert.cni.es
– ens.minhap@correo.gob.es
– ccn@cni.es
– sondas@ccn-cert.cni....
Guías CCN-STIC publicadas en https://www.ccn-cert.cni.es :
800 - Glosario de Términos y Abreviaturas del ENS
801 - Respons...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Seguridad (ENS).
Próxima SlideShare
Cargando en…5
×

Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Seguridad (ENS).

340 visualizaciones

Publicado el

Los Jueves de ISACA: 5 de febrero. Estado de situación y retos del Esquema Nacional de Seguridad (ENS).

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
340
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
5
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Seguridad (ENS).

  1. 1. Los Jueves de ISACA: 5 de febrero. Estado de situación y retos del ENS. Miguel A. Amutio Gómez Subdirector Adjunto Dirección de Tecnologías de la Información y las Comunicaciones
  2. 2. Contenidos 1. Por qué es necesaria la seguridad de la información y los servicios en la Administración. 2. La seguridad en el marco legal de la administración electrónica. 3. ¿Dónde estamos? 4. Retos. 5. Conclusiones.
  3. 3. 1. Por qué es necesaria la seguridad de la información y los servicios en la Administración
  4. 4. Por qué es necesaria la seguridad de información y servicios Fuente: Estudio comparativo de servicios realizado por la Comisión Europea.  España es líder de la Unión Europea en disponibilidad de servicios de Administración-e.  Volumen de tramitación-e de ciudadanos y empresas con la AGE en 2013: 76,2% Fuente: OBSAE. Boletín de indicadores de Administración Electrónica • diciembre 2014
  5. 5. Por qué es necesaria la seguridad de información y servicios  Los ciudadanos esperan que los servicios se presten en condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.  Buena parte de la información y los servicios manejados por las AA.PP. constituyen activos nacionales estratégicos.  Los servicios se prestan en un escenario complejo que requiere cooperación.  La información y los servicios están sometidos a riesgos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.  Los servicios 24 x 7 -> requieren seguridad 24 x 7.
  6. 6. Incremento notable de incidentes Fuente: Informe mensual de Ciberseguridad CCN-CERT IS-10/14 Fuente: Estrategia de Ciberseguridad Nacional
  7. 7. OCDE Directrices de seguridad de la información y de las redes: ... Evaluación del riesgo, Diseño y realización de la seguridad, Gestión de la seguridad, Reevaluación. Implementation Plan for the OECD Guidelines: “Government should develop policies that reflect best practices in security management and risk assessment...to create a coherent system of security.” UNIÓN EUROPEA Agenda Digital para Europa. Estrategia de ciberseguridad de la Unión Europea. Reglamento de identidad electrónica y servicios de confianza (eIDAS) Otros proyectos legislativos comunitarios en curso: de Directiva NIS, de Reglamento de protección de datos de carácter personal. ENISA Identificación de buenas prácticas y tendencias tecnológicas y emergentes: cloud computing, protección de datos de carácter personal y privacidad, criptografía, gestión de riesgos, respuesta ante incidentes, ... NORMALIZACIÓN nacional e internacional en seguridad de TI. ACTUACIONES EN OTROS PAÍSES: EE.UU.: Federal Information Security Management Act (FISMA). Otros: Reino Unido, Alemania, Francia Estrategias nacionales de ciberseguridad Contexto y referentes Agenda Digital para Europa
  8. 8. 2. La seguridad en el marco legal de la administración electrónica.
  9. 9. La seguridad en el marco legal de la Administración Electrónica La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce el derecho de los ciudadanos a relacionarse a través de medios electrónicos con las AA.PP. Este reconocimiento implica la obligación de las AA.PP. de promoción de las condiciones de confianza y seguridad mediante la aplicación segura de las tecnologías. Diversos principios de la Ley 11/2007 se refieren a la seguridad:  El principio de derecho a la protección de los datos de carácter personal.  El principio de seguridad en la implantación y utilización de los medios electrónicos.  El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones. La seguridad figura también entre los derechos de los ciudadanos:  Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP. La Ley 11/2007 crea el Esquema Nacional de Seguridad.
  10. 10. El Esquema Nacional de Seguridad  Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo previsto sobre seguridad en la Ley 11/2007.  Establece la política de seguridad en los servicios de administración-e. Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.  Es de aplicación a todas las AA.PP. Están excluidos los sistemas que manejan la información clasificada.  Establece un mecanismo de adecuación escalonado (fecha límite 30.01.2014).  Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
  11. 11. Objetivos del ENS  Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.  Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia.  Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.  Proporcionar lenguaje y elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. – Para facilitar la interacción y la cooperación de las AA.PP. – Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.  Proporcionar liderazgo en materia de buenas practicas.
  12. 12. 7 elementos principales  Los Principios básicos, que sirven de guía.  Los Requisitos mínimos, de obligado cumplimiento.  La Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas.  La auditoría de la seguridad que verifique el cumplimiento del ENS.  La respuesta a incidentes de seguridad. Papel de CCN- CERT.  El uso de productos certificados. La certificación, a considerar al adquirir los productos de seguridad. Papel del Organismo de Certificación (OC-CCN).  La formación y concienciación.
  13. 13. Las AA.PP. deberán disponer de una política de seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información. Para dar cumplimiento de los requisitos mínimos, se seleccionarán las medidas de seguridad proporcionadas, atendiendo a:  Los activos que constituyen el sistema.  La categoría del sistema. Básica, Media y Alta, según valoración de dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad).  Lo dispuesto en la Ley Orgánica 15/1999, y normativa de desarrollo.  Las decisiones que se adopten para gestionar los riesgos identificados. Política de seguridad y cumplimiento de requisitos mínimos
  14. 14. Adecuarse al ENS: 8 acciones principales Aspectos principales de la adecuación: Elaborar y aprobar la política de seguridad (art. 11) Definir roles y asignar personas. Responsable de seguridad. (art. 10) Categorizar los sistemas (art. 27) Analizar los riesgos está actualizado (art. 27) Seleccionar e implantar las medidas de seguridad. Preparar la declaración de aplicabilidad (Anexo II) Auditar la seguridad (art. 34) Publicar la conformidad en la sede electrónica (art. 41) Informar del estado de la seguridad (art. 35)
  15. 15. 3. ¿Dónde estamos?
  16. 16. Situación. Fuente: INES. Diciembre 2014 Organización Medidas de seguridad – panorámica general
  17. 17. Situación. Fuente: INES. Diciembre 2014 Lo ideal es que las tres líneas se acerquen a la circunferencia exterior (nivel 5). Lo peor es que baje la línea azul, Q(75). Malo es también que se acerque al centro la línea roja, mediana, o frontera del 50%. Medidas de seguridad – selección de medidas consideradas ‘críticas’
  18. 18. ¿Qué podemos hacer? Urgencias  Servicios comunes Servicios de seguridad gestionada prestados de forma centralizada.
  19. 19. 4. Retos (7) Remember, we don’t have problems, only challenges
  20. 20. Reto 1: Asegurar la plena implantación del ENS.
  21. 21. ECSN Línea de acción 2
  22. 22. Reto 2: Conocer e informar del estado de la seguridad. ¿Hacia dónde vamos?, ¿dónde estamos?
  23. 23. Evaluar el estado de la seguridad de los SI El ENS exige evaluar regularmente el estado de seguridad: También, la medición de la seguridad: Anexo II – Medidas de seguridad - 4 Marco operacional [op] - 4.6 Monitorización del sistema [op.mon] 4.6.2 Sistema de métricas [op.mon.2] Categoría ALTA Se establecerá un conjunto de indicadores que mida el desempeño real del sistema en materia de seguridad, en los siguientes aspectos: a) Grado de implantación de las medidas de seguridad. b) Eficacia y eficiencia de las medidas de seguridad. c) Impacto de los incidentes de seguridad.
  24. 24. Pero, ¿hacia dónde vamos? Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es
  25. 25. Madurez y cumplimiento Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es Cómo medir dos facetas de la implantación de las medidas:  Índice de cumplimiento: para evaluar la satisfacción de las medidas que se exigen en función de los niveles de seguridad o la categoría del sistema. Índice de madurez: para evaluar la implantación de las medidas en la organización. Enfoque: establecer un nivel de madurez de referencia para cada medida de protección del Anexo II del ENS, mediante una regla simple:
  26. 26. Madurez y cumplimiento Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es L0 – Inexistente: En el nivel L0 de madurez no hay nada. L1 - Inicial / ad hoc: Las salvaguardas existen, pero no se gestionan. El éxito depende de buena suerte. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de respuesta. El éxito del nivel L1 depende de tener personal de la alta calidad. L2 - Reproducible pero intuitivo: La eficacia de las salvaguardas depende de la buena suerte y de la buena voluntad de las personas. Los éxitos son repetibles, pero no hay plan para los incidentes más allá de la reacción heroica. Todavía hay un riesgo significativo de exceder las estimaciones de coste y tiempo. L3 - Proceso definido: Se despliegan y se gestionan las salvaguardas. Hay normativa establecida y procedimientos para garantizar la reacción profesional ante los incidentes. Se ejerce un mantenimiento regular de las protecciones. Las oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido (o no planificado). El éxito es algo más que buena suerte: se merece. L4 – Gestionado y medible: Usando medidas de campo, la dirección puede controlar empíricamente la eficacia y la efectividad de las salvaguardas. En particular, la dirección puede fijar metas cuantitativas de la calidad. En el nivel L4 de madurez, el funcionamiento de los procesos está bajo control con técnicas estadísticas y cuantitativas. La confianza es cuantitativa, mientras que en el nivel L3, la confianza era solamente cualitativa. L5 – Optimizado: El nivel L5 de madurez se centra en la mejora continua de los procesos con mejoras tecnológicas incrementales e innovadoras. Se establecen objetivos cuantitativos de mejora de los procesos. Y se revisan continuamente para reflejar los cambios en los objetivos de negocio, utilizándose como indicadores en la gestión de la mejora de los procesos.
  27. 27. ¿Dónde estamos? Actividades de seguimiento
  28. 28. Herramientas  Desplegada la herramienta ‘INES’: Facilita la recogida y consolidación de información para el Informe del Estado de la Seguridad (RD 3/2010, art. 35 y línea de acción 2 de Estrategia de Ciberseguridad Nacional).
  29. 29. Reforzar el conocimiento del estado de la seguridad (I/II)  Incrementar el nivel de participación en el informe del estado de la seguridad: – AGE > CC.AA. > EE.LL  Mejorar indicadores relativos a: – Concienciación y formación. – Recursos (humanos, económicos).  Mejorar el enlace con otras herramientas: – PILAR: madurez de las medidas del ENS. – LUCÍA (Listado Unificado de Coordinación de Incidentes y Amenazas)  Mantener el equilibrio: – Implantación (ok) / eficacia (mejorar) / eficiencia (necesitamos datos) Véase: “824 Informe del estado de seguridad” disponible en https://www.ccn- cert.cni.es
  30. 30. Reforzar el conocimiento del estado de la seguridad (II/II)  Acotar la subjetividad: – La autocomplacencia (¡qué bien estoy!). – El derrotismo (estamos fatal).  Señalar objetivos razonables: – Líneas amarillas: hay que preocuparse. – Líneas rojas: esto no puede seguir así.  Recoger datos de carácter económico. – Recursos económicos y humanos. dedicados a la seguridad.  Abordar la conformidad. – Declarativas en las sedes electrónicas. Véase: “824 Informe del estado de seguridad” disponible en https://www.ccn- cert.cni.es
  31. 31. Reto 3: Conocer información de carácter económico relativa a la seguridad y al ENS.
  32. 32. Información de carácter económico Necesitamos datos para:  Estimar la eficacia y eficiencia de las actividades llevadas a cabo en materia de seguridad.  Estimar el esfuerzo humano y económico dedicado a la seguridad TIC.  Argumentar mejores alternativas. Véase: “824 Informe del estado de seguridad” disponible en https://www.ccn-cert.cni.es
  33. 33. Reto 4: Implantar servicios comunes.
  34. 34. Reforzar la seguridad del conjunto mediante la prestación centralizada de servicios de seguridad  Ciertas medidas de seguridad se pueden implementar mediante servicios prestados de forma centralizada.  En términos de seguridad, los servicios de seguridad prestados de forma centralizada ofrecen oportunidades para aumentar de forma notable el nivel de seguridad de los sistemas de información y comunicaciones de su ámbito (mejoran la seguridad del conjunto y reducen el esfuerzo individual de las entidades).  En términos económicos, se realiza una consolidación, frente al coste de n acciones individuales. Medidas del ENS susceptibles de prestación centralizada Ejemplos de servicios para satisfacer medidas susceptibles de prestación centralizada
  35. 35. Usar infraestructuras y servicios comunes. Oportunidades en seguridad  Reducción del perímetro físico: se reduce la carga en medidas de protección de las instalaciones e infraestructuras [mp.if] para las entidades usuarias.  Reducción del perímetro lógico: se reduce la carga para las entidades usuarias en medidas tales como: explotación [mp.exp], protección de las aplicaciones informáticas [mp.sw], protección de los servicios [mp.s] y monitorización del sistema [op.mon].  Gestión de incidentes: se reduce la carga de gestión de incidentes [op.exp7].  Mejor elasticidad: para hacer frente a picos de actividad o ataques de denegación de servicio [mp.s.8].  Mejor conformidad con estándares: para mejor recuperación, integración, interoperabilidad, portabilidad, integración con herramientas de seguridad (medidas varias de tipo [op]).
  36. 36. Reto 5: Publicar la conformidad con el ENS.  ¿Una certificación de la conformidad con el ENS?
  37. 37. Publicar la conformidad  Publicación de conformidad respecto al cumplimiento del ENS:  Declaraciones de conformidad y distintivos de seguridad de los que sean acreedores, respecto al cumplimiento del ENS.  Manifestación expresa de que el sistema cumple lo establecido en el ENS.  Declarativas en las sedes electrónicas.  Hay capacidades de auditoría/evaluación, certificación y acreditación.  Aspecto por desarrollar.  Certificado de conformidad con el ENS:  Ej.: Experiencia de AENOR y del Consejo General de la Abogacía con RedAbogacía.  Certificación de la conformidad con el ENS: Acreditación de que se cumplen los requisitos del ENS.
  38. 38. Reto 6: Actualizar el ENS.
  39. 39. Actualizar el ENS  Revisión del RD 3/2010 a la luz de:  la experiencia adquirida,  los comentarios recibidos por vías formales e informales,  la evolución de la tecnología y las ciberamenazas,  el contexto regulatorio europeo.  Alineamiento con el Reglamento (UE) Nº 910/2014 de identidad electrónica y servicios de confianza (28.08.2014).  Consensuado en los grupos de trabajo de AGE y demás AA.PP. (2 años de trabajo, 2013 y 2014)  Preparado para tramitación.  Proyecto publicado en el Pae: http://administracionelectronica.gob.es/pae_Home/pae_Actualidad/pae_Noticias/Anio2015/Enero/Noticia- 2015-01-26-proyecto-modificacion-ENS.html
  40. 40. Actualizar el ENS. Aspectos principales  Se introducen las instrucciones técnicas de seguridad para señalar el modo común de actuar.  Se mejoran los mecanismos para obtener un conocimiento regular del estado de la seguridad en las AA.PP.  Se introduce la notificación de incidentes de seguridad.  Se precisan los elementos necesarios para la investigación de incidentes de seguridad.  Se mejora la eficacia de ciertas medidas de seguridad.  Se introducen otras mejoras editoriales.
  41. 41.  Artículo 15. Profesionalidad Actualizar el ENS. Más
  42. 42.  Artículo 18. Adquisición de productos y contratación de servicios de seguridad Actualizar el ENS. Más
  43. 43.  Se añaden dos nuevos apartados 4 y 5 al artículo 27:  La relación de medidas de seguridad se formalizará en una Declaración de Aplicabilidad.  Las medidas de seguridad podrán ser reemplazadas por otras compensatorias siempre que se justifique que protegen igual o mejor el riesgo sobre los activos y se satisfacen los principios básicos y los requisitos mínimos.  En la Declaración de Aplicabilidad se indicará la correspondencia entre las medidas compensatorias implantadas y las medidas del Anexo II que compensan. Actualizar el ENS. Más
  44. 44. Actualizar el ENS  Instrucciones técnicas de seguridad  Artículo afectado: 29  Para armonizar el modo común de actuar en relación con ciertas cuestiones.  Para su elaboración se aplicarán los procedimientos consolidados en el ámbito de la Interoperabilidad.  Se contemplan las siguientes: – Informe del estado de la seguridad. – Notificación de incidentes de seguridad. – Auditoría de la seguridad. – Conformidad con el Esquema Nacional de Seguridad. – Adquisición de productos de seguridad. – Criptología de empleo en el Esquema Nacional de Seguridad. – Interconexión en el Esquema Nacional de Seguridad. – Requisitos de seguridad en entornos externalizados.
  45. 45. Actualizar el ENS Se introducen precisiones orientadas a aumentar la eficacia de ciertas medidas de seguridad del Anexo II. Principalmente en:  3.4 Proceso de autorización [org.4]  4.1.2. Arquitectura de seguridad [op.pl.2]  4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas  4.2.5. Mecanismo de autenticación [op.acc.5]  4.3.8. Registro de la actividad de los usuarios [op.exp.8]  4.3.9. Registro de la gestión de incidentes [op.exp.9]  4.6.1. Detección de intrusión [op.mon.1]  4.6.2. Sistema de métricas [op.mon.2]  5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]  5.5.5. Borrado y destrucción [mp.si.5]  5.7.4. Firma electrónica [mp.info.4]  5.7.7. Copias de seguridad [mp.info.9]
  46. 46. Se alinea con el informe del estado de la seguridad previsto en el artículo 35. Actualizar el ENS 4.6.2. Sistema de métricas [op.mon.2]
  47. 47. Se alinea con el Reglamento (UE) Nº 910/2014 de identidad electrónica y servicios de confianza. Se generaliza la redacción para usar las expresiones ‘algo que se sabe’, ‘algo que se tiene’ y ‘algo que se es’.  Antes de proporcionar credenciales a usuarios, identificación y registro de manera fidedigna ante el sistema o ante un proveedor de identidad electrónica reconocido por la Administración.  Se contemplan varias posibilidades de registro de los usuarios.  Se modulan en los tres niveles bajo/medio/alto el uso de los factores de autenticación y las condiciones relativas a las credenciales. Actualizar el ENS 4.2.5 Mecanismo de autenticación [op.acc.5]
  48. 48. Reto 7: Extender el ENS a todos los sistemas de la Administración.
  49. 49. Extender la aplicación del ENS a todos los sistemas de información de la Administración  A la fecha, el ámbito de aplicación del ENS se ciñe a los previsto en el artículo 2 de la Ley 11/2007 (están excluidos los sistemas que manejan información clasificada).  Hay que contemplar y tratar adecuadamente el escenario total de riesgos, con independencia de si existe o no relación electrónica con ciudadanos u otros organismos y de si tal relación tiene lugar utilizando medios tecnológicos o procedimientos manuales.
  50. 50. 5. Conclusiones
  51. 51. Conclusiones  Evolución hacia la gestión electrónica de los servicios: los servicios 24 x 7 -> requieren seguridad 24 x 7.  El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento global de la seguridad, proporcionando el adecuado respaldo legal.  Es fundamental el conocimiento del estado de la seguridad, hacia dónde vamos, dónde estamos.  Retos en relación con la actualización y alineamiento con tendencias (UE, OCDE), conocimiento de la situación, y extensión a todos los sistemas de información.  Actuaciones para mejora de la seguridad del conjunto en condiciones de mejor eficacia y eficiencia.
  52. 52.  El RD 3/2010, 25 Guías CCN-STIC (Serie 800), seguimiento, herramientas, servicios… Pero sobre todo:  Esfuerzo colectivo de todas las AA.PP. (AGE, CC.AA., EE.LL. (FEMP), Universidades (CRUE), ámbito de Justicia (EJIS), coordinado por MINHAP y CCN.  + Industria sector seguridad TIC.  Convencimiento común: gestión continuada de la seguridad, con un tratamiento homogéneo y adaptado al quehacer de la Administración. Esfuerzo colectivo
  53. 53. Muchas gracias  Correos electrónicos – ens@ccn-cert.cni.es – ens.minhap@correo.gob.es – ccn@cni.es – sondas@ccn-cert.cni.es – redsara@ccn-cert.cni.es – organismo.certificacion@cni.es  Páginas Web: – administracionelectronica.gob.es – www.ccn-cert.cni.es – www.ccn.cni.es – www.oc.ccn.cni.es
  54. 54. Guías CCN-STIC publicadas en https://www.ccn-cert.cni.es : 800 - Glosario de Términos y Abreviaturas del ENS 801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS 803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS 805 - Política de Seguridad de la Información 806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS 808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS 810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS 812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS 814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS 817 - Criterios comunes para la Gestión de Incidentes de Seguridad 818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad 822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS 824 - Informe del Estado de Seguridad 825 – ENS & 27001 827 - Gestión y uso de dispositivos móviles 850A - Implantación del ENS en Windows 7 (cliente en dominio) 851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro) 851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente) MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información Programas de apoyo: Pilar y µPILAR Más información

×