SlideShare una empresa de Scribd logo

Esquema Nacional de Seguridad ENS - Ingertec

G
Grupo Ingertec

Te damos toda la información sobre el Esquema Nacional de Seguridad ENS, para trabajar con la Administración Pública. Encuentra información adicional en ingerte.com

Empresariales
1 de 39
Descargar para leer sin conexión
1 PROPUESTA TÉCNICA ESQUEMA NACIONAL DE SEGURIDAD
2 Índice 1. Introducción 2. Aplicación 3. Tipos de Servicios Afectados 4. ¿Son equivalentes el ENS e ISO 27001? 5. ¿Son necesarias las auditorías externas en el ENS? 6. Resumen de Requisitos 7. Implantación del ENS 8. Ventajas de Ingertec 9. Equipo de Trabajo 10. Referencias
3 1. Introducción El Esquema Nacional de Seguridad (ENS) fue creado para defnir los requisitos de seguridad de la información en el contexto de la Administración electrónica. El ENS defne los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información. El objetivo del ENS no es otro que conseguir la confanza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específcas para la seguridad de: ● Sistemas (Medios electrónicos) ● Datos ● Comunicaciones ● Servicios Electrónicos
4 2. Aplicación El ENS aplica a: ● La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. ● Los ciudadanos en sus relaciones con las Administraciones Públicas. ● Las relaciones entre las distintas Administraciones Públicas. ¿El ENS también afecta a los proveedores? El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, independientemente de su ubicación. Siguiendo este concepto, las actividades de los Sistemas de Información que tienen lugar fuera de las dependencias de la administración pública o están subcontratadas con empresas externas se debe tener en cuenta que se les puede exigir el cumplimiento del ENS. Lo anterior, es válido no sólo para los Sistemas de Información que estén operados por personal propio y/o en dependencias de las administraciones públicas, sino también a aquellos otros que, estando operados por terceros en dependencias propias o externas afecten a funciones, misiones, cometidos o servicios para las AA.PP.
5 3. Tipos de servicios afectados ● Sedes electrónicas. ● Registros electrónicos. ● Sistemas de Información accesibles electrónicamente por los ciudadanos. ● Sistemas de Información para el ejercicio de derechos. ● Sistemas de Información para el cumplimiento de deberes. ● Sistemas de Información para recabar información y estado del procedimiento administrativo.
6 4. ¿Son equivalentes el ENS y la ISO 27001? Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS. Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
7 4. ¿Son equivalentes el ENS y la ISO 27001? Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS. Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
8 5. ¿Son necesarias las auditorías externas en el ENS? En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualifcado, independiente del servicio/sistema que esté auditando. Además se aclara que las personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría. Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.
9 6. Resumen de Requisitos
10 6. Resumen de Requisitos El esfuerzo por la Seguridad según el espíritu del ENS es una tarea colectiva que atañe a toda la organización y está basada en dos pilares fundamentales: ● La designación de responsabilidades ● La comunicación y difusión de la política a toda la organización. Se trata de conseguir la implicación de todos los que forman parte de una entidad para aunar esfuerzos en la tarea de la Seguridad, por tanto la responsabilidad de los órganos de dirección no solo esta en elaborar la Política de Seguridad, sino en difundirla y hacerla cumplir. 6.1. Organización e implantación del proceso de seguridad Cada organización realizara su propio análisis y gestión de riesgos basados en: ● Metodologías Internacionalmente reconocidas ● Adopción de medidas proporcionadas a la gravedad del riesgo, es decir el coste de las medidas no debe ser mayor que el daño causado por el riesgo que se quiere evitar. 6.2. Análisis y gestión de los riesgos
11 6. Resumen de Requisitos Las tareas y deberes de la seguridad son responsabilidad de todo el personal, por lo que será fundamental tener previstas tareas de: ● Concienciación y sensibilización ● Comunicación y divulgación ● Actividades formativas ● Verifcación del seguimiento de las obligaciones de seguridad. 6.3. Gestión del Personal En este punto se nos habla de: ● La necesaria cualifcación del personal dedicado a la atender, revisar y auditar los sistemas de seguridad ● La necesaria formación específca en seguridad para poder atender los sistemas de información necesarios para el servicio. ● La necesidad de exigir a los proveedores externos los mismos niveles de seguridad que se exijan internamente. 6.4. Profesionalidad
12 6. Resumen de Requisitos La protección de la seguridad de los Sistemas pasa por restringir el acceso a las aplicaciones y procesos que sean necesarios para la realización de una tarea evitando aquellos equipos y aplicaciones que no necesitan ni deben estar al alcance de determinados usuarios. 6.5. Autorización y Control de Accesos Las instalaciones deberán protegerse contra los daños que se puedan causar a los sistemas que albergan mediante ● Sistemas de control de acceso ● Salas cerradas y con control de llaves 6.6. Protección de las Instalaciones
13 6. Resumen de Requisitos Los productos y servicios a contratar por la administración serán evaluados tanto en sus prestaciones como en sus niveles de seguridad. 6.7. Adquisición de productos de seguridad Pautas para garantizar la seguridad por defecto de los sistemas: ● Evitar funcionalidades innecesarias en el diseño ● Restringir el acceso por personas, emplazamientos, equipos y horarios ● Activación y desactivación de funciones confgurable por el sistema de explotación ● El sistema ha de ser sencillo y seguro de utilizar, de forma que para que ocurra un incidente de seguridad sea necesario que el usuario lo haga de manera consciente. 6.8. Seguridad por defecto
14 6. Resumen de Requisitos Pautas para garantizar la integridad del sistema: ● Cualquier cambio debe ser autorizado mediante procedimientos formales ● Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especifcaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten 6.9. Integridad y actualización del sistema Se considera información almacenada o en tránsito a: ● El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.). 6.10. Protección de información almacenada y en tránsito.
15 6. Resumen de Requisitos Las conexiones con otras redes, especialmente redes públicas como Internet, conllevan riesgos que deben ser evaluados antes de proceder a autorizar dichas conexiones. 6.11. Prevención ante otros sistemas de información interconectados Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identifcar en cada momento a la persona que actúa, siembre con el debido respeto a las leyes sobre protección de datos, de la intimidad de las personas e imagen y toda la legislación aplicable al respecto. 6.12. Registro de actividad
16 6. Resumen de Requisitos El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.). El objeto de esta medida es poder realizar una gestión de incidentes: ● Tomar acciones correctivas ● Documentar y realizar estudios ● Tomar medidas preventivas para evitar que vuelvan a suceder. 6.13. Incidentes de Seguridad Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo. 6.14. Continuidad de la Actividad
17 6. Resumen de Requisitos El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 6.15. Mejora continua del proceso de seguridad Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: ● Los activos que constituyen el sistema. ● La categoría del sistema, según lo previsto en el Artículo 43. ● Las decisiones que se adopten para gestionar los riesgos identifcados.. ● Los dispuesto en la LOPD ley de protección de datos personales 6.16. Cumplimiento de requisitos mínimos
18 7. Implantación del ENS Para llevar a cabo el desarrollo e implementación del Esquema Nacional de Seguridad se tendrán en cuenta las siguientes actividades: ● Defnición y elaboración de la Política de Seguridad ● Defnir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS ● Identifcación y valoración de activos de información, incluido los tratamientos de datos de carácter personal. ● Catalogación de los tipos de información según su criticidad (estructura de tipos y niveles). ● Realizar el análisis y gestión de los riesgos del sistema y mantenerlo actualizado. ● Seleccionar las medidas de protección en función de los tipos y niveles de la información
19 7. Implantación del ENS
20 7. Implantación del ENS Antes de comenzar cualquier proyecto de implantación es necesario realizar un enfoque metodológico de las actividades a desarrollar: ● Identifcar los interlocutores clave ● Establecer la planifcación de las diferentes fases del proyecto ● Realizar una presentación al Equipo Directivo para que conozcan: ● Relevancia de la implantación del ENS en la organización ● Introducción a las amenazas de la seguridad de la información ● Marco metodológico del proyecto ● Planifcación de los trabajos ● Funciones de la alta dirección en el proyecto 7.0. Tareas de Inicio y Planifcación
21 7. Implantación del ENS Esta tarea consiste en la elaboración y aprobación de un documento de alto nivel que defna la Política de Seguridad de la Información en el que se especifque: ● Los objetivos o misión de la organización ● El alcance de la política de seguridad ● El marco legal y regulatorio en el que se desarrollen las actividades ● La organización de la seguridad: comités, roles y funciones de seguridad. ● La estructura del comité para la gestión y coordinación de la seguridad. ● Concienciación y formación en materia de seguridad. ● Compromiso y deber de los responsables del sistema en la gestión de riesgos. ● Proceso de aprobación y revisión de la política. ● Directrices para la estructuración de la documentación, su gestión y acceso. 7.1. Política de Seguridad Guías “CNN-STIC 805 Política de Seguridad de la Información” y “CNN-STIC-801 Responsabilidades y Funciones” RESULTADOS ESPERADOS: Política de Seguridad de la Organización
22 7. Implantación del ENS Identifcación y categorización de los sistemas según el Anexo I del ENS y atendiendo a la valoración de la información manejada y de los servicios prestados. Esta tarea determinará el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas mediante el establecimiento de una categoría en la que se tiene en cuenta las siguientes dimensiones de seguridad: disponibilidad, confdencialidad, integridad, autenticidad y trazabilidad. Además es necesario: ● Determinar y categorizar los activos esenciales o de negocio (información, servicios, tratamiento de datos de carácter personal) ● Identifcar y categorizar los servicios, aplicaciones y activos tecnológicos que dan soporte a los activos esenciales. 7.2. Identifcación y valoración de activos Guía “CNN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad”
23 7. Implantación del ENS Tareas a desarrollar: ● Extraer de la CMDB, si existiera, el inventario de aplicaciones actualmente desplegadas en producción. ● Acordar con la dirección del proyecto los criterios de clasifcación de información que se aplicarán posteriormente. ● Realizar una primera propuesta de clasifcación de activos de la información ● Compartir la primera propuesta inicial de la clasifcación de los activos de la información a los principales interlocutores y recopilar posibles modifcaciones. ● Convocar una reunión para formalizar la aprobación del inventario y clasifcación de activos. 7.2. Identifcación y valoración de activos RESULTADOS ESPERADOS: Inventario preliminar de activos de la información clasifcados según las dimensiones de seguridad del ENS
24 7. Implantación del ENS Se realizará un análisis de riesgos en base a la identifcación de los activos a proteger y al criterio de categorización establecido, según lo cual se analizarán las amenazas, los posibles daños y su impacto. El análisis de riesgos tiene en cuenta las medidas de seguridad ya implantadas. El análisis de riesgos se realizará según lo descrito en el Anexo II del ENS mediante la metodología MAGERIT v.3. - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. 7.3. Análisis de Riesgos RESULTADOS ESPERADOS: Informe de auditoría del estado de seguridad de la información que incluye una valoración del nivel de exposición al que se encuentran los activos de información , cuantifcado como GAP existente entre el nivel objetivo de seguridad que debería aplicarse sobre dichos activos de acuerdo a su nivel de clasifcación y nivel actual de seguridad aplicado.
25 7. Implantación del ENS En función de las exigencias derivadas de la valoración de los activos se elaborará una relación de las medidas de seguridad que sean de aplicación a los sistemas y que conformarán la Declaración de Aplicabilidad o SOA. Como referencia se tomarán las medidas de seguridad especifcadas en el Anexo II del ENS. El SOA incluirá las medidas ya implantadas y aquellas que se seleccionarán para minimizar el riesgo de los activos cruciales para cumplir con el nivel de seguridad deseado. En caso de que las medidas no puedan implantarse por razones operativas o presupuestarias, estas se documentarán y justifcarán proponiendo medidas compensatorias con el objetivo de: ● Dar , por lo menos, cumplida respuesta al propósito de la medida de seguridad del Anexo II del ENS que compensa, en toda su extensión y rigurosidad. ● Proporcionar, por lo menos, un nivel de protección similar al de la medida de seguridad que compensa. 7.4. Declaración de Aplicabilidad
26 7. Implantación del ENS Se elaborará un Plan de Mejora de la Seguridad que defna las acciones a llevar a cabo en el sistema en función de su categorización para subsanar las insufciencias detectadas en el cumplimiento del ENS y su normativa de desarrollo. Cada acción prevista incluirá la relación entre la acción propuesta, las insufciencias que subsana y las medidas de seguridad del Anexo II relacionadas. Entre las acciones incluidas en este plan, se propone la manera más adecuada de implementar cada una de las medidas de seguridad recogidas en la Declaración de Aplicabilidad, atendiendo a las particularidades propias, y asistir a los responsables en la implementación de dichas medidas. 7.5. Plan de Mejora de la Seguridad Guía “CNN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad” RESULTADOS ESPERADOS: Inventario de proyectos necesarios para elaborar el nivel de seguridad actual hasta el deseado. Preparar un plan detallado de proyectos que compondrá el Plan de Gestión de Riesgos, incluyendo: alcance, detalle de las tareas, plazos de ejecución, estimación de recursos / costes necesarios
27 7. Implantación del ENS Se dejará la documentación necesaria en la organización para poder realizar el seguimiento del plan de mejora de seguridad, evaluar el grado de implementación de las medidas recogidas en la Declaración de Aplicabilidad y del resto de las acciones propuestas. 7.6. Seguimiento y Difusión del Plan de Mejora
28 7. Implantación del ENS Se prepara el informe sobre el estado de seguridad para incluir en la herramienta INES aportada por el Centro Criptológico Nacional. Esta evaluación es previa a la certifcación de la organización y solo aplicable para las Administraciones Públicas. 7.7. Informe del Estado de Seguridad Guía “CNN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad” y “CNN-STIC 824 Informe del Estado de Seguridad”
29 7. Implantación del ENS 7.8. Autoevaluación / Certifcación Externa Aquellas que dispongan de sistemas de categoría media o alta están obligadas a disponer de un Certifcado de Conformidad con las disposiciones del ENS. Declaración de conformidad - se realiza por autoevaluación Certifcación de Conformidad - requiere una auditoría formal, siendo obligatorio para las categorías MEDIA y ALTA
30 7. Implantación del ENS Durante todo el proceso, el consultor de Ingertec resolverá, en su caso, las dudas del personal de la empresa relativas al sistema de gestión. ASESORAMIENTO CONTINUO
31 7. Implantación del ENS Para ser efcientes, la implantación del ENS debe realizarse pensando en la integración con las obligaciones del RGPD. Es importante tener en cuenta que la Agencia Española de Protección de Datos ha dejado claro que el cumplimiento del ENS se tendrá en cuenta como parte del cumplimiento del artículo 32 RGPD; la realización de la evaluación de riesgos del ENS y la aplicación de las correspondientes medidas de seguridad será tenido como cumplimiento del RGPD. Está claro que para debe cumplirse a la vez con las dos normas en relación a la auditoria y el cumplimiento proactivo, la notifcación de brechas de seguridad, entre otros puntos de confuencia. En caso de que su organización no se encuentre adaptado al RGPD necesitará adaptarse para cumplir con los requisitos. CUMPLIMIENTO RGPD
32 7. Implantación del ENS El plazo estándar de implantación del ENS es de aproximadamente 4 meses. Contando con la colaboración de la organización y ajustando los plazos, puede llegar a implementarse en 1 mes. En Ingertec no limitamos las horas ni las visitas de consultoría dedicadas al proyecto. En una implantación estándar las reuniones suelen ser entre 6 y 15 y las horas del proyecto de nuestros consultores unas 100-120. PLAZOS DE IMPLANTACIÓN
33 7. Implantación del ENS Ingertec se compromete a no revelar ante terceros ninguna información ni documentación propiedad de cada empresa a la que pudiera tener acceso durante el desarrollo o como consecuencia de la realización de los trabajos contemplados en esta oferta. CONFIDENCIALIDAD
34 7. Implantación del ENS SEGUIMIENTO CONTINUO TELÉFONOS Consultor, atención al cliente, director de proyecto CORREOS ELECTRÓNICOS Consultor, atención al cliente, director de proyecto CONSULTOR Consultor especialista y único por proyecto DIRECTOR DE PROYECTO Ingertec pone a su disposición todos los medios de contacto para el desarrollo de su proyecto
35 8. Ventajas de Ingertec Los consultores de Ingertec han participado en cientos de proyectos, lo que nos aporta conocimiento de: ● Criterios de los auditores externos. ● Mejores prácticas en empresas, tanto de su sector, como en general. ● Multitud de enfoques con los cuáles abordar los requisitos “teóricos” que suponen un inconveniente para las empresas. ● Aspectos a mejorar CONSULTORES ESPECIALISTAS Consultores especialistas en cada sector EXPERIENCIA Más de 20 años de experiencia en el sector COSTE Importes ajustados y cerrados (todos los gastos incluidos) SEGURIDAD 100% clientes certifcados
36 9. Equipo de Trabajo + 12 AÑOS + 8 AÑOS + 200 Experiencia como consultor Experiencia como auditor para entidades de certifcación acreditadas por ENAC Empresas asesoradas CONSULTOR Perfl mínimo de consultor
37 9. Equipo de Trabajo + 16 AÑOS + 10 AÑOS + 400 Experiencia como consultor Experiencia como auditor para entidades de certifcación acreditadas por ENAC Empresas asesoradas DIRECTOR DE PROYECTOS Perfl mínimo de Director de Proyectos
38 10. Referencias El 100% de clientes se han certifcado con el nivel de seguridad que les aplica en el Esquema Nacional de Seguridad
39 GRUPO INGERTEC 900 897 931 info@ingertec.com

Recomendados

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 

Recomendados

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFelipe Zamora
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojasChristian Rojas Saavedra
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaDubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Superior
SuperiorSuperior
Superiorjuan cutiupala
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadedwin damian pavon
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 

Más contenido relacionado

La actualidad más candente

Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...edwin damian pavon
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 

La actualidad más candente (20)

Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Superior
SuperiorSuperior
Superior
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
Capituo 1 introducción a los sistemas de gestión de seguridad de la infor...
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 

Similar a Esquema Nacional de Seguridad ENS - Ingertec

Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadedwin damian pavon
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsiDenis Rauda
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Edras Izaguirre
 

Similar a Esquema Nacional de Seguridad ENS - Ingertec (20)

Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Resumen cap. 1 sgsi
Resumen cap. 1 sgsiResumen cap. 1 sgsi
Resumen cap. 1 sgsi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Punteros
PunterosPunteros
Punteros
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
 

Más de Grupo Ingertec

Blanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecBlanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecGrupo Ingertec
 
Huella de Carbono - Ingertec
Huella de Carbono - IngertecHuella de Carbono - Ingertec
Huella de Carbono - IngertecGrupo Ingertec
 
Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecGrupo Ingertec
 
Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Grupo Ingertec
 

Más de Grupo Ingertec (9)

Blanqueo de capitales - Ingertec
Blanqueo de capitales - IngertecBlanqueo de capitales - Ingertec
Blanqueo de capitales - Ingertec
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Huella de Carbono - Ingertec
Huella de Carbono - IngertecHuella de Carbono - Ingertec
Huella de Carbono - Ingertec
 
Recomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - IngertecRecomendaciones ciberseguridad - Ingertec
Recomendaciones ciberseguridad - Ingertec
 
ISO 22301 - Ingertec
ISO 22301 - IngertecISO 22301 - Ingertec
ISO 22301 - Ingertec
 
ISO 14001 - Ingertec
ISO 14001 - IngertecISO 14001 - Ingertec
ISO 14001 - Ingertec
 
ISO 9001 - Ingertec
ISO 9001 - Ingertec ISO 9001 - Ingertec
ISO 9001 - Ingertec
 
ISO 27001 - Ingertec
ISO 27001 - IngertecISO 27001 - Ingertec
ISO 27001 - Ingertec
 
Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera Ley 11 2018 - Memoria Información no Financiera
Ley 11 2018 - Memoria Información no Financiera
 

Último

IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGIDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGAndresGEscobar
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfJaquelinRamos6
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
Evaluacion Final de logistica - trabajo final
Evaluacion Final de logistica - trabajo finalEvaluacion Final de logistica - trabajo final
Evaluacion Final de logistica - trabajo finalssuser4a0361
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfConstructiva
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfihmorales
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantessuperamigo2014
 
sistemas de produccion de la palta en el peru moises.pptx
sistemas de produccion de la palta en el peru moises.pptxsistemas de produccion de la palta en el peru moises.pptx
sistemas de produccion de la palta en el peru moises.pptxJaredmoisesCarrillo
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassJhonnyvalenssYupanqu
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-ComunicacionesIMSA
 
Presentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxPresentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxDanielFerreiraDuran1
 
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODATEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODACarmeloPrez1
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxMatiasGodoy33
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOCarlosAlbertoVillafu3
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESADanielAndresBrand
 

Último (20)

IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDINGIDENTIDAD Y MANUAL DE MARCA PARA BRANDING
IDENTIDAD Y MANUAL DE MARCA PARA BRANDING
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
Evaluacion Final de logistica - trabajo final
Evaluacion Final de logistica - trabajo finalEvaluacion Final de logistica - trabajo final
Evaluacion Final de logistica - trabajo final
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdf
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantes
 
sistemas de produccion de la palta en el peru moises.pptx
sistemas de produccion de la palta en el peru moises.pptxsistemas de produccion de la palta en el peru moises.pptx
sistemas de produccion de la palta en el peru moises.pptx
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hass
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
 
Presentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxPresentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptx
 
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODATEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
TEMA N° 3.2 DISENO DE ESTRATEGIA y ANALISIS FODA
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
AUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptxAUDITORIAS en enfermeria hospitalaria .pptx
AUDITORIAS en enfermeria hospitalaria .pptx
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAOANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
ANÁLISIS CAME, DIAGNOSTICO PUERTO DEL CALLAO
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
 

Esquema Nacional de Seguridad ENS - Ingertec

  • 2. 2 Índice 1. Introducción 2. Aplicación 3. Tipos de Servicios Afectados 4. ¿Son equivalentes el ENS e ISO 27001? 5. ¿Son necesarias las auditorías externas en el ENS? 6. Resumen de Requisitos 7. Implantación del ENS 8. Ventajas de Ingertec 9. Equipo de Trabajo 10. Referencias
  • 3. 3 1. Introducción El Esquema Nacional de Seguridad (ENS) fue creado para defnir los requisitos de seguridad de la información en el contexto de la Administración electrónica. El ENS defne los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información. El objetivo del ENS no es otro que conseguir la confanza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello se establecen medidas específcas para la seguridad de: ● Sistemas (Medios electrónicos) ● Datos ● Comunicaciones ● Servicios Electrónicos
  • 4. 4 2. Aplicación El ENS aplica a: ● La Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. ● Los ciudadanos en sus relaciones con las Administraciones Públicas. ● Las relaciones entre las distintas Administraciones Públicas. ¿El ENS también afecta a los proveedores? El ENS es una norma de obligado cumplimiento para todos los Sistemas de Información de las Administraciones Públicas, independientemente de su ubicación. Siguiendo este concepto, las actividades de los Sistemas de Información que tienen lugar fuera de las dependencias de la administración pública o están subcontratadas con empresas externas se debe tener en cuenta que se les puede exigir el cumplimiento del ENS. Lo anterior, es válido no sólo para los Sistemas de Información que estén operados por personal propio y/o en dependencias de las administraciones públicas, sino también a aquellos otros que, estando operados por terceros en dependencias propias o externas afecten a funciones, misiones, cometidos o servicios para las AA.PP.
  • 5. 5 3. Tipos de servicios afectados ● Sedes electrónicas. ● Registros electrónicos. ● Sistemas de Información accesibles electrónicamente por los ciudadanos. ● Sistemas de Información para el ejercicio de derechos. ● Sistemas de Información para el cumplimiento de deberes. ● Sistemas de Información para recabar información y estado del procedimiento administrativo.
  • 6. 6 4. ¿Son equivalentes el ENS y la ISO 27001? Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS. Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
  • 7. 7 4. ¿Son equivalentes el ENS y la ISO 27001? Los controles sobre la seguridad recogidos en el anexo ISO 27002 son comunes a muchas de las medidas de seguridad indicadas en el anexo II del ENS. Sin embargo, ENS es una norma jurídica enfocada en la protección y la norma ISO 27001 es un sistema de gestión que contiene los requisitos para la construcción de un sistema de gestión de la seguridad. Es por lo anterior, que las empresas certifcadas en ISO 27001 tienen buena parte del camino recorrido para lograr su conformidad con el ENS. Por otro lado, el ENS está enfocado en la “protección” de la información y los servicios exigiendo además la gestión continuada de la seguridad, para lo cual no descabellado pensar en implantar un sistema de gestión. En este sentido, podemos considerar que ISO 27001 puede ser un importante apoyo para todas las organizaciones ya sean públicas o privadas para entender y aplicar un proceso de mejora continua.
  • 8. 8 5. ¿Son necesarias las auditorías externas en el ENS? En el caso de sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, ENS impone la necesidad de pasar una auditoría bienal, realizada por personal cualifcado, independiente del servicio/sistema que esté auditando. Además se aclara que las personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría. Esta exigencia se rebaja cuando se están evaluando sistemas categorizados como de nivel BAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación.
  • 9. 9 6. Resumen de Requisitos
  • 10. 10 6. Resumen de Requisitos El esfuerzo por la Seguridad según el espíritu del ENS es una tarea colectiva que atañe a toda la organización y está basada en dos pilares fundamentales: ● La designación de responsabilidades ● La comunicación y difusión de la política a toda la organización. Se trata de conseguir la implicación de todos los que forman parte de una entidad para aunar esfuerzos en la tarea de la Seguridad, por tanto la responsabilidad de los órganos de dirección no solo esta en elaborar la Política de Seguridad, sino en difundirla y hacerla cumplir. 6.1. Organización e implantación del proceso de seguridad Cada organización realizara su propio análisis y gestión de riesgos basados en: ● Metodologías Internacionalmente reconocidas ● Adopción de medidas proporcionadas a la gravedad del riesgo, es decir el coste de las medidas no debe ser mayor que el daño causado por el riesgo que se quiere evitar. 6.2. Análisis y gestión de los riesgos
  • 11. 11 6. Resumen de Requisitos Las tareas y deberes de la seguridad son responsabilidad de todo el personal, por lo que será fundamental tener previstas tareas de: ● Concienciación y sensibilización ● Comunicación y divulgación ● Actividades formativas ● Verifcación del seguimiento de las obligaciones de seguridad. 6.3. Gestión del Personal En este punto se nos habla de: ● La necesaria cualifcación del personal dedicado a la atender, revisar y auditar los sistemas de seguridad ● La necesaria formación específca en seguridad para poder atender los sistemas de información necesarios para el servicio. ● La necesidad de exigir a los proveedores externos los mismos niveles de seguridad que se exijan internamente. 6.4. Profesionalidad
  • 12. 12 6. Resumen de Requisitos La protección de la seguridad de los Sistemas pasa por restringir el acceso a las aplicaciones y procesos que sean necesarios para la realización de una tarea evitando aquellos equipos y aplicaciones que no necesitan ni deben estar al alcance de determinados usuarios. 6.5. Autorización y Control de Accesos Las instalaciones deberán protegerse contra los daños que se puedan causar a los sistemas que albergan mediante ● Sistemas de control de acceso ● Salas cerradas y con control de llaves 6.6. Protección de las Instalaciones
  • 13. 13 6. Resumen de Requisitos Los productos y servicios a contratar por la administración serán evaluados tanto en sus prestaciones como en sus niveles de seguridad. 6.7. Adquisición de productos de seguridad Pautas para garantizar la seguridad por defecto de los sistemas: ● Evitar funcionalidades innecesarias en el diseño ● Restringir el acceso por personas, emplazamientos, equipos y horarios ● Activación y desactivación de funciones confgurable por el sistema de explotación ● El sistema ha de ser sencillo y seguro de utilizar, de forma que para que ocurra un incidente de seguridad sea necesario que el usuario lo haga de manera consciente. 6.8. Seguridad por defecto
  • 14. 14 6. Resumen de Requisitos Pautas para garantizar la integridad del sistema: ● Cualquier cambio debe ser autorizado mediante procedimientos formales ● Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especifcaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten 6.9. Integridad y actualización del sistema Se considera información almacenada o en tránsito a: ● El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.). 6.10. Protección de información almacenada y en tránsito.
  • 15. 15 6. Resumen de Requisitos Las conexiones con otras redes, especialmente redes públicas como Internet, conllevan riesgos que deben ser evaluados antes de proceder a autorizar dichas conexiones. 6.11. Prevención ante otros sistemas de información interconectados Se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identifcar en cada momento a la persona que actúa, siembre con el debido respeto a las leyes sobre protección de datos, de la intimidad de las personas e imagen y toda la legislación aplicable al respecto. 6.12. Registro de actividad
  • 16. 16 6. Resumen de Requisitos El ENS establece que se debe instalar un sistema de detección y reacción frente a código dañino (virus, gusanos, troyanos, etc.). El objeto de esta medida es poder realizar una gestión de incidentes: ● Tomar acciones correctivas ● Documentar y realizar estudios ● Tomar medidas preventivas para evitar que vuelvan a suceder. 6.13. Incidentes de Seguridad Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo. 6.14. Continuidad de la Actividad
  • 17. 17 6. Resumen de Requisitos El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 6.15. Mejora continua del proceso de seguridad Para dar cumplimiento a los requisitos mínimos establecidos en el presente real decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: ● Los activos que constituyen el sistema. ● La categoría del sistema, según lo previsto en el Artículo 43. ● Las decisiones que se adopten para gestionar los riesgos identifcados.. ● Los dispuesto en la LOPD ley de protección de datos personales 6.16. Cumplimiento de requisitos mínimos
  • 18. 18 7. Implantación del ENS Para llevar a cabo el desarrollo e implementación del Esquema Nacional de Seguridad se tendrán en cuenta las siguientes actividades: ● Defnición y elaboración de la Política de Seguridad ● Defnir el conjunto de recursos técnicos, organizativos, humanos y procedimentales sujetos al ENS ● Identifcación y valoración de activos de información, incluido los tratamientos de datos de carácter personal. ● Catalogación de los tipos de información según su criticidad (estructura de tipos y niveles). ● Realizar el análisis y gestión de los riesgos del sistema y mantenerlo actualizado. ● Seleccionar las medidas de protección en función de los tipos y niveles de la información
  • 20. 20 7. Implantación del ENS Antes de comenzar cualquier proyecto de implantación es necesario realizar un enfoque metodológico de las actividades a desarrollar: ● Identifcar los interlocutores clave ● Establecer la planifcación de las diferentes fases del proyecto ● Realizar una presentación al Equipo Directivo para que conozcan: ● Relevancia de la implantación del ENS en la organización ● Introducción a las amenazas de la seguridad de la información ● Marco metodológico del proyecto ● Planifcación de los trabajos ● Funciones de la alta dirección en el proyecto 7.0. Tareas de Inicio y Planifcación
  • 21. 21 7. Implantación del ENS Esta tarea consiste en la elaboración y aprobación de un documento de alto nivel que defna la Política de Seguridad de la Información en el que se especifque: ● Los objetivos o misión de la organización ● El alcance de la política de seguridad ● El marco legal y regulatorio en el que se desarrollen las actividades ● La organización de la seguridad: comités, roles y funciones de seguridad. ● La estructura del comité para la gestión y coordinación de la seguridad. ● Concienciación y formación en materia de seguridad. ● Compromiso y deber de los responsables del sistema en la gestión de riesgos. ● Proceso de aprobación y revisión de la política. ● Directrices para la estructuración de la documentación, su gestión y acceso. 7.1. Política de Seguridad Guías “CNN-STIC 805 Política de Seguridad de la Información” y “CNN-STIC-801 Responsabilidades y Funciones” RESULTADOS ESPERADOS: Política de Seguridad de la Organización
  • 22. 22 7. Implantación del ENS Identifcación y categorización de los sistemas según el Anexo I del ENS y atendiendo a la valoración de la información manejada y de los servicios prestados. Esta tarea determinará el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas mediante el establecimiento de una categoría en la que se tiene en cuenta las siguientes dimensiones de seguridad: disponibilidad, confdencialidad, integridad, autenticidad y trazabilidad. Además es necesario: ● Determinar y categorizar los activos esenciales o de negocio (información, servicios, tratamiento de datos de carácter personal) ● Identifcar y categorizar los servicios, aplicaciones y activos tecnológicos que dan soporte a los activos esenciales. 7.2. Identifcación y valoración de activos Guía “CNN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad”
  • 23. 23 7. Implantación del ENS Tareas a desarrollar: ● Extraer de la CMDB, si existiera, el inventario de aplicaciones actualmente desplegadas en producción. ● Acordar con la dirección del proyecto los criterios de clasifcación de información que se aplicarán posteriormente. ● Realizar una primera propuesta de clasifcación de activos de la información ● Compartir la primera propuesta inicial de la clasifcación de los activos de la información a los principales interlocutores y recopilar posibles modifcaciones. ● Convocar una reunión para formalizar la aprobación del inventario y clasifcación de activos. 7.2. Identifcación y valoración de activos RESULTADOS ESPERADOS: Inventario preliminar de activos de la información clasifcados según las dimensiones de seguridad del ENS
  • 24. 24 7. Implantación del ENS Se realizará un análisis de riesgos en base a la identifcación de los activos a proteger y al criterio de categorización establecido, según lo cual se analizarán las amenazas, los posibles daños y su impacto. El análisis de riesgos tiene en cuenta las medidas de seguridad ya implantadas. El análisis de riesgos se realizará según lo descrito en el Anexo II del ENS mediante la metodología MAGERIT v.3. - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. 7.3. Análisis de Riesgos RESULTADOS ESPERADOS: Informe de auditoría del estado de seguridad de la información que incluye una valoración del nivel de exposición al que se encuentran los activos de información , cuantifcado como GAP existente entre el nivel objetivo de seguridad que debería aplicarse sobre dichos activos de acuerdo a su nivel de clasifcación y nivel actual de seguridad aplicado.
  • 25. 25 7. Implantación del ENS En función de las exigencias derivadas de la valoración de los activos se elaborará una relación de las medidas de seguridad que sean de aplicación a los sistemas y que conformarán la Declaración de Aplicabilidad o SOA. Como referencia se tomarán las medidas de seguridad especifcadas en el Anexo II del ENS. El SOA incluirá las medidas ya implantadas y aquellas que se seleccionarán para minimizar el riesgo de los activos cruciales para cumplir con el nivel de seguridad deseado. En caso de que las medidas no puedan implantarse por razones operativas o presupuestarias, estas se documentarán y justifcarán proponiendo medidas compensatorias con el objetivo de: ● Dar , por lo menos, cumplida respuesta al propósito de la medida de seguridad del Anexo II del ENS que compensa, en toda su extensión y rigurosidad. ● Proporcionar, por lo menos, un nivel de protección similar al de la medida de seguridad que compensa. 7.4. Declaración de Aplicabilidad
  • 26. 26 7. Implantación del ENS Se elaborará un Plan de Mejora de la Seguridad que defna las acciones a llevar a cabo en el sistema en función de su categorización para subsanar las insufciencias detectadas en el cumplimiento del ENS y su normativa de desarrollo. Cada acción prevista incluirá la relación entre la acción propuesta, las insufciencias que subsana y las medidas de seguridad del Anexo II relacionadas. Entre las acciones incluidas en este plan, se propone la manera más adecuada de implementar cada una de las medidas de seguridad recogidas en la Declaración de Aplicabilidad, atendiendo a las particularidades propias, y asistir a los responsables en la implementación de dichas medidas. 7.5. Plan de Mejora de la Seguridad Guía “CNN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad” RESULTADOS ESPERADOS: Inventario de proyectos necesarios para elaborar el nivel de seguridad actual hasta el deseado. Preparar un plan detallado de proyectos que compondrá el Plan de Gestión de Riesgos, incluyendo: alcance, detalle de las tareas, plazos de ejecución, estimación de recursos / costes necesarios
  • 27. 27 7. Implantación del ENS Se dejará la documentación necesaria en la organización para poder realizar el seguimiento del plan de mejora de seguridad, evaluar el grado de implementación de las medidas recogidas en la Declaración de Aplicabilidad y del resto de las acciones propuestas. 7.6. Seguimiento y Difusión del Plan de Mejora
  • 28. 28 7. Implantación del ENS Se prepara el informe sobre el estado de seguridad para incluir en la herramienta INES aportada por el Centro Criptológico Nacional. Esta evaluación es previa a la certifcación de la organización y solo aplicable para las Administraciones Públicas. 7.7. Informe del Estado de Seguridad Guía “CNN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad” y “CNN-STIC 824 Informe del Estado de Seguridad”
  • 29. 29 7. Implantación del ENS 7.8. Autoevaluación / Certifcación Externa Aquellas que dispongan de sistemas de categoría media o alta están obligadas a disponer de un Certifcado de Conformidad con las disposiciones del ENS. Declaración de conformidad - se realiza por autoevaluación Certifcación de Conformidad - requiere una auditoría formal, siendo obligatorio para las categorías MEDIA y ALTA
  • 30. 30 7. Implantación del ENS Durante todo el proceso, el consultor de Ingertec resolverá, en su caso, las dudas del personal de la empresa relativas al sistema de gestión. ASESORAMIENTO CONTINUO
  • 31. 31 7. Implantación del ENS Para ser efcientes, la implantación del ENS debe realizarse pensando en la integración con las obligaciones del RGPD. Es importante tener en cuenta que la Agencia Española de Protección de Datos ha dejado claro que el cumplimiento del ENS se tendrá en cuenta como parte del cumplimiento del artículo 32 RGPD; la realización de la evaluación de riesgos del ENS y la aplicación de las correspondientes medidas de seguridad será tenido como cumplimiento del RGPD. Está claro que para debe cumplirse a la vez con las dos normas en relación a la auditoria y el cumplimiento proactivo, la notifcación de brechas de seguridad, entre otros puntos de confuencia. En caso de que su organización no se encuentre adaptado al RGPD necesitará adaptarse para cumplir con los requisitos. CUMPLIMIENTO RGPD
  • 32. 32 7. Implantación del ENS El plazo estándar de implantación del ENS es de aproximadamente 4 meses. Contando con la colaboración de la organización y ajustando los plazos, puede llegar a implementarse en 1 mes. En Ingertec no limitamos las horas ni las visitas de consultoría dedicadas al proyecto. En una implantación estándar las reuniones suelen ser entre 6 y 15 y las horas del proyecto de nuestros consultores unas 100-120. PLAZOS DE IMPLANTACIÓN
  • 33. 33 7. Implantación del ENS Ingertec se compromete a no revelar ante terceros ninguna información ni documentación propiedad de cada empresa a la que pudiera tener acceso durante el desarrollo o como consecuencia de la realización de los trabajos contemplados en esta oferta. CONFIDENCIALIDAD
  • 34. 34 7. Implantación del ENS SEGUIMIENTO CONTINUO TELÉFONOS Consultor, atención al cliente, director de proyecto CORREOS ELECTRÓNICOS Consultor, atención al cliente, director de proyecto CONSULTOR Consultor especialista y único por proyecto DIRECTOR DE PROYECTO Ingertec pone a su disposición todos los medios de contacto para el desarrollo de su proyecto
  • 35. 35 8. Ventajas de Ingertec Los consultores de Ingertec han participado en cientos de proyectos, lo que nos aporta conocimiento de: ● Criterios de los auditores externos. ● Mejores prácticas en empresas, tanto de su sector, como en general. ● Multitud de enfoques con los cuáles abordar los requisitos “teóricos” que suponen un inconveniente para las empresas. ● Aspectos a mejorar CONSULTORES ESPECIALISTAS Consultores especialistas en cada sector EXPERIENCIA Más de 20 años de experiencia en el sector COSTE Importes ajustados y cerrados (todos los gastos incluidos) SEGURIDAD 100% clientes certifcados
  • 36. 36 9. Equipo de Trabajo + 12 AÑOS + 8 AÑOS + 200 Experiencia como consultor Experiencia como auditor para entidades de certifcación acreditadas por ENAC Empresas asesoradas CONSULTOR Perfl mínimo de consultor
  • 37. 37 9. Equipo de Trabajo + 16 AÑOS + 10 AÑOS + 400 Experiencia como consultor Experiencia como auditor para entidades de certifcación acreditadas por ENAC Empresas asesoradas DIRECTOR DE PROYECTOS Perfl mínimo de Director de Proyectos
  • 38. 38 10. Referencias El 100% de clientes se han certifcado con el nivel de seguridad que les aplica en el Esquema Nacional de Seguridad
  • 39. 39 GRUPO INGERTEC 900 897 931 info@ingertec.com