SlideShare una empresa de Scribd logo

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.

"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).

1 de 38
Descargar para leer sin conexión
Modelo de Gobierno y Gestión de las TIC.
La certificación de conformidad con el ENS.
D. Boris Delgado Riss
Gerente de TIC de AENOR
Modelo de Gobierno y Gestión de las TIC
La certificación de conformidad con el ENS
(el cumplimiento como base de la ciberseguridad)
2
Boris DELGADO. CISA,
CISM
Gerente de TIC (AENOR)
Junio-2017
AGENDA
1. AENOREN EL MUNDO
2. MODELOAENORDE ISO EN LAS TICS. RIESGOS DE LAS TICs Y
SOLUCIONES.
3. SISTEMA GESTION DE SEGURIDADDE LA INFORMACION – ISO 27001. Un
“commodity”
4. ENS – ELEMENTOS PRINCIPALES
5. ENS – PROCESODE ADECUACION
6. ENS – INTERRELACION CON ISO27001
7. ENS - AUDITORIA DE CERTIFICACION DE CONFORMIDADCON EL ENS.
ISO17065
8. TESTIMONIALES Y BIBLIOGRAFIA
3
1. AENOREN EL MUNDO
4
Desde Enero 2017 – AENORINTERNACIONAL
SAU
Separación en Certificación y Normalización
(UNE)
Hasta 2016 Asociación privada de Normalización y
Certificación sin ánimo de lucro
AENOR es el representante de ISO en España y
algunos países de Latinoamérica.
Constitución: 1986. Real decreto 2200/95
AENOR Corporación
AENOR INTERNACIONAL (12 filiales – Europa y
Latam)
AENOR México ( +10 años en México DF y
Delegaciones)
Multisectorial
Normalización
Certificación productos, servicios, sistemas de
gestión y personal
Servicios de Formación
AENOR es miembro de IQNET
SegúnISACA(*):
La ciberseguridad, se ocupa de la protección de los activos
digitales , desde las redes al hardware y la información que
es procesada, almacenada o transportada a través los
sistemas de información interconectados.
(*): ISAC A – C SX – C ibersecurity Fundamentals
Study G uide
2. Modelo dinámico de ISOpara las TICs
5
2. Modelo dinámico de ISOpara las TICs
Fuente: ISO27032– RelaciónentreCiberseguridadyotros dominios deseguridad
6
ISO/IEC 27032:2012 Information technology — Security techniques —
Guidelines for cybersecurity
La ciberseguridad es la seguridad en el ciberespacio.
El ciberespacio es un mundo virtual que contiene los entornos de internet, personas,
organizaciones, actividades y toda clase de tecnología, dispositivos y redes
interconectados entre si (ISO 27032)
La ciberseguridad es la seguridad en un mundo digital-virtual, para prevenir los
ciberataques que provienen de nuevas amenazas y riesgos.
(Carlos Manuel Fdez. & Boris Delgado - AENOR)

Recomendados

Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 

Más contenido relacionado

La actualidad más candente

Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Entregables 2021 - act
Entregables   2021 - actEntregables   2021 - act
Entregables 2021 - actArthurMorales2
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioSantiago Toribio Ayuga
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTSJose Manuel Acosta
 
Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...bdoriesgosytecnologia
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 

La actualidad más candente (20)

Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyecto
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Entregables 2021 - act
Entregables   2021 - actEntregables   2021 - act
Entregables 2021 - act
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Infosecu
InfosecuInfosecu
Infosecu
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
Iso
IsoIso
Iso
 
Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...
 
Norma nist
Norma nistNorma nist
Norma nist
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 

Similar a IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.

Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012Iralix Raquel Garcia Marchant
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Protiviti Peru
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012Emanuel Aquino
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoSole Leraguii
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 

Similar a IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS. (20)

Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso27001
Iso27001Iso27001
Iso27001
 
ii
iiii
ii
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014Curso SGSI_Ecuador_Junio 2014
Curso SGSI_Ecuador_Junio 2014
 
isos de la informatica
isos de la informaticaisos de la informatica
isos de la informatica
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Ensayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicanoEnsayo de estandares en el contexto mexicano
Ensayo de estandares en el contexto mexicano
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 

Más de Ingeniería e Integración Avanzadas (Ingenia)

Más de Ingeniería e Integración Avanzadas (Ingenia) (20)

Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
Disinformation 2.0 (Ingenia Cibersecurity. 2020 FIRST Symposium Regional Europe)
 
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
Ingenia en #XIIIJORNADASCCNCERT: Desinformación 2.0
 
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnologíaIngenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
Ingenia en #XIIIJORNADASCCNCERT: El mito de la tecnología
 
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridadIngenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
Ingenia en #XIIIJORNADASCCNCERT: Darwin y la ciberseguridad
 
Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)Estado actual del Cibercrimen (#CibersegAnd19)
Estado actual del Cibercrimen (#CibersegAnd19)
 
Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)Sin fronteras (#CibersegAnd19)
Sin fronteras (#CibersegAnd19)
 
El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)El entorno IoT y las amenazas (#CibersegAnd19)
El entorno IoT y las amenazas (#CibersegAnd19)
 
Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)Ciberseguridad Industrial (#CibersegAnd19)
Ciberseguridad Industrial (#CibersegAnd19)
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
#CibersegAnd18. La Ciberseguridad en Blockchain.
#CibersegAnd18. La Ciberseguridad en Blockchain.#CibersegAnd18. La Ciberseguridad en Blockchain.
#CibersegAnd18. La Ciberseguridad en Blockchain.
 
Ingenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración PúblicaIngenia, transformación digital en la Administración Pública
Ingenia, transformación digital en la Administración Pública
 
Ingenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónicoIngenia, soluciones para el gobierno electrónico
Ingenia, soluciones para el gobierno electrónico
 
Ingenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración LocalIngenia, transformación digital en la Administración Local
Ingenia, transformación digital en la Administración Local
 
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
eSalux. Sistema Integral de Gestión de Servicios Médicos de Aseguradoras.
 
El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?El Reglamento UE 679/2016: ¿realidad o ficción?
El Reglamento UE 679/2016: ¿realidad o ficción?
 
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
IV Jornadas de Ciberseguridad en Andalucía: El cumplimiento como base de la c...
 
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la UniversidadIV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
IV Jornadas de Ciberseguridad en Andalucía: Ciberseguridad en la Universidad
 
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILARIV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
IV Jornadas de Ciberseguridad en Andalucía: GDPR & PILAR
 
INGENIA: Presentación corporativa 2017
INGENIA: Presentación corporativa 2017 INGENIA: Presentación corporativa 2017
INGENIA: Presentación corporativa 2017
 
e-Administración: ley, teoría y realidad. (J.A. Ayllón Gutiérrrez. Jefe Servi...
e-Administración: ley, teoría y realidad. (J.A. Ayllón Gutiérrrez. Jefe Servi...e-Administración: ley, teoría y realidad. (J.A. Ayllón Gutiérrrez. Jefe Servi...
e-Administración: ley, teoría y realidad. (J.A. Ayllón Gutiérrrez. Jefe Servi...
 

Último

combinación por correspondencia en Excel
combinación por correspondencia en Excelcombinación por correspondencia en Excel
combinación por correspondencia en ExcelHEDYYULIANARUIZGAVIR
 
Padlet como herrramienta para el aprendizaje
Padlet como herrramienta para el aprendizajePadlet como herrramienta para el aprendizaje
Padlet como herrramienta para el aprendizajezoecadi
 
marketing RPA 2024 es una coleccion de casos de uso
marketing RPA 2024 es una coleccion de casos de usomarketing RPA 2024 es una coleccion de casos de uso
marketing RPA 2024 es una coleccion de casos de usoncastagno
 
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIALjadevasquez11
 
Comunidad virtual de aprendizaje en la educacion
Comunidad virtual de aprendizaje en la educacionComunidad virtual de aprendizaje en la educacion
Comunidad virtual de aprendizaje en la educacionaxelsanchez701
 
Presentación de los cultivos de la zanahoria
Presentación de los cultivos de la zanahoriaPresentación de los cultivos de la zanahoria
Presentación de los cultivos de la zanahoriachifadomagu
 
torrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptxtorrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptx231476260
 
Presentación sobre SEGURIDAD EN INTERNET
Presentación sobre SEGURIDAD EN INTERNETPresentación sobre SEGURIDAD EN INTERNET
Presentación sobre SEGURIDAD EN INTERNETirenebello10
 
torrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptxtorrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptx231476260
 

Último (11)

combinación por correspondencia en Excel
combinación por correspondencia en Excelcombinación por correspondencia en Excel
combinación por correspondencia en Excel
 
Padlet como herrramienta para el aprendizaje
Padlet como herrramienta para el aprendizajePadlet como herrramienta para el aprendizaje
Padlet como herrramienta para el aprendizaje
 
marketing RPA 2024 es una coleccion de casos de uso
marketing RPA 2024 es una coleccion de casos de usomarketing RPA 2024 es una coleccion de casos de uso
marketing RPA 2024 es una coleccion de casos de uso
 
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL
22 DE FEBRERO DIA EUROPEO DE LA IGUALDAD SALARIAL
 
cuadro comparativo r
cuadro comparativo                        rcuadro comparativo                        r
cuadro comparativo r
 
Comunidad virtual de aprendizaje en la educacion
Comunidad virtual de aprendizaje en la educacionComunidad virtual de aprendizaje en la educacion
Comunidad virtual de aprendizaje en la educacion
 
Presentación de los cultivos de la zanahoria
Presentación de los cultivos de la zanahoriaPresentación de los cultivos de la zanahoria
Presentación de los cultivos de la zanahoria
 
torrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptxtorrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptx
 
Presentación sobre SEGURIDAD EN INTERNET
Presentación sobre SEGURIDAD EN INTERNETPresentación sobre SEGURIDAD EN INTERNET
Presentación sobre SEGURIDAD EN INTERNET
 
torrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptxtorrescarrera_brittaniyamilet_M1S4P1.pptx
torrescarrera_brittaniyamilet_M1S4P1.pptx
 
Herramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptxHerramientas tecnológicas para los abogados.pptx
Herramientas tecnológicas para los abogados.pptx
 

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.

  • 1. Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS. D. Boris Delgado Riss Gerente de TIC de AENOR
  • 2. Modelo de Gobierno y Gestión de las TIC La certificación de conformidad con el ENS (el cumplimiento como base de la ciberseguridad) 2 Boris DELGADO. CISA, CISM Gerente de TIC (AENOR) Junio-2017
  • 3. AGENDA 1. AENOREN EL MUNDO 2. MODELOAENORDE ISO EN LAS TICS. RIESGOS DE LAS TICs Y SOLUCIONES. 3. SISTEMA GESTION DE SEGURIDADDE LA INFORMACION – ISO 27001. Un “commodity” 4. ENS – ELEMENTOS PRINCIPALES 5. ENS – PROCESODE ADECUACION 6. ENS – INTERRELACION CON ISO27001 7. ENS - AUDITORIA DE CERTIFICACION DE CONFORMIDADCON EL ENS. ISO17065 8. TESTIMONIALES Y BIBLIOGRAFIA 3
  • 4. 1. AENOREN EL MUNDO 4 Desde Enero 2017 – AENORINTERNACIONAL SAU Separación en Certificación y Normalización (UNE) Hasta 2016 Asociación privada de Normalización y Certificación sin ánimo de lucro AENOR es el representante de ISO en España y algunos países de Latinoamérica. Constitución: 1986. Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales – Europa y Latam) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET
  • 5. SegúnISACA(*): La ciberseguridad, se ocupa de la protección de los activos digitales , desde las redes al hardware y la información que es procesada, almacenada o transportada a través los sistemas de información interconectados. (*): ISAC A – C SX – C ibersecurity Fundamentals Study G uide 2. Modelo dinámico de ISOpara las TICs 5
  • 6. 2. Modelo dinámico de ISOpara las TICs Fuente: ISO27032– RelaciónentreCiberseguridadyotros dominios deseguridad 6 ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity La ciberseguridad es la seguridad en el ciberespacio. El ciberespacio es un mundo virtual que contiene los entornos de internet, personas, organizaciones, actividades y toda clase de tecnología, dispositivos y redes interconectados entre si (ISO 27032) La ciberseguridad es la seguridad en un mundo digital-virtual, para prevenir los ciberataques que provienen de nuevas amenazas y riesgos. (Carlos Manuel Fdez. & Boris Delgado - AENOR)
  • 7. 2. Modelo dinámico de ISOpara las TICs 7 En la ISO27032 se abordan riesgos y amenazas específicas de ciberseguridad: los ataques de ingeniería social. El acceso secreto y no autorizado a sistemas informáticos (Hacking); La proliferación de software malicioso (Malware); El software espía (Spyware); Otros tipos de software potencialmente no deseables (Ransomware). Amenazas Persistentes (APTs) Y propone controles: Controles a nivel de aplicaciones (SW seguro) Controles para la protección de Servidores (Hardening) Controles para usuario final (end-user) e ingeniería social Propone un marco para proveedores/clientes: Compartirinformación (colaboración segura y confiable, que también proteja la privacidad de las partes implicadas) Coordinación y gestión de incidentes (CERT y SOC).
  • 8. La solución: el Modelo dinámico de ISOpara las TI SGCN ISO 22301 Sistema de Gestión Continuidad del Negocio. Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software SGSI ISO 27001 Sistema de Gestión Seguridad de la Información SGSTI ISO 20000-1 Sistema de Gestión Servicios TI ISO20000-2 Guía de Buenas Prácticas Desarrollo de Software Operaciones /Servicios Adicionalmente: • SGSI – ENS - Esquema Nacional de Seguridad • Reglamento UE 910/2014 – Prestadores de Servicios de Confianza - eIDAS • BPCE – Buenas Prácticas Comercio Electrónico • SGSI – SCADA Copyright AENOR. Diciembre 2006 Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Gobierno de TI ISO 38500 IT Governance 8 ISO 25000 Calidad del Producto Software Funciones del CIO Calidad y seguridad en servicios de TI (el día a día) La empresa y su continuidad según procesos críticos Nota: tiene PDCA / Control interno Tecnologías de Información DatacenterGreen. Sostenibilidad Energética en CPDs- SE CPD- ISO27002 Guía de Controles DEVOPSCreación de Software ISO12207 Ciclo de Vida de Desarrollo de Software NOTA: desde 2004 certificando SGSI/ISO 27001. +400 empresas certificadas
  • 9. 2. RIESGOS DE LAS TICs Y SUS SOLUCIONES Solución a los Riesgos en el Modelo de ISO en las TICs 9
  • 10. 10 2. RIESGOS DE LAS TICs Y SUS SOLUCIONES Solución a los Riesgos en el Modelo de ISOen las TICs
  • 11. Copyright AENOR: Carlos Manuel Fdez.&BDelgado. Junio 2015 La solución: el Modelo dinámico de ISOpara las TI 11
  • 12. AENORestáacreditadaporENAC en: -ISO 27001 (a nivelmundial) -PSC (Europa – ReglamentoU E 91 0/201 4 eIDAS), -Esquema Nacionalde Seguridad(España- RD 3/201 0) conformeaISO17021, ISO27006eISO17065 Es por ello que estamos en las mejores condiciones  para certificar RGPD y que por supuesto seremos entidad certificadora para el RGPD 2. Modelo dinámico de ISOpara las TICs 12
  • 13. La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.  Re-ordenarla seguridad  Cumplimiento normativo-legal en Europa y LATAM(p.e. LOPDen España, Perú, México, etc.) DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD Asegurarque la información es accesible solo para aquellos autorizados a tener acceso. Garantizarla exactitud y completitud de la información y los métodos de su proceso Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. 13 3. SGSI - UNE ISO/IEC 27001:2014. DIMENSIONES DE SEGURIDAD
  • 14. A.5 Política de Seguridad de Información A.6 Organización de la Seguridad de la información A.7 Seguridad en los RRHH A.8 Gestión de Activos A.9 Control de Accesos A.10 Criptografía A.11 Seguridad Física y ambiental A.12 Seguridad en las operaciones A.13 Seguridad en las comunicaciones A.14 Adquisición, desarrollo y mantenimiento de sistemas A15 Relación con proveedores A.16. Gestión de incidentes de seguridad A.17 Aspectos de Seguridad de la información dentro de continuidad de negocio A.18 Conformidad ISO IEC 27002 /Anexo A. ISO IEC 27001 P D Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección Adoptar las acciones correctivas Adoptar las acciones preventivas 3. SGSI - UNE ISO/IEC 27001:2014. MODELO PDCA C A 14
  • 15. PRINCIPIOS BASICOS (6) Se tienen en cuenta para las decisiones en materia de seguridad - Seguridad Integral - Gestión basada en riesgos - Prevención, reacción y recuperación - Líneas de defensa - Evaluación periódica - Función diferenciada REQUSITOS MINIMOS (15) Permitirán una protección adecuada de la información MEDIDAS DE SEGURIDAD (75) Se tendrán que cumplir dentro de los principios básicos y requisitos mínimos establecidos y serán proporcionales a: i)El tipo y nivel de la información gestionada ii)Las dimensiones de seguridad relevantes en el sistema a proteger iii)La categoría del sistema de información a proteger. Fuente: Como implantarun SGSI y su aplicación en el ENS. AENOREdiciones Real Decreto 3/2010. Regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Establecer la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Se crean las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Dimensiones de Seguridad en ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad 15 4. ENS – Elementos Principales
  • 16. 5. ENS – Proceso de Adecuación Fuente:  En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones deberán estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación ha vencido el 30 de enero de 2014.  El Real Decreto 951/2015, de 23 de octubre, de modificación del anterior RD establece que los sistemas deberán adecuarse a lo dispuesto en un plazo de veinticuatro meses (4 de noviembre de 2017). 16
  • 17. Instrumentos para la adecuación (Guías CCN-STIC) Su Serie 800 establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS y especialmente los siguientes documentos: 5. ENS – Proceso de Adecuación 17 • CCN-STIC 802 Guía de Auditoría • CCN-STIC 804 Guía de Implantación de medidas del ENS • CCN-STIC 808 Verificación cumplimiento medidas del ENS • CCN-STIC 815 Métricas e Indicadores • CCN-STIC 809 Declaración y Certificación Conformidad ENS. Distintivos Cumplimiento. • CCN-STIC 824 Informe Estado Seguridad • CCN-STIC 844 INES (Informe Nacional Estado de la Seguridad) • CCN-STIC 47XManual de uso PILAR PILAR: Herramienta para Análisis de Riesgos CLARA. Herramienta para cumplimento del ENS INES. Herramienta para el Informe del Estado de la Seguridad en el ENS Reciente publicación en el BOE: Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad (BOE 265 – 2-Nov-16) Instrucción Técnica de Seguridad (ITS) de Informe del Estado de la Seguridad. . (BOE 265 – 2-Nov-16)Fuente: https://www.ccn-cert.cni.es/ens/adecuacion.html
  • 18. 5. ENS – Proceso de Adecuación 18 Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, porla que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad. CCN-CERT provee herramientas como INES (estado de la ciberseguridad) ó LUCIA (ciberincidentes)
  • 19. 5. ENS – Proceso de Adecuación 19 Fuente: https://www.ccn- cert.cni.es/ens/ens.html CCN-STIC-804 – Guía de implantación de medidas Guía que establece unas pautas para la aplicación de medidas
  • 20. CCN-STIC-830 – ENS. Ámbito de Aplicación Guía que permite conocer el ámbito subjetivo de aplicación (a quién se aplica el ENS) y el ámbito objetivo de aplicación (a qué se aplica el ENS). A quién se aplica el ENS (ámbito subjetivo) • ADMINISTRACIÓN GENERAL DEL ESTADO (AGE) • ADMINISTRACIÓN DE LAS COMUNIDADES AUTÓNOMAS • ADMINISTRACIÓN DE LAS ENTIDADES LOCALES • ENTIDADES DE DERECHO PÚBLICO PERTENECIENTES AL SECTOR PÚBLICOINSTITUCIONAL • ENTIDADES DE DERECHO PRIVADO PERTENECIENTES AL SECTOR PÚBLICO INSTITUCIONAL • ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LAS COMUNIDADES AUTÓNOMAS • ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LA ADMINISTRACIÓN DE LAS ENTIDADES LOCALES • UNIVERSIDADES PÚBLICAS CORPORACIONES DE DERECHO PÚBLICO • AEAT, CNI Y BANCO DE ESPAÑA • ÓRGANOS CONSTITUCIONALES Y ÓRGANOS LEGISLATIVOS Y DE CONTROL • AUTONÓMICOS. • ENTIDADES DE DERECHO PRIVADO Y FUNDACIONES • SERVICIOS PRESTADOS POR EL SECTOR PRIVADO (Proveedores de servicios y soluciones tecnológicas) 5. ENS – Proceso de Adecuación 20 Fuente: CCN-STIC- 830 – Ámbito de
  • 21. 5. ENS – Proceso de Adecuación  A qué se aplica el ENS (ámbito objetivo) Fuente: CCN-STIC- 830 – Ámbito de21
  • 22. CCN-STIC-825 – ENS. Certificaciones ISO 27001 Guía que permite conocer como una certificación 27001 sirve de soporte al cumplimiento del ENS . 6. ENS - Interrelación con la ISO27001  El ENS contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión de seguridad de la información. Quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2014 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del RD 3/2010 y en su caso, qué elementos adicionales son requeridos .  ENS – RD 3/2010 - Anexo II – 75 medidas (controles) de seguridad 22
  • 23. MOTIVACION  ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos y es de aplicación obligatoria a todas las Administraciones Públicas y empresas privadas que provean servicios (ver Alcance) a las AAPP.  SGSI - ISO 27001 es un estándar internacional de aplicación voluntaria. Aceptación a nivel mundial (Es un “commodity”) ALCANCE ENS considera para sus alcances en el ámbito de las AAPP las Sedes electrónicas, Registros electrónicos, SSII accesibles electrónicamente por los ciudadanos, SSII para el ejercicio de los derechos, etc. Ver CCN-STIC-830 – ENS. Ámbito deAplicación  SGSI – ISO 27001. Alcance a los SSII que dan soporte a los procesos/servicios de la organización cuyo límite lo establece la propia organización. El alcancedelSGSI-ISO27001 incluirátodos los servicios ysistemas quetienenquecumplirconel ENS. 6. ENS - Interrelación con la ISO27001 23
  • 24. DIMENSIONES DE LA SEGURIDAD  ENS añade las dimensiones de seguridad Autenticidad y Trazabilidad  SGSI - ISO27001: Confidencialidad, Integridad y Disponibilidad. CATEGORIZACION Y ANÁLISIS DE RIESGOS  ENS requiere un proceso de categorización (Anexo I) y una serie mínima de medidas de seguridad (Anexo II) que son obligatorias u opcionales en función de la categoría del sistema. La máxima libertad que se concede es que la entidad/organismo demuestre que ha implantado medidas alternativas que alcanzan el mismo nivel de protección. La realización del análisis de riesgos servirá para precisar las medidas de seguridad teniendo en cuenta la categoría del sistema (Básico, Medio, Alto) a la vez que su resultado determinará la necesidad implantar o no medidas adicionales.  SGSI-ISO 27001 el proceso de evaluación de riesgos determina que controles se aplican y cuales no a los sistemas de información que dan soporte a los procesos de negocio/servicios definidos en el alcance 6. ENS - Interrelación con la ISO27001 24
  • 25. Roles ENS Roles ISO 27001 Responsable de la Información Propietario del Riesgo Responsable del servicio Responsable de seguridad Responsable de Seguridad Responsable del sistema Responsable del sistema 6. ENS - Interrelación con la ISO27001 ENS Requisito UNE-ISO/IEC 27001 Art. 11 Política de seguridad 5.2 Art. 12 Compromiso de la dirección 5.1 Art. 13.1 Evaluación de riesgos 6.1.2 Art. 13.2 Art. 13.3 Gestión de riesgos 6.1.3 Art. 27.1 Declaración de aplicabilidad 6.1.3 Art. 14 - 15 Formación 7.2 - 7.3 Art. 34.1 Auditorías 9.2 Art. 26 Mejora continua 10.2 MARCO ORGANIZATIVO CORRESPONDENCIA PRINCIPALES REQUISITOS 25 Fuente: Como implantarun SGSI y su aplicación en el ENS. AENOREdiciones
  • 26. Medidas de seguridad (controles) de ENS sin reflejo en ISO 27002 Componentes certificados op.pl.5 Componentes certificados Control de Acceso op.acc.5 Mecanismo de autenticación (alternativamente se podrían considerar ISO 27002) 9.2.4 - G estión de la información secreta de autenticación de usuarios 9.3.1 - U so de la información secreta de autenticación 9.4.3 - G estión de las contraseñas de usuario Explotación op.exp.2 Configuración de seguridad op.exp.3 Gestión de la configuración 6. ENS - Interrelación con la ISO27001 Protección de la Información: mp.info.4 Firma electrónica (alternativamente se podrían considerarISO 27002) 1 0.1 .1 - Política de uso de los controles criptográficos 1 4.1 .3 - Protección de las transacciones 1 8.1 .5 - Regulación de los controles criptográficos mp.info.5 Sellos de tiempo (alternativamente se podrían considerarISO 27002) 14.1.3 - Protección de las transacciones mp.info.6 Limpieza de documentos Protección de los servicios mp.s.2 Protección de servicios y aplicaciones web mp.s.8 Protección frente a la denegación de servicio 26
  • 27. Auditoría de Certificación de Conformidad según ISO170 AENORprimera entidad acreditada para ENS Fuente: www.ccn-cert.cni.es/ens 27
  • 28. Auditorías de Conformidad con el ENS El Art. 34 del ENS : Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. El Anexo III – Auditoria de Seguridad: La seguridad de los sistemas de información de una organización será auditada en los siguientes términos: a) Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. b) Que existen procedimientos para resolución de conflictos entre dichos responsables. c) Que se han designado personas para dichos roles a la luz del principio de "separación de funciones". d) Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. e) Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regularde aprobación porla dirección. Pendiente de publicación la ITS de Auditoria de Seguridad en el BOE 7. ENS - Auditoria de Certificación de Conformidad ENS 28
  • 29.  Registro de la conformidad con todos los requisitos auditados (evidencias de conformidad y no conformidad)  C C N-STIC -802. Auditoría delENS  C C N-STIC 808. Verificación delcumplimientomedidas ENS.  No hay ciclo de certificación. (son bienales)  Las auditorías son evaluaciones puntuales.  Obligatorio Cat. Media y Alta. Autoeval. Basica  AENORemite certificados con estos criterios/formato ISO17065 – Certificación de Productos y Servicios Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. (BOE 265 – 2-Nov-16), y complementariamente con CCN-STIC- 809 – Declaración y C ertificación de conformidadcon elENS y eldistintivo de cumplimiento. 7. Auditoría de Certificación de Conformidad ENS según ISO 17065 29
  • 30. 7. Auditoría de Certificación de Conformidad ENS según ISO 17065 FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN CUESTIONARIO PRELIMINARY SOLICITUD REGISTRARLOS RESULTADOS CONCESIÓN DEL CERTIFICADO AUDITORÍAS DE RENOVACION (BIENAL) AENOR Auditoría de Certificación de Conformidad ENS (utilizando ISO17065) Auditoríasdemantenimiento delacertificación Informe de Evaluación y Decisión Informe fase 1 Hoja de datos Alcance y Categoriz. “… de acuerdo a la cat. sist. vigente” Informe final 30
  • 31. PROCESO DE AUDITORIA DE CONFORMIDAD Se utiliza de base la Guía CCN-STIC 802 y la Guía CCN-STIC 808 FASE 1 Estudio de Documentación - 1.- política de seguridad - 2.- Organigrama de los servicios o áreas afectadas - 3.- Descripción detallada del sistema de información - Categoría del sistema según el Anexo I - La Declaración de Aplicabilidad 7. ENS - Auditoria de Certificación de Conformidad ENS 31 FASE 2  Revisión de los artículos Anexos I y II RD 3/2010  Análisis y Gestión de Riesgos  Categorización del sistema  Declaración de Aplicabilidad Revisión de las medidas según la categorización del sistema El marco organizativo y la segregación de funciones El marco operacional (Planificación, Control de Accesos, Explotación, Servicios Externos, Continuidad del Servicio, y Monitorización del Sistema) Las medidas de protección (Protección de las instalaciones e infraestructuras, Gestión del personal, Protección de equipos, de las comunicaciones, de los soportes de información, de las aplicaciones informáticas, de la información, y de los servicios). Informe de auditoria Con un resumen de los aspectos auditados, se presenta al Responsable del sistema y Responsable de seguridad y se realiza un dictamen final: FAVORABLE, FAVORABLE CON NO CONFORMIDADES o DESFAVORABLE Además de identifican las desviaciones detectadas
  • 32. Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: 7. Proceso de Certificación en ENS Auditor Jefe Gerente TICs - Comité TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión /no concesión) Decisión (Concesión /no concesión) Propuesta (Concesión /no concesión) 32
  • 33. Auditorías conjuntas ISO27001 + ENS CCN-STIC-825, ENS. CERTIFICACIONES 27001. Objetivo: relación del ENS con ISO/IEC 27001/27002 La selección de controles para realizar las pruebas de cumplimiento se realizan en base a la categorización establecida para el sistema/servicio. La revisión se realiza de forma integrada en aquellos controles con objetivos comunes, de acuerdo a la declaración de aplicabilidad, y de forma específica sobre aquellos controles del ENS no contemplados en UNE-ISO/IEC 27001:2014. ENS - Los sistemas de información ó servicios del alcance siempre de acuerdo a la categorización del sistema vigente. SGSI-ISO 27001 - Los sistemas de información que dan soporte a los procesos de negocio/servicios del alcance de acuerdo a declaración de aplicabilidad vigente. AENOR desde 2013: ha emitido más de 10 certificaciones de conformidad a Administraciones Públicas o entidades. (Junta de Comunidades de Castilla-La Mancha; Consejo General de la Abogacía; KIO Networks; Hospital del Perpetuo Socorro; SIGNE S.A, etc.) AENORprimera entidad certificadora acreditada porENAC para ISO27001 y ENS 7. ENS - Auditoria de Certificación de Conformidad ENS - Pilotos 33
  • 34. Contacto público para consultas del ENS y Guía de Preguntas Frecuentes •Ministerio de Hacienda y Administraciones Públicas •Centro Criptológico Nacional 7. HERRAMIENTAS Y CONSULTAS ENS 34 Fuente: www.ccn-cert.cni.es/ens Fuente:
  • 35. 8. Testimoniales del Modelo de AENOR “Tenemos un análisis de riesgos totalmente adaptadoa nuestras necesidades” Luís Lopes Director Técnico CESCE Soluçoes Informatica. Portugal del Grupo SIA España ISO27001 ISO20000- 1 Luis Manuel Ortiz Director Comercial TI América. México “La certificación garantiza a los clientes que nuestros servicios se rigen porlas mejores prácticas” Maximino Álvarez Director General Xtream . España SPICE-ISO15504/ISO 12207 “Base de nuestrocrecimiento internacional” ISO22301 Cristo M. Pérez Rosquete Área de Seguridad Informática Sanitas. España “Para continuarcuidando” Luis Montalban CEO BITWARE. España ISO15504 + ISO25000 “La aplicación conjunta de ISO 1 5504 e ISO 25000 ha supuestouna mejora en la productividady un ahorrode costes en el mantenimientodel60% en el software ENS Carlos Carnicer Presidente Consejo General de la Abogacía Española “Los ciudadanos pueden confiar en que sus datos se gestionan con garantías de seguridad“ 35
  • 37. SOSURVEY 2015 – ESPAÑA en el TOPTEN (ISO27001 e ISO2000
  • 38. “Mejora Continua: Protección adecuada de la información en Ciberseguridad”. En conclusión: ¿Dormirá tranquilo el/la CIO? 38 Muchas gracias porsu atención AENORINTERNACIONAL SAU DELEGACION DE ANDALUCIA Torre Sevilla Gonzalo Jiménez de Quesada 2 - 4° planta 41092 Sevilla Tel. 955 648 656 aenorandalucia@aenor.com Boris DELGADO. CISA, CISM Gerente de TICs . AENOR bdelgado@aenor.com