Ciberseguridad en una sociedad en red
Madrid, 15 de abril de 2015
Miguel A. Amutio Gómez
Subdirector Adjunto de Coordinaci...
Por qué es necesaria la seguridad de información y servicios
 Los ciudadanos esperan que los servicios
se presten en cond...
“Asegurar la plena implantación del ENS”
Adecuación
Fuente: INES. Diciembre 2014
Niveles de madurez de referencia
 RD 3/2010 revisado a la luz de:
 la experiencia adquirida,
 los comentarios recibidos por vías formales e informales,
...
“Asegurar la plena implantación del ENS”
Actualización permanente y alineamiento
Aspectos introducidos en el proyecto de m...
 Publicación de conformidad respecto al cumplimiento del ENS:
 Manifestación expresa de que el sistema cumple lo estable...
ENS y 27001
 ENS:
 Trata la protección de información y servicios, de forma
proporcionada para racionalizar la implantac...
Seguridad gestionada:
 Oportunidad para mejorar la seguridad del
conjunto y reducir el esfuerzo individual de
las entidad...
CCN-CERT: Centro de alerta y respuesta de
incidentes de seguridad y ayuda a las AA.PP. a
responder de forma más rápida y e...
http://www.oc.ccn.cni.es/index_en.html
 El ENS reconoce la contribución de los
productos evaluados y certificados para
el...
Conclusiones
 Evolución hacia la gestión electrónica de los servicios: los servicios 24
x 7 -> requieren seguridad 24 x 7...
 El RD 3/2010, 25 Guías CCN-STIC (Serie 800), seguimiento, herramientas,
servicios…
Pero sobre todo:
 Esfuerzo colectivo...
Muchas gracias
 Correos electrónicos
– ens@ccn-cert.cni.es
– ens.minhap@correo.gob.es
– ccn@cni.es
– sondas@ccn-cert.cni....
Guías CCN-STIC publicadas en https://www.ccn-cert.cni.es :
800 - Glosario de Términos y Abreviaturas del ENS
801 - Respons...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas
Próxima SlideShare
Cargando en…5
×

Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas

407 visualizaciones

Publicado el

Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
407
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
16
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional y Administraciones Públicas

  1. 1. Ciberseguridad en una sociedad en red Madrid, 15 de abril de 2015 Miguel A. Amutio Gómez Subdirector Adjunto de Coordinación de Unidades TIC Dirección de Tecnologías de la Información y las Comunicaciones
  2. 2. Por qué es necesaria la seguridad de información y servicios  Los ciudadanos esperan que los servicios se presten en condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.  Buena parte de la información y los servicios manejados por las AA.PP. constituyen activos nacionales estratégicos.  Los servicios se prestan en un escenario complejo que requiere cooperación.  La información y los servicios están sometidos a riesgos provenientes de acciones malintencionadas o ilícitas (ciberamenazas), errores o fallos y accidentes o desastres.  Los servicios 24 x 7 -> requieren seguridad 24 x 7.
  3. 3. “Asegurar la plena implantación del ENS” Adecuación Fuente: INES. Diciembre 2014 Niveles de madurez de referencia
  4. 4.  RD 3/2010 revisado a la luz de:  la experiencia adquirida,  los comentarios recibidos por vías formales e informales,  la evolución de la tecnología y las ciberamenazas,  el contexto regulatorio europeo.  Alineado con el Reglamento (UE) Nº 910/2014 de identidad electrónica y servicios de confianza.  Consensuado en los grupos de trabajo de AGE y demás AA.PP. (más de 2 años de trabajo, 2013, 2014 y 2015).  Comentarios de AMETIC, febrero de 2015.  En tramitación.  Proyecto publicado en el Pae (Portal de la Administración Electrónica): http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Estrategias/pae_Seguridad_Inicio/pae_Esquema _Nacional_de_Seguridad/20150302_PROYECTO_RD_modificacion_RD_3_2010.pdf “Asegurar la plena implantación del ENS” Actualización permanente y alineamiento
  5. 5. “Asegurar la plena implantación del ENS” Actualización permanente y alineamiento Aspectos introducidos en el proyecto de modificación del Real Decreto 3/2010:
  6. 6.  Publicación de conformidad respecto al cumplimiento del ENS:  Manifestación expresa de que el sistema cumple lo establecido en el ENS.  Declarativas en las sedes electrónicas.  Declaraciones de conformidad y distintivos de seguridad de los que sean acreedores, respecto al cumplimiento del ENS.  Hay capacidades de auditoría/evaluación, certificación y acreditación.  Aspecto por desarrollar.  Experiencias. Certificado de conformidad con el ENS:  Ej.: Experiencia de AENOR y del Consejo General de la Abogacía con RedAbogacía.  Certificación de la conformidad con el ENS: Acreditación de que se cumplen los requisitos del ENS.  “Asegurar la plena implantación del ENS” Publicación de la conformidad
  7. 7. ENS y 27001  ENS:  Trata la protección de información y servicios, de forma proporcionada para racionalizar la implantación de las medidas.  Contempla aspectos de especial interés para protección de información y servicios de administración-e.  Exige la gestión continuada de la seguridad.  27001:  Contiene requisitos para la construcción (y posterior certificación, en su caso) de un sistema de gestión de seguridad de la información.  Norma de gestión, de cumplimiento voluntario y certificable.  Guía CCN-STIC 825, relación entre ENS y 27001:  Explica la utilización de una certificación 27001 como soporte de cumplimiento del ENS.  Ayuda a determinar qué controles de la norma 27002 son necesarios para cumplimiento de cada medida del Anexo II y, en su caso, qué elementos adicionales son requeridos.
  8. 8. Seguridad gestionada:  Oportunidad para mejorar la seguridad del conjunto y reducir el esfuerzo individual de las entidades. Racionalidad económica:  Consolidación, frente al coste de n acciones individuales. Ejemplos de servicios para estas medidas “Desarrollar nuevos servicios horizontales seguros” Acción de la Dirección de Tecnologías de la Información y las Comunicaciones Medidas del ENS susceptibles de prestación centralizada
  9. 9. CCN-CERT: Centro de alerta y respuesta de incidentes de seguridad y ayuda a las AA.PP. a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información. Funciones recogidas en la Ley 11/2002 reguladora del CNI, el Real Decreto 421/2004 de regulación del CCN y en el Real Decreto 3/2010 que regula el ENS. Comunidad: AA.PP. de España Reconocimiento internacional: 2007, EGC (2008) Presta servicios de:  resolución de incidentes,  divulgación de buenas prácticas,  formación  e información de amenazas y alertas.  Sondas en Red SARA e Internet. https://www.ccn-cert.cni.es/ “Ampliar y reforzar las capacidades CERT de las AA.PP.”
  10. 10. http://www.oc.ccn.cni.es/index_en.html  El ENS reconoce la contribución de los productos evaluados y certificados para el cumplimiento de los requisitos mínimos de manera proporcionada.  Relación con el Organismo de Certificación (el propio CCN).  La certificación es un aspecto a considerar al adquirir productos de seguridad.  En función del nivel, se contempla el uso preferentemente de productos certificados.  Modelo de cláusula para los pliegos de prescripciones técnicas. “…evaluación de productos, servicios y sistemas…”
  11. 11. Conclusiones  Evolución hacia la gestión electrónica de los servicios: los servicios 24 x 7 -> requieren seguridad 24 x 7.  El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.  Retos:  el conocimiento de la situación,  la actualización y alineamiento con tendencias (UE, OCDE),  la extensión a todos los sistemas de información  y el despliegue de seguridad gestionada para mejora de la seguridad del conjunto en condiciones de mejor eficacia y eficiencia.
  12. 12.  El RD 3/2010, 25 Guías CCN-STIC (Serie 800), seguimiento, herramientas, servicios… Pero sobre todo:  Esfuerzo colectivo de todas las AA.PP. (AGE, CC.AA., EE.LL. (FEMP), Universidades (CRUE), ámbito de Justicia (EJIS), coordinado por MINHAP y CCN.  + Industria sector seguridad TIC.  Convencimiento común: gestión continuada de la seguridad, con un tratamiento homogéneo y adaptado al quehacer de la Administración. Esfuerzo colectivo
  13. 13. Muchas gracias  Correos electrónicos – ens@ccn-cert.cni.es – ens.minhap@correo.gob.es – ccn@cni.es – sondas@ccn-cert.cni.es – redsara@ccn-cert.cni.es – organismo.certificacion@cni.es  Páginas Web: – administracionelectronica.gob.es – www.ccn-cert.cni.es – www.ccn.cni.es – www.oc.ccn.cni.es
  14. 14. Guías CCN-STIC publicadas en https://www.ccn-cert.cni.es : 800 - Glosario de Términos y Abreviaturas del ENS 801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS 803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS 805 - Política de Seguridad de la Información 806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS 808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS 810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS 812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS 814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS 817 - Criterios comunes para la Gestión de Incidentes de Seguridad 818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad 822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS 824 - Informe del Estado de Seguridad 825 – ENS & 27001 827 - Gestión y uso de dispositivos móviles 850A - Implantación del ENS en Windows 7 (cliente en dominio) 851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro) 851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente) MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información Programas de apoyo: Pilar , µPILAR, INÉS, CLARA, LUCÍA, CARMEN, … Más información

×