SlideShare una empresa de Scribd logo

Mejora de la adecuación de los sistemas de la Administración General del Estado al ENS

Miguel A. Amutio
Miguel A. Amutio

Este documento describe un proyecto para mejorar la adecuación de los sistemas de información de la Administración General del Estado al Esquema Nacional de Seguridad. El proyecto ayudará a más de 100 entidades a alcanzar la certificación de conformidad mediante diagnósticos, planes de adecuación, formación y acompañamiento en la auditoría. El proyecto también establece una gobernanza para coordinar el proceso y garantizar el cumplimiento continuo de los requisitos de seguridad.

Gobierno y org. sin ánimo de lucro
1 de 19
Descargar para leer sin conexión
Mejora de la adecuación al ENS en la AGE Miguel A. Amutio Gómez Director de Planificación y Coordinación de Ciberseguridad Secretaría General de Administración Digital Secretaría de Estado de Digitalización e Inteligencia Artificial Ministerio de Transformación Digital
ÍNDICE 1. Contexto de ciberseguridad 2. Objetivo, alcance y retos 3. Enfoque de actuación 4. Dinámica de interacción 5. Gobernanza 6. Ayuda del COCS para cumplir con el ENS 7. Contexto europeo: AAPP en ámbito de NIS2 8. Qué esperamos de las entidades Mejora de la adecuación al ENS en la AGE
Contexto de ciberseguridad 2023 MEDIDAS 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Manipulación de la información e interferencia 8. Ataques contra la cadena de suministro Para hacer frente a estas amenazas y a su evolución: ✓ Aplicación del ENS (Sector público, proveedores, cadena de suministro) ✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL) ✓ Red Nacional de Centros de Operaciones de Ciberseguridad ✓ Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes ❑ Mayor demanda de gobernanza, coordinación, cooperación ❑ Desarrollo de capacidades conjuntas y de interconexión ❑ Requisitos evolutivos y crecientes: adaptación permanente
El Sector Público, el más atacado Photo by Philipp Katzenberger on Unsplash Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes (coste) ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes (coste) ▪ Reputacional El Sector Público y sus proveedores en el punto de mira de los ciberataques: La Administración Pública figura como el sector más atacado (~19%), seguido de personas objetivo (~11%), la salud (~8%), la infraestructura digital (~7%) y la manufactura, las finanzas y el transporte. Fuente: ENISA Threat Landscape 2023
Ante este escenario, el … ✓ Proporciona principios básicos y requisitos mínimos, proporcionalidad mediante categorización, medidas de seguridad actualizadas, flexibilidad a través de perfiles de cumplimiento específicos, mecanismos de acreditación y conformidad a través de la colaboración con ENAC, más el seguimiento a través del Informe Anual sobre el Estado de la Seguridad (INES), junto con más de 100 guías de soporte y una colección de soluciones proporcionadas por el CCN-CERT. ✓ Aplicable a todo el sector público, a sistemas que manejan información clasificada, a los proveedores de soluciones y servicios, a entidades del sector público y proveedores para proteger datos personales. ✓ Enfoque global que involucra el marco legal; cooperación en materia de gobernanza y comunidad; capacidades, soluciones y servicios; y financiación. ✓ Alineado con el contexto de ciberseguridad, adaptado a la Administración Digital. ✓ Es flexible, permite la armonización de criterios, continuamente atento a la evolución de las ciberamenazas. ✓ 14 años de experiencia práctica.
Pero… La debilidad en una entidad compromete al resto, por la alta conectividad y facilidad de propagación de la actuación de los agresores. El Informe Anual del Estado de la Seguridad, (INES) muestra que hay que mejorar:
Contexto del proyecto Medida 9 del Plan: constitución del Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP. (COCS) Oportunidad para mejorar el cumplimiento del ENS en las entidades en su alcance. Conocimiento de la situación a partir del informe 2022: ✓ Se publicó en Real Decreto 311/2022 ✓ Se lanzó el proyecto de implantación del 2023: ✓ se lanzó el proyecto mejora de la adecuación al ENS en la Administración General del Estado
Objetivo y alcance Impulsar la adecuación de los sistemas de información de la Administración General del Estado y Organismos Públicos al ENS, de modo que se les facilite alcanzar la certificación de la conformidad. 4 4 3 8 2 7 3 4 1 9 2 2 5 7 5 2 4 5 5 4 5 15 1 0 2 4 6 8 10 12 14 16 Alcance: > 100 entidades de la Administración General del Estado
Qué retos encontramos Heterogeneidad: • En competencias, en tipo de sistemas de información y su complejidad • En sensibilidad y madurez en ciberseguridad y en la complejidad de los sistemas • Grado de concienciación y/o formación en ciberseguridad • Disponibilidad de personal y presupuesto ▪ Dependencias de terceros, tanto de proveedores como de otras entidades ▪ Delimitación del alcance de los sistemas Photo by You X Ventures on Unsplash
Soporte en el proceso de adecuación Soporte en el proceso de adecuación Soporte en la Implantación de controles Apoyo en la implantación de controles complementarios Análisis de impacto de negocio y planificación de continuidad Formación en ámbitos del ENS Auditoría Interna Gestión y acompañamiento en auditoria de certificación Plan de adecuación al ENS Plan de adecuación al ENS Apoyo a la determinación del alcance ENS Actuaciones de gobierno de la seguridad Diagnóstico de cumplimiento ENS Análisis de Riesgos TI/Información Elaboración del Plan de Mejora de la Seguridad Procesos continuos de seguridad Procesos continuos de seguridad Análisis de Riesgos TI/Información Soporte en la implantación de controles Análisis de impacto de negocio y planificación de continuidad Otros procesos Otros procesos Auditoría interna ENS Formación y concienciación en materia de seguridad Asesoramiento general Enfoque de actuación • Diagnóstico / Evaluación de cumplimiento • Plan de adecuación • Categorización del sistema • Análisis de riesgos • Declaración de aplicabilidad • Marco normativo • Seguimiento de la implantación • Asesoramiento en la implantación • Formación / Concienciación • Auditoría interna • Acompañamiento a la certificación Resultados Resultados
Dinámica de interacción Acompañamiento Certificación de la conformidad Reunión de inicio Implantación de medidas correctoras precertificación Elaboración del Plan de adecuación para la mejora de la seguridad Identificación, agrupación y categorización de sistemas Diagnóstico de cumplimiento Revisión de documentación base Asesoramiento en implantación de medidas de marco operacional Asesoramiento en implantación de medidas técnicas Mantenimiento del sistema de indicadores del Plan de Adecuación Auditoría interna de la adecuación de sistema Análisis de Riesgos preliminar Declaración de Aplicabilidad Análisis de Riesgos detallado y de impacto X > 100 Photo by Marvin Meyer on Unsplash
Gobernanza Apoyo a la gobernanza de los procesos de adecuación Evolución de los sistemas de información de la AGE para su adecuación al ENS - Grupo 3 Evolución de los sistemas de información de la AGE para su adecuación al ENS - Grupo 1 Evolución de los sistemas de información de la AGE para su adecuación al ENS-Grupo 2 Apoyo: • Comunicación y Coordinación • Gestión de la Demanda • Medida del progreso • Calidad
Gobernanza ✓ Gestión de la demanda ✓ Seguimiento general del proyecto ✓ Gestión de riesgos del proyecto ✓ Comunicación con las entidades ✓ Mejora continua del proyecto ✓ Acompañamiento para las certificaciones ✓ Gestión de la calidad ✓ Seguimiento de la satisfacción Photo by Paul Rysz on Unsplash
Art. 6 La seguridad como un proceso integral Art. 8 Prevención, detección, respuesta y conservación Art. 10 Vigilancia continua y reevaluación periódica Art. 21 Integridad y actualización del sistema op.mon.3 Vigilancia op.exp.3 Gestión de la configuración de seguridad op.exp.4 Mantenimiento y actualizaciones de seguridad op.exp.5 Gestión de cambios mp.s.2 Protección de servicios y aplicaciones web mp.sw.2 Aceptación y puesta en servicio mp.per.3 Concienciación mp.per.4 Formación mp.s.1 Protección del correo electrónico mp.s.3 Protección de la navegación web op.exp.6 Protección frente a código dañino mp.com.1 Perímetro seguro op.mon.1 Detección de intrusión mp.s.1 Protección del correo electrónico mp.s.3 Protección de la navegación web op.acc.4 Proceso de gestión de derechos de acceso op.acc.6 Mecanismos de autenticación mp.eq.3 Protección de dispositivos portátiles Ayuda del a cumplir el
Art. 8 Prevención, detección, respuesta y conservación Art. 10 Vigilancia continua y reevaluación periódica Art. 21 Integridad y actualización del sistema op.exp.6 Protección frente a código dañino op.exp.7 Gestión de incidentes op.exp.8 Registro de la actividad op.exp.9 Registro de la gestión de incidentes op.mon Monitorización del sistema Art. 9 Existencia de líneas de defensa Art. 25 Incidentes de seguridad Art. 33 Capacidad de respuesta a incidentes de seguridad. op.exp.6 Protección frente a código dañino op.exp.7 Gestión de incidentes op.exp.9 Registro de la gestión de incidentes Cumplimiento global del ENS org.1 Política de seguridad org.2 Normativa de seguridad mp.info.1 Datos personales Art. 32 Informe del estado de la seguridad op.mon Monitorización del sistema Ayuda del a cumplir el
Contexto europeo de ciberseguridad • Reglamento 910/2014 eIDAS • Reglamento 2016/679 Protección de datos • Reglamento 2018/1724 Pasarela Digital Única (SDG) • Reglamento 2019/881 Ciberseguridad • Reglamento 2021/887 Centro Europeo de Competencias en Ciberseguridad • Directiva 2016/1148 NIS • Reglamento 2554/2022 DORA • Directiva 2022/2555 NIS2 • Directiva 2022/2557 Resiliencia de entidades críticas (CER) • Conclusiones del Consejo sobre la seguridad de la cadena de suministro • Reglamento 2022/868) Ley de Gobernanza de datos • EU Policy on Cyber Defence • Decisión de adecuación sobre el marco de privacidad de datos entre la Unión Europea y Estados Unidos • Propuesta de Reglamento eIDAS 2 • Propuesta de Reglamento de Inteligencia Artificial • Propuesta de Reglamento Ley de Datos • Propuesta de Reglamento Europa Interoperable • Propuesta de Reglamento de ciber resiliencia (CRA) • Propuesta Reglamento ciberseguridad instituciones UE • Propuesta Reglamento seguridad de la información instituciones UE • Propuestas de Esquemas de Certificación (EUCC, EUCS) • Propuesta de Reglamento de Cibersolidaridad • Multi Stakeholder Platform for ICT Standards • CIO Network • Grupo de expertos de Interoperabilidad • Grupo de Coordinación de la Pasarela Digital Única (SDG) • European Blockchain • Grupo de expertos de eIDAS2 • … • Centro Europeo de Competencias en Ciberseguridad • Grupo de Cooperación NIS • Red CyCLONe – European cyber Crises Liaison Organisation Network • Joint Cyber Unit – Cooperación de comunidades de ciberseguridad • Cooperación internacional en normas y especificaciones de ciberseguridad • Cooperación con terceros países, … • Red Transeuropea TESTA • CEF Building Blocks, … • ENISA • CERT-UE (para Instituciones y agencias de la UE) • Red de CSIRT., … • Next Generation EU • Digital Europe Programme - Ciberseguridad • Horizon Europe • Otros instrumentos de financiación Cooperación Gobernanza Comunidad Marco legal Capacidades Servicios Soluciones Fuente: Miguel A. Amutio Recursos de financiación ▪ Alineamiento ▪ Transposición ▪ Aplicación ▪ Participación ▪ Respuesta a monitorización
Las AAPP en el alcance de NIS2 Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar) Obligaciones principales para las entidades en su ámbito: Photo by Annie Spratt on Unsplash Medidas para la gestión de riesgos • Políticas de seguridad • Gestión de incidentes (prevención, detección y respuesta) • Continuidad de las actividades • Seguridad de la cadena de suministro • Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas. Cadena de suministro • Políticas y procedimientos para evaluar la eficacia de las medidas. • Prácticas básicas de ciberhigiene y formación en ciberseguridad. • Políticas y procedimientos relativos a criptografía y de cifrado • Seguridad de recursos humanos, … • Vulnerabilidades específicas de proveedor y prestador servicios. Posiciona a España en una condición favorable para la implementación ágil de la transposición de la Directiva NIS2.
Esperamos de las entidades que… Photo by Paul Rysz on Unsplash ✓ Faciliten el impulso de los trabajos de adecuación. ✓ Trasladen internamente los objetivos del proyecto. ✓ Participen en la planificación de la actuación. ✓ Apoyen la implantación del plan definido. ✓ Implanten las medidas requeridas. ✓ Garanticen la mejora continua. ✓ Se comuniquen permanentemente con la SGAD y los adjudicatarios.
MUCHAS GRACIAS

Recomendados

INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
Miguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
Miguel A. Amutio
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Miguel A. Amutio
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Miguel A. Amutio
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Facultad Ingeniería Udec
 
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
EY
 
Seguridad de la Información
Seguridad de la Información Seguridad de la Información
Seguridad de la Información
Ministerio TIC Colombia
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 

Recomendados

INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
Miguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
Miguel A. Amutio
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Miguel A. Amutio
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Miguel A. Amutio
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Facultad Ingeniería Udec
 
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
Adelantándonos al cibercrimen – Julio San José - Socio IT Risk Transformation...
EY
 
Seguridad de la Información
Seguridad de la Información Seguridad de la Información
Seguridad de la Información
Ministerio TIC Colombia
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
Luis Fernando Aguas Bucheli
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacion
Ing. Armando Monzon Escobar, MA.
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
Miguel A. Amutio
 
Prevenciony recuperacionincidentes
Prevenciony recuperacionincidentesPrevenciony recuperacionincidentes
Prevenciony recuperacionincidentes
Lucy Gonzalez Hernandez
 
Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de Incidentes
Jose Manuel Acosta
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Miguel A. Amutio
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
Miguel A. Amutio
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
Reuniones Networking TIC
 
CIBERSEGURIDAD
CIBERSEGURIDADCIBERSEGURIDAD
CIBERSEGURIDAD
MarietaCanales
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
Miguel A. Amutio
 
Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0
EmilioGarciaGarcia
 
Tesi3
Tesi3Tesi3
Tesi3
Israel Rodriguez
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidad
ErnestoVasquez31
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
COIICV
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
Miguel A. Amutio
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
MiguelAmutio1
 
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
JavierEnriqueRamosNa1
 
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Miguel A. Amutio
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
Miguel A. Amutio
 

Más contenido relacionado

Similar a Mejora de la adecuación de los sistemas de la Administración General del Estado al ENS

Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de Incidentes
Jose Manuel Acosta
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Miguel A. Amutio
 
CIBERSEGURIDAD
CIBERSEGURIDADCIBERSEGURIDAD
CIBERSEGURIDAD
MarietaCanales
 
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
JavierEnriqueRamosNa1
 

Similar a Mejora de la adecuación de los sistemas de la Administración General del Estado al ENS (20)

Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
El teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacionEl teorema inconcluso del proceso de la seguridad de la informacion
El teorema inconcluso del proceso de la seguridad de la informacion
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Prevenciony recuperacionincidentes
Prevenciony recuperacionincidentesPrevenciony recuperacionincidentes
Prevenciony recuperacionincidentes
 
Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de Incidentes
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
 
CIBERSEGURIDAD
CIBERSEGURIDADCIBERSEGURIDAD
CIBERSEGURIDAD
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
 
Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0
 
Tesi3
Tesi3Tesi3
Tesi3
 
Conferencia1011continuidad
Conferencia1011continuidadConferencia1011continuidad
Conferencia1011continuidad
 
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
Carmen Serrano - Jefa de servicio de Seguridad de la Dirección General de TI ...
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
1. TÉCNICO EN CONTROL DE LA SEGURIDAD DIGITAL.-V1.pdf
 

Más de Miguel A. Amutio

The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
Miguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
Miguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
Miguel A. Amutio
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
Miguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
Miguel A. Amutio
 

Más de Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in Spain
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digital
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA Network
 
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoXIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
 
10 años del ENS, perspectiva de evolución
10 años del ENS, perspectiva de evolución10 años del ENS, perspectiva de evolución
10 años del ENS, perspectiva de evolución
 
Implementation of the European Interoperability Framework in Spain
Implementation of the European Interoperability Framework in SpainImplementation of the European Interoperability Framework in Spain
Implementation of the European Interoperability Framework in Spain
 

Último

marrufo el homosexual.docxmdlknckncknknkk
marrufo el homosexual.docxmdlknckncknknkkmarrufo el homosexual.docxmdlknckncknknkk
marrufo el homosexual.docxmdlknckncknknkk
JuniorLlatas
 

Último (10)

Club Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdfClub Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdf
 
Alojamiento temporal para emergen y desastrescias
Alojamiento temporal para emergen y desastresciasAlojamiento temporal para emergen y desastrescias
Alojamiento temporal para emergen y desastrescias
 
marrufo el homosexual.docxmdlknckncknknkk
marrufo el homosexual.docxmdlknckncknknkkmarrufo el homosexual.docxmdlknckncknknkk
marrufo el homosexual.docxmdlknckncknknkk
 
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptxPRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
 
el nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptxel nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptx
 
Formato de revision de la stps para el cumplimiento
Formato de revision de la stps para el cumplimientoFormato de revision de la stps para el cumplimiento
Formato de revision de la stps para el cumplimiento
 
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENASEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
 
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
 
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docxPROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
 
FUENTES DEL DERECHO CONSTITUCIONAL (2).pdf
FUENTES DEL DERECHO CONSTITUCIONAL (2).pdfFUENTES DEL DERECHO CONSTITUCIONAL (2).pdf
FUENTES DEL DERECHO CONSTITUCIONAL (2).pdf
 

Mejora de la adecuación de los sistemas de la Administración General del Estado al ENS

  • 1. Mejora de la adecuación al ENS en la AGE Miguel A. Amutio Gómez Director de Planificación y Coordinación de Ciberseguridad Secretaría General de Administración Digital Secretaría de Estado de Digitalización e Inteligencia Artificial Ministerio de Transformación Digital
  • 2. ÍNDICE 1. Contexto de ciberseguridad 2. Objetivo, alcance y retos 3. Enfoque de actuación 4. Dinámica de interacción 5. Gobernanza 6. Ayuda del COCS para cumplir con el ENS 7. Contexto europeo: AAPP en ámbito de NIS2 8. Qué esperamos de las entidades Mejora de la adecuación al ENS en la AGE
  • 3. Contexto de ciberseguridad 2023 MEDIDAS 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Manipulación de la información e interferencia 8. Ataques contra la cadena de suministro Para hacer frente a estas amenazas y a su evolución: ✓ Aplicación del ENS (Sector público, proveedores, cadena de suministro) ✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL) ✓ Red Nacional de Centros de Operaciones de Ciberseguridad ✓ Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes ❑ Mayor demanda de gobernanza, coordinación, cooperación ❑ Desarrollo de capacidades conjuntas y de interconexión ❑ Requisitos evolutivos y crecientes: adaptación permanente
  • 4. El Sector Público, el más atacado Photo by Philipp Katzenberger on Unsplash Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes (coste) ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes (coste) ▪ Reputacional El Sector Público y sus proveedores en el punto de mira de los ciberataques: La Administración Pública figura como el sector más atacado (~19%), seguido de personas objetivo (~11%), la salud (~8%), la infraestructura digital (~7%) y la manufactura, las finanzas y el transporte. Fuente: ENISA Threat Landscape 2023
  • 5. Ante este escenario, el … ✓ Proporciona principios básicos y requisitos mínimos, proporcionalidad mediante categorización, medidas de seguridad actualizadas, flexibilidad a través de perfiles de cumplimiento específicos, mecanismos de acreditación y conformidad a través de la colaboración con ENAC, más el seguimiento a través del Informe Anual sobre el Estado de la Seguridad (INES), junto con más de 100 guías de soporte y una colección de soluciones proporcionadas por el CCN-CERT. ✓ Aplicable a todo el sector público, a sistemas que manejan información clasificada, a los proveedores de soluciones y servicios, a entidades del sector público y proveedores para proteger datos personales. ✓ Enfoque global que involucra el marco legal; cooperación en materia de gobernanza y comunidad; capacidades, soluciones y servicios; y financiación. ✓ Alineado con el contexto de ciberseguridad, adaptado a la Administración Digital. ✓ Es flexible, permite la armonización de criterios, continuamente atento a la evolución de las ciberamenazas. ✓ 14 años de experiencia práctica.
  • 6. Pero… La debilidad en una entidad compromete al resto, por la alta conectividad y facilidad de propagación de la actuación de los agresores. El Informe Anual del Estado de la Seguridad, (INES) muestra que hay que mejorar:
  • 7. Contexto del proyecto Medida 9 del Plan: constitución del Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP. (COCS) Oportunidad para mejorar el cumplimiento del ENS en las entidades en su alcance. Conocimiento de la situación a partir del informe 2022: ✓ Se publicó en Real Decreto 311/2022 ✓ Se lanzó el proyecto de implantación del 2023: ✓ se lanzó el proyecto mejora de la adecuación al ENS en la Administración General del Estado
  • 8. Objetivo y alcance Impulsar la adecuación de los sistemas de información de la Administración General del Estado y Organismos Públicos al ENS, de modo que se les facilite alcanzar la certificación de la conformidad. 4 4 3 8 2 7 3 4 1 9 2 2 5 7 5 2 4 5 5 4 5 15 1 0 2 4 6 8 10 12 14 16 Alcance: > 100 entidades de la Administración General del Estado
  • 9. Qué retos encontramos Heterogeneidad: • En competencias, en tipo de sistemas de información y su complejidad • En sensibilidad y madurez en ciberseguridad y en la complejidad de los sistemas • Grado de concienciación y/o formación en ciberseguridad • Disponibilidad de personal y presupuesto ▪ Dependencias de terceros, tanto de proveedores como de otras entidades ▪ Delimitación del alcance de los sistemas Photo by You X Ventures on Unsplash
  • 10. Soporte en el proceso de adecuación Soporte en el proceso de adecuación Soporte en la Implantación de controles Apoyo en la implantación de controles complementarios Análisis de impacto de negocio y planificación de continuidad Formación en ámbitos del ENS Auditoría Interna Gestión y acompañamiento en auditoria de certificación Plan de adecuación al ENS Plan de adecuación al ENS Apoyo a la determinación del alcance ENS Actuaciones de gobierno de la seguridad Diagnóstico de cumplimiento ENS Análisis de Riesgos TI/Información Elaboración del Plan de Mejora de la Seguridad Procesos continuos de seguridad Procesos continuos de seguridad Análisis de Riesgos TI/Información Soporte en la implantación de controles Análisis de impacto de negocio y planificación de continuidad Otros procesos Otros procesos Auditoría interna ENS Formación y concienciación en materia de seguridad Asesoramiento general Enfoque de actuación • Diagnóstico / Evaluación de cumplimiento • Plan de adecuación • Categorización del sistema • Análisis de riesgos • Declaración de aplicabilidad • Marco normativo • Seguimiento de la implantación • Asesoramiento en la implantación • Formación / Concienciación • Auditoría interna • Acompañamiento a la certificación Resultados Resultados
  • 11. Dinámica de interacción Acompañamiento Certificación de la conformidad Reunión de inicio Implantación de medidas correctoras precertificación Elaboración del Plan de adecuación para la mejora de la seguridad Identificación, agrupación y categorización de sistemas Diagnóstico de cumplimiento Revisión de documentación base Asesoramiento en implantación de medidas de marco operacional Asesoramiento en implantación de medidas técnicas Mantenimiento del sistema de indicadores del Plan de Adecuación Auditoría interna de la adecuación de sistema Análisis de Riesgos preliminar Declaración de Aplicabilidad Análisis de Riesgos detallado y de impacto X > 100 Photo by Marvin Meyer on Unsplash
  • 12. Gobernanza Apoyo a la gobernanza de los procesos de adecuación Evolución de los sistemas de información de la AGE para su adecuación al ENS - Grupo 3 Evolución de los sistemas de información de la AGE para su adecuación al ENS - Grupo 1 Evolución de los sistemas de información de la AGE para su adecuación al ENS-Grupo 2 Apoyo: • Comunicación y Coordinación • Gestión de la Demanda • Medida del progreso • Calidad
  • 13. Gobernanza ✓ Gestión de la demanda ✓ Seguimiento general del proyecto ✓ Gestión de riesgos del proyecto ✓ Comunicación con las entidades ✓ Mejora continua del proyecto ✓ Acompañamiento para las certificaciones ✓ Gestión de la calidad ✓ Seguimiento de la satisfacción Photo by Paul Rysz on Unsplash
  • 14. Art. 6 La seguridad como un proceso integral Art. 8 Prevención, detección, respuesta y conservación Art. 10 Vigilancia continua y reevaluación periódica Art. 21 Integridad y actualización del sistema op.mon.3 Vigilancia op.exp.3 Gestión de la configuración de seguridad op.exp.4 Mantenimiento y actualizaciones de seguridad op.exp.5 Gestión de cambios mp.s.2 Protección de servicios y aplicaciones web mp.sw.2 Aceptación y puesta en servicio mp.per.3 Concienciación mp.per.4 Formación mp.s.1 Protección del correo electrónico mp.s.3 Protección de la navegación web op.exp.6 Protección frente a código dañino mp.com.1 Perímetro seguro op.mon.1 Detección de intrusión mp.s.1 Protección del correo electrónico mp.s.3 Protección de la navegación web op.acc.4 Proceso de gestión de derechos de acceso op.acc.6 Mecanismos de autenticación mp.eq.3 Protección de dispositivos portátiles Ayuda del a cumplir el
  • 15. Art. 8 Prevención, detección, respuesta y conservación Art. 10 Vigilancia continua y reevaluación periódica Art. 21 Integridad y actualización del sistema op.exp.6 Protección frente a código dañino op.exp.7 Gestión de incidentes op.exp.8 Registro de la actividad op.exp.9 Registro de la gestión de incidentes op.mon Monitorización del sistema Art. 9 Existencia de líneas de defensa Art. 25 Incidentes de seguridad Art. 33 Capacidad de respuesta a incidentes de seguridad. op.exp.6 Protección frente a código dañino op.exp.7 Gestión de incidentes op.exp.9 Registro de la gestión de incidentes Cumplimiento global del ENS org.1 Política de seguridad org.2 Normativa de seguridad mp.info.1 Datos personales Art. 32 Informe del estado de la seguridad op.mon Monitorización del sistema Ayuda del a cumplir el
  • 16. Contexto europeo de ciberseguridad • Reglamento 910/2014 eIDAS • Reglamento 2016/679 Protección de datos • Reglamento 2018/1724 Pasarela Digital Única (SDG) • Reglamento 2019/881 Ciberseguridad • Reglamento 2021/887 Centro Europeo de Competencias en Ciberseguridad • Directiva 2016/1148 NIS • Reglamento 2554/2022 DORA • Directiva 2022/2555 NIS2 • Directiva 2022/2557 Resiliencia de entidades críticas (CER) • Conclusiones del Consejo sobre la seguridad de la cadena de suministro • Reglamento 2022/868) Ley de Gobernanza de datos • EU Policy on Cyber Defence • Decisión de adecuación sobre el marco de privacidad de datos entre la Unión Europea y Estados Unidos • Propuesta de Reglamento eIDAS 2 • Propuesta de Reglamento de Inteligencia Artificial • Propuesta de Reglamento Ley de Datos • Propuesta de Reglamento Europa Interoperable • Propuesta de Reglamento de ciber resiliencia (CRA) • Propuesta Reglamento ciberseguridad instituciones UE • Propuesta Reglamento seguridad de la información instituciones UE • Propuestas de Esquemas de Certificación (EUCC, EUCS) • Propuesta de Reglamento de Cibersolidaridad • Multi Stakeholder Platform for ICT Standards • CIO Network • Grupo de expertos de Interoperabilidad • Grupo de Coordinación de la Pasarela Digital Única (SDG) • European Blockchain • Grupo de expertos de eIDAS2 • … • Centro Europeo de Competencias en Ciberseguridad • Grupo de Cooperación NIS • Red CyCLONe – European cyber Crises Liaison Organisation Network • Joint Cyber Unit – Cooperación de comunidades de ciberseguridad • Cooperación internacional en normas y especificaciones de ciberseguridad • Cooperación con terceros países, … • Red Transeuropea TESTA • CEF Building Blocks, … • ENISA • CERT-UE (para Instituciones y agencias de la UE) • Red de CSIRT., … • Next Generation EU • Digital Europe Programme - Ciberseguridad • Horizon Europe • Otros instrumentos de financiación Cooperación Gobernanza Comunidad Marco legal Capacidades Servicios Soluciones Fuente: Miguel A. Amutio Recursos de financiación ▪ Alineamiento ▪ Transposición ▪ Aplicación ▪ Participación ▪ Respuesta a monitorización
  • 17. Las AAPP en el alcance de NIS2 Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar) Obligaciones principales para las entidades en su ámbito: Photo by Annie Spratt on Unsplash Medidas para la gestión de riesgos • Políticas de seguridad • Gestión de incidentes (prevención, detección y respuesta) • Continuidad de las actividades • Seguridad de la cadena de suministro • Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas. Cadena de suministro • Políticas y procedimientos para evaluar la eficacia de las medidas. • Prácticas básicas de ciberhigiene y formación en ciberseguridad. • Políticas y procedimientos relativos a criptografía y de cifrado • Seguridad de recursos humanos, … • Vulnerabilidades específicas de proveedor y prestador servicios. Posiciona a España en una condición favorable para la implementación ágil de la transposición de la Directiva NIS2.
  • 18. Esperamos de las entidades que… Photo by Paul Rysz on Unsplash ✓ Faciliten el impulso de los trabajos de adecuación. ✓ Trasladen internamente los objetivos del proyecto. ✓ Participen en la planificación de la actuación. ✓ Apoyen la implantación del plan definido. ✓ Implanten las medidas requeridas. ✓ Garanticen la mejora continua. ✓ Se comuniquen permanentemente con la SGAD y los adjudicatarios.