Este documento describe un proyecto para mejorar la adecuación de los sistemas de información de la Administración General del Estado al Esquema Nacional de Seguridad. El proyecto ayudará a más de 100 entidades a alcanzar la certificación de conformidad mediante diagnósticos, planes de adecuación, formación y acompañamiento en la auditoría. El proyecto también establece una gobernanza para coordinar el proceso y garantizar el cumplimiento continuo de los requisitos de seguridad.
Mejora de la adecuación de los sistemas de la Administración General del Estado al ENS
1. Mejora de la
adecuación al
ENS en la AGE
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Transformación Digital
2. ÍNDICE
1. Contexto de ciberseguridad
2. Objetivo, alcance y retos
3. Enfoque de actuación
4. Dinámica de interacción
5. Gobernanza
6. Ayuda del COCS para cumplir con el ENS
7. Contexto europeo: AAPP en ámbito de NIS2
8. Qué esperamos de las entidades
Mejora de la adecuación al ENS en la AGE
3. Contexto de ciberseguridad
2023 MEDIDAS
1. Ransomware
2. Malware
3. Amenazas de ingeniería social
4. Amenazas a los datos
5. Amenazas contra la disponibilidad de los servicios
6. Amenazas contra la disponibilidad de internet
7. Manipulación de la información e interferencia
8. Ataques contra la cadena de suministro
Para hacer frente a estas amenazas y a su evolución:
✓ Aplicación del ENS (Sector público, proveedores, cadena de
suministro)
✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL)
✓ Red Nacional de Centros de Operaciones de Ciberseguridad
✓ Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes
❑ Mayor demanda de gobernanza,
coordinación, cooperación
❑ Desarrollo de capacidades conjuntas y
de interconexión
❑ Requisitos evolutivos y crecientes:
adaptación permanente
4. El Sector Público, el más atacado
Photo by Philipp Katzenberger on Unsplash
Orientados a la información
▪ Con sustracción (con o sin revelación)
▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información
Combinados, a la información y a los servicios
Impacto
▪ Ejercicio de derechos y libertades; cumplimiento de deberes
▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía
▪ Esfuerzo de recuperación ante incidentes (coste)
▪ Reputacional
Orientados a la información
▪ Con sustracción (con o sin revelación)
▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información
Combinados, a la información y a los servicios
Impacto
▪ Ejercicio de derechos y libertades; cumplimiento de deberes
▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía
▪ Esfuerzo de recuperación ante incidentes (coste)
▪ Reputacional
El Sector Público y sus proveedores
en el punto de mira de los ciberataques:
La Administración
Pública figura como el
sector más atacado
(~19%), seguido de
personas objetivo
(~11%), la salud (~8%),
la infraestructura digital
(~7%) y la manufactura,
las finanzas y el
transporte.
Fuente: ENISA Threat
Landscape 2023
5. Ante este escenario, el …
✓ Proporciona principios básicos y requisitos mínimos, proporcionalidad mediante categorización,
medidas de seguridad actualizadas, flexibilidad a través de perfiles de cumplimiento específicos,
mecanismos de acreditación y conformidad a través de la colaboración con ENAC, más el
seguimiento a través del Informe Anual sobre el Estado de la Seguridad (INES), junto con más de
100 guías de soporte y una colección de soluciones proporcionadas por el CCN-CERT.
✓ Aplicable a todo el sector público, a sistemas que manejan información clasificada, a los proveedores
de soluciones y servicios, a entidades del sector público y proveedores para proteger datos personales.
✓ Enfoque global que involucra el marco legal; cooperación en materia de gobernanza y comunidad;
capacidades, soluciones y servicios; y financiación.
✓ Alineado con el contexto de ciberseguridad, adaptado a la Administración Digital.
✓ Es flexible, permite la armonización de criterios, continuamente atento a la evolución de las
ciberamenazas.
✓ 14 años de experiencia práctica.
6. Pero…
La debilidad en una entidad compromete al resto, por la alta
conectividad y facilidad de propagación de la actuación de los agresores.
El Informe Anual del Estado de la Seguridad, (INES) muestra que hay
que mejorar:
7. Contexto del proyecto
Medida 9 del Plan: constitución del Centro de Operaciones de
Ciberseguridad de la AGE y sus OOPP. (COCS)
Oportunidad para mejorar el cumplimiento del ENS en las entidades en
su alcance.
Conocimiento de la situación a partir del informe
2022:
✓ Se publicó en Real Decreto 311/2022
✓ Se lanzó el proyecto de implantación del
2023:
✓ se lanzó el proyecto mejora de la adecuación al ENS en la
Administración General del Estado
8. Objetivo y alcance
Impulsar la adecuación de los sistemas de información de la
Administración General del Estado y Organismos Públicos al
ENS, de modo que se les facilite alcanzar la certificación de la
conformidad.
4 4
3
8
2
7
3
4
1
9
2 2
5
7
5
2
4
5 5
4
5
15
1
0
2
4
6
8
10
12
14
16
Alcance: > 100 entidades de la Administración General del Estado
9. Qué retos encontramos
Heterogeneidad:
• En competencias, en tipo de sistemas de información y
su complejidad
• En sensibilidad y madurez en ciberseguridad y en la
complejidad de los sistemas
• Grado de concienciación y/o formación en
ciberseguridad
• Disponibilidad de personal y presupuesto
▪ Dependencias de terceros, tanto de proveedores como de
otras entidades
▪ Delimitación del alcance de los sistemas
Photo by You X Ventures on Unsplash
10. Soporte en el proceso de
adecuación
Soporte en el proceso de
adecuación
Soporte en la Implantación de
controles
Apoyo en la implantación de
controles complementarios
Análisis de impacto de negocio y
planificación de continuidad
Formación en ámbitos del ENS
Auditoría Interna
Gestión y acompañamiento en
auditoria de certificación
Plan de adecuación al ENS
Plan de adecuación al ENS
Apoyo a la determinación del
alcance ENS
Actuaciones de gobierno de la
seguridad
Diagnóstico de cumplimiento ENS
Análisis de Riesgos
TI/Información
Elaboración del Plan de Mejora de
la Seguridad
Procesos continuos de
seguridad
Procesos continuos de
seguridad
Análisis de Riesgos TI/Información
Soporte en la implantación de
controles
Análisis de impacto de negocio y
planificación de continuidad
Otros procesos
Otros procesos
Auditoría interna ENS
Formación y concienciación en
materia de seguridad
Asesoramiento general
Enfoque de actuación
• Diagnóstico / Evaluación de cumplimiento
• Plan de adecuación
• Categorización del sistema
• Análisis de riesgos
• Declaración de aplicabilidad
• Marco normativo
• Seguimiento de la implantación
• Asesoramiento en la implantación
• Formación / Concienciación
• Auditoría interna
• Acompañamiento a la certificación
Resultados
Resultados
11. Dinámica de interacción
Acompañamiento
Certificación de la
conformidad
Reunión
de inicio
Implantación de medidas
correctoras
precertificación
Elaboración del Plan de
adecuación para la mejora
de la seguridad
Identificación, agrupación
y categorización de
sistemas
Diagnóstico de
cumplimiento
Revisión de
documentación base
Asesoramiento en
implantación de medidas de
marco operacional
Asesoramiento en
implantación de medidas
técnicas
Mantenimiento del sistema de
indicadores del Plan de
Adecuación
Auditoría interna de
la adecuación de
sistema
Análisis de Riesgos
preliminar
Declaración de
Aplicabilidad
Análisis de Riesgos
detallado y de
impacto
X > 100
Photo by Marvin Meyer on Unsplash
12. Gobernanza
Apoyo a la gobernanza de los
procesos de adecuación
Evolución de los sistemas de
información de la AGE para su
adecuación al ENS - Grupo 3
Evolución de los sistemas de
información de la AGE para su
adecuación al ENS - Grupo 1
Evolución de los sistemas de
información de la AGE para su
adecuación al ENS-Grupo 2
Apoyo:
• Comunicación y Coordinación
• Gestión de la Demanda
• Medida del progreso
• Calidad
13. Gobernanza
✓ Gestión de la demanda
✓ Seguimiento general del proyecto
✓ Gestión de riesgos del proyecto
✓ Comunicación con las entidades
✓ Mejora continua del proyecto
✓ Acompañamiento para las
certificaciones
✓ Gestión de la calidad
✓ Seguimiento de la satisfacción
Photo by Paul Rysz on Unsplash
14. Art. 6 La seguridad como un proceso integral
Art. 8 Prevención, detección, respuesta y conservación
Art. 10 Vigilancia continua y reevaluación periódica
Art. 21 Integridad y actualización del sistema
op.mon.3 Vigilancia
op.exp.3 Gestión de la configuración de seguridad
op.exp.4 Mantenimiento y actualizaciones de seguridad
op.exp.5 Gestión de cambios
mp.s.2 Protección de servicios y aplicaciones web
mp.sw.2 Aceptación y puesta en servicio
mp.per.3 Concienciación
mp.per.4 Formación
mp.s.1 Protección del correo electrónico
mp.s.3 Protección de la navegación web
op.exp.6 Protección frente a código dañino
mp.com.1 Perímetro seguro
op.mon.1 Detección de intrusión
mp.s.1 Protección del correo electrónico
mp.s.3 Protección de la navegación web
op.acc.4 Proceso de gestión de derechos de
acceso
op.acc.6 Mecanismos de autenticación
mp.eq.3 Protección de dispositivos portátiles
Ayuda del a cumplir el
15. Art. 8 Prevención, detección,
respuesta y conservación
Art. 10 Vigilancia continua y
reevaluación periódica
Art. 21 Integridad y actualización
del sistema
op.exp.6 Protección frente a
código dañino
op.exp.7 Gestión de incidentes
op.exp.8 Registro de la actividad
op.exp.9 Registro de la gestión de
incidentes
op.mon Monitorización del
sistema
Art. 9 Existencia de líneas de
defensa
Art. 25 Incidentes de seguridad
Art. 33 Capacidad de respuesta
a incidentes de seguridad.
op.exp.6 Protección frente a
código dañino
op.exp.7 Gestión de incidentes
op.exp.9 Registro de la gestión
de incidentes
Cumplimiento global
del ENS
org.1 Política de
seguridad
org.2 Normativa de
seguridad
mp.info.1 Datos
personales
Art. 32 Informe del
estado de la seguridad
op.mon Monitorización
del sistema
Ayuda del a cumplir el
16. Contexto europeo de ciberseguridad
• Reglamento 910/2014 eIDAS
• Reglamento 2016/679 Protección de datos
• Reglamento 2018/1724 Pasarela Digital Única (SDG)
• Reglamento 2019/881 Ciberseguridad
• Reglamento 2021/887 Centro Europeo de Competencias en
Ciberseguridad
• Directiva 2016/1148 NIS
• Reglamento 2554/2022 DORA
• Directiva 2022/2555 NIS2
• Directiva 2022/2557 Resiliencia de entidades críticas (CER)
• Conclusiones del Consejo sobre la seguridad de la cadena de
suministro
• Reglamento 2022/868) Ley de Gobernanza de datos
• EU Policy on Cyber Defence
• Decisión de adecuación sobre el marco de privacidad de datos
entre la Unión Europea y Estados Unidos
• Propuesta de Reglamento eIDAS 2
• Propuesta de Reglamento de Inteligencia Artificial
• Propuesta de Reglamento Ley de Datos
• Propuesta de Reglamento Europa Interoperable
• Propuesta de Reglamento de ciber resiliencia (CRA)
• Propuesta Reglamento ciberseguridad instituciones UE
• Propuesta Reglamento seguridad de la información
instituciones UE
• Propuestas de Esquemas de Certificación (EUCC, EUCS)
• Propuesta de Reglamento de Cibersolidaridad
• Multi Stakeholder Platform for ICT Standards
• CIO Network
• Grupo de expertos de Interoperabilidad
• Grupo de Coordinación de la Pasarela Digital Única (SDG)
• European Blockchain
• Grupo de expertos de eIDAS2
• …
• Centro Europeo de Competencias en Ciberseguridad
• Grupo de Cooperación NIS
• Red CyCLONe – European cyber Crises Liaison Organisation
Network
• Joint Cyber Unit – Cooperación de comunidades de
ciberseguridad
• Cooperación internacional en normas y especificaciones de
ciberseguridad
• Cooperación con terceros países, …
• Red Transeuropea TESTA
• CEF Building Blocks, …
• ENISA
• CERT-UE (para Instituciones y agencias de la UE)
• Red de CSIRT., …
• Next Generation EU
• Digital Europe Programme - Ciberseguridad
• Horizon Europe
• Otros instrumentos de financiación
Cooperación
Gobernanza
Comunidad
Marco
legal
Capacidades
Servicios
Soluciones
Fuente: Miguel A. Amutio
Recursos de
financiación
▪ Alineamiento
▪ Transposición
▪ Aplicación
▪ Participación
▪ Respuesta a monitorización
17. Las AAPP en el alcance de NIS2
Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar)
Obligaciones principales para las entidades en su ámbito:
Photo by Annie Spratt on Unsplash
Medidas para la gestión de riesgos
• Políticas de seguridad
• Gestión de incidentes (prevención, detección y respuesta)
• Continuidad de las actividades
• Seguridad de la cadena de suministro
• Seguridad en adquisición, desarrollo y mantenimiento de
redes y sistemas. Cadena de suministro
• Políticas y procedimientos para evaluar la eficacia de las
medidas.
• Prácticas básicas de ciberhigiene y formación en
ciberseguridad.
• Políticas y procedimientos relativos a criptografía y de cifrado
• Seguridad de recursos humanos, …
• Vulnerabilidades específicas de proveedor y prestador servicios.
Posiciona a España
en una condición
favorable para la
implementación ágil
de la transposición
de la Directiva
NIS2.
18. Esperamos de las entidades que…
Photo by Paul Rysz on Unsplash
✓ Faciliten el impulso de los trabajos de
adecuación.
✓ Trasladen internamente los objetivos del
proyecto.
✓ Participen en la planificación de la actuación.
✓ Apoyen la implantación del plan definido.
✓ Implanten las medidas requeridas.
✓ Garanticen la mejora continua.
✓ Se comuniquen permanentemente con la SGAD
y los adjudicatarios.