V Encuentros CCN ENS. Novedades, retos y tendencias
1. NOVEDADES, RETOS Y
TENDENCIAS
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Asuntos Económicos y Transformación Digital
2. Estrategia de ciberseguridad de EEUU
Algunos aspectos a destacar:
• Se reconoce la necesidad de un
enfoque más coordinado, en un
entorno de amenazas complejo,
y de nuevas regulaciones.
• Se reconoce la necesidad de
reequilibrar la responsabilidad
sobre la defensa del ciberespacio.
• Atención a las tecnologías de
próxima generación.
• Difuminación de los límites entre
los ámbitos digital y físico.
3. Novedades en el contexto europeo
Fuente: Miguel A. Amutio
(No exhaustivo)
• Reglamento 910/2014 eIDAS
• Reglamento 2016/679 Protección de datos
• Reglamento 2019/881 Ciberseguridad
• Reglamento 2021/887 Centro Europeo de Competencias en
Ciberseguridad
• Directiva 2016/1148 NIS
• Reglamento 2554/2022 DORA
• Directiva 2022/2555 NIS2
• Directiva 2022/2557 Resiliencia de entidades críticas (CER)
• Conclusiones del Consejo sobre la seguridad de la cadena
de suministro
• EU Policy on Cyber Defence
• Propuesta de Reglamento eIDAS 2
• Propuesta de Reglamento de ciber resiliencia (CRA)
• Propuesta Reglamento ciberseguridad instituciones UE
• Propuesta Reglamento seguridad de la información
instituciones UE
• Propuestas de Esquemas de Certificación (EUCC, EUCS)
• Propuesta de Reglamento de Cibersolidaridad
• Cooperación internacional en normas y especificaciones de
ciberseguridad
• Cooperación con terceros países
• Cooperación sobre ciberdelito / ciberdefensa
• Grupo de Cooperación NIS
• Centro Europeo de Competencias en Ciberseguridad- ECCC
• Red de Centros Nacionales de Coordinación
• Comunidad de Ciberseguridad
• Red transeuropea de SOCs (en construcción)
• ENISA
• CERT-UE (para Instituciones y agencias de la UE)
• Redes 5G Toolbox
• Seguridad en internet (DNS4EU)
• Ejercicios de ciberseguridad
• Rolling Programe for ICT (Ciberseguridad)
• …
• Joint Cyber Unit – Cooperación de comunidades de
ciberseguridad
• Red de CSIRT (Directiva NIS)
• Red CyCLONe – para gestión de crisis
• …
Photo by Sara Kurfeß on Unsplash
+ Recursos de
financiación
+ Recursos de
financiación
• Digital Europe Programme - Ciberseguridad
• Horizon Europe
Cooperación
Gobernanza
Comunidad
Marco legal
Capacidades
operacionales
prevención,
detección y
respuesta
Véase: XIV Jornadas CCN-CERT
https://es.slideshare.net/Miguel
Amutio/el-nuevo-ens-ante-la-
ciberseguridad-que-viene
4. Plena aplicación del
Esencial para disponer de una
posición de ciberseguridad robusta.
Transcurrida la mitad del plazo
transitorio de 48 meses para la
adecuación al ENS.
Transposición de la Directiva NIS2
Ámbito: + AAPP (AGE, CCAA; EELL a determinar)
Obligaciones principales
Para 17.10.2024
Camino recorrido gracias al ENS
A destacar, entre otras posibles, ciertas medidas:
• Protección frente a código dañino [op.exp.6]
• Mecanismo de autenticación [op.acc.6]
• Detección de intrusión [op.mon.1]
• Copias de seguridad [mp.info.6]
• Mantenimiento y actualizaciones de seguridad [op.exp.4]
• Vigilancia [op.mon.3]
• Políticas de seguridad
• Gestión de incidentes (prevención, detección y respuesta)
• Continuidad de las actividades
• Seguridad de la cadena de suministro
• Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas.
• Políticas y procedimientos para evaluar la eficacia de las medidas.
• Prácticas básicas de ciberhigiene y formación en ciberseguridad.
• Políticas y procedimientos relativos a criptografía y cifrado
• Seguridad de recursos humanos, …
• Vulnerabilidades específicas de proveedor y prestador servicios.
5. Plena aplicación del
Reto - Instrucciones Técnicas de Seguridad por desarrollar:
• Certificación de responsables de seguridad
• Interconexión en el ENS
• Adquisición de productos de seguridad
Requisitos en los pliegos de prescripciones administrativas o técnicas
Componentes certificados [op.pl.5]
Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y
Comunicación (CPSTIC)
Sistema Dinámico de Adquisición. Requisitos de seguridad. Acreditación de la seguridad.
• Criptología de empleo en el ENS
CCN-TEC 009 Recomendaciones para una transición postcuántica segura
MEMO EO Presidente Biden-OMB: Migrating to Post-Quantum Cryptography
Plan de migración: inventario exhaustivo de productos y cifradores empleados para proteger
información y servicios
Para tener
en el radar
6. Iniciativas de apoyo a la adecuación al ENS
✓ µCeENS, para facilitar la obtención de la Certificación de Conformidad en el
Esquema Nacional de Seguridad (ENS) en base a un Perfil de Cumplimiento
Específico (PCE).
✓ Plan de Digitalización de las Administraciones Públicas. Medida – 9
Impulsar la adecuación al nuevo ENS de las entidades en el alcance del Centro
de Operaciones de Ciberseguridad de la AGE y sus OO.PP.
Actuar como elemento facilitador para el
CUMPLIMIENTO DEL ENS
Mejorar la PREVENCIÓN, PROTECCIÓN y
DETECCIÓN y RESPUESTA ante
ciberincidentes en los sistemas de la AGE y
sus OO.PP.
7. Capacidades, servicios y soluciones
La ciberseguridad como servicio horizontal.
Asentar capacidades de ciberseguridad:
• Administración General del Estado (COCS)
• CCAA, EELL
• Red Nacional de SOCs
• Intercambio transfronterizo
Interoperabilidad
Propuesta de reglamento de cibersolidaridad
Creación del Ciberescudo Europeo
Se creará una infraestructura
paneuropea interconectada de
centros de operaciones de
seguridad («Ciberescudo Europeo»)
… para que la Unión pueda detectar,
analizar y tratar datos sobre
ciberamenazas y ciberincidentes en la
Unión.
Estará compuesta por todos los
centros de operaciones de
seguridad nacionales («COS
nacionales») y los centros de
operaciones de seguridad
transfronterizos («COS
transfronterizos»).
8. Tendencias (I/II)
Lecciones aprendidas
Ampliación de la perspectiva
Situaciones de alerta.
Vulnerabilidades de carácter generalizado.
Ciberamenazas dirigidas.
Ciberataques que puedan afectar a un colectivo de entidades.
Actuaciones de prevención resultado de investigación de ciberataques.
Prevención Protección Detección Respuesta
Investigación, atribución, persecución y, en su caso,
actuación penal, frente a la cibercriminalidad.
+
Gestión de la seguridad,
medidas organizativas y técnicas
Prevención Protección Detección Respuesta
Investigación, atribución, persecución y, en su caso,
actuación penal, frente a la cibercriminalidad.
+
Gestión de la seguridad,
medidas organizativas y técnicas
9. Tendencias (II/II)
Marcos de madurez
Ciberseguridad: Foco en prevención, protección, detección, respuesta. Evaluar medidas de seguridad.
Ciberresiliencia: Abarca la ciberseguridad, pero va más allá para evaluar la capacidad de la organización para
resistir, adaptarse y recuperarse rápidamente de los ciberincidentes.
Ejemplos:
• Cyber Resilience Framework / Index – World Economic Forum
• HKMA Cyber Resilience Assessment Framework
• CISA Cyber Resilience Review
• INCIBE Cyberresilience Guide
Fuente: HKMA Cyber
Resilience Assessment
Framework
Fuente: Cyber Resilience
Framework / Index – World
Economic Forum
10. Qué esperamos por vuestra parte
1. Que seáis partícipes y agentes
activos de la ciberseguridad,
para contribuir a la defensa frente a
las ciberamenazas y los ciberataques.
2. Si trabajáis para el Sector
Público (directa o indirectamente),
vuestra colaboración para la
plena aplicación del ENS.
3. Si trabajáis para la AGE y sus
OOPP, vuestra colaboración
en la implantación del COCS
y del EDR
11. MUCHAS GRACIAS
POR SU ATENCIÓN
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Asuntos Económicos y Transformación Digital