SlideShare una empresa de Scribd logo

ENS-estructura-objetivos-requisitos

Manuel Fernandez Barcell
Manuel Fernandez Barcell

Esquema Nacional de Seguridad

Gobierno y org. sin ánimo de lucro
1 de 48
Descargar para leer sin conexión
Estructura de la norma • Se divide en 10 capítulos más una serie de disposiciones. • Presenta una serie de anexos muy importantes a título técnico, donde se establecen: – La categoría de los sistemas. – Las medidas de seguridad. – La auditoría de seguridad. – Glosario de términos.
Objetivos  Crear las condiciones necesarias de confianza en el uso de los medios electrónicos  Establecer la política de seguridad  Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.  Aportar un lenguaje común  Aportar un tratamiento homogéneo de la seguridad  Facilitar un tratamiento continuado de la seguridad.
Elementos del Esquema Nacional de Seguridad  Los principios básicos a considerar en las decisiones en materia de seguridad.  Los requisitos mínimos que permitan una protección adecuada de la información.  El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.  Las comunicaciones electrónicas.  La auditoría de la seguridad.  La respuesta ante incidentes de seguridad.  La certificación de la seguridad.  La conformidad.
Requisitos mínimos • Los requisitos mínimos estimados por el ENS son: – a) Organización e implantación del proceso de seguridad. – b) Análisis y gestión de los riesgos. – c) Gestión de personal. – d) Profesionalidad. – e) Autorización y control de los accesos. – f) Protección de las instalaciones. – g) Adquisición de productos. – h) Seguridad por defecto. – i) Integridad y actualización del sistema. – j) Protección de la información almacenada y en tránsito. – k) Prevención ante otros sistemas de información interconectados. – l) Registro de actividad. – m) Incidentes de seguridad. – n) Continuidad de la actividad. – o) Mejora continua del proceso de seguridad.
¿Quién está supeditado? • Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. – A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. – Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.
Aplicación de la política de seguridad • Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. • Deberá ser aprobada por el titular del órgano superior correspondiente. • Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico • Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.
Adecuación a la Norma • La disposición transitoria estipula los tiempos para la adecuación de la normativa. • Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. • Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. • Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. • La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado. • GUIAS • https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Es quema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/80 5-ENS_politica-sep11.pdf
Implementación de seguridad • Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. • La seguridad deberá comprometer a todos los miembros de la organización. • Se deberán identificar los responsables y deberá ser conocida por todos. • Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.
Adecuación al sistema  La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones: – Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. • CCN-STIC 805 Política de seguridad de la inf ormación – Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados • CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad
Adecuación  Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. – CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad  Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. – CCN-STIC 806 Plan de adecuación del Esq uema Nacional de Seguridad
Implantación  Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente – https://www.ccn-cert.cni.es/inde x.php?option=com_wrapper&view=wr apper&Itemid=211&lang=es
Auditoría  Auditar la seguridad – CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad – CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad
Informar  Informar sobre el estado de la seguridad – CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad – CCN-STIC 824 Informe del Estado de Seguridad
La seguridad por defecto • Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. – Mínima funcionalidad en base a objetivos. – Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo accesibles por las personas, o desde equipos, autorizados. – En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. – El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
Seguridad en evolución • Se deberá conocer en todo momento el estado de seguridad de los sistemas. • En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. • Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
Escenario de protección de la información • Se deberá proteger la información, tanto en los escenarios: – Datos almacenados. – Datos en tránsito. • Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.
Anexo I Categoría de los sistemas
Fundamentos • Los sistemas serán categorizados en base a una serie de criterios: – Impacto que tendría sobre la organización un incidente de seguridad. – Repercusión de la organización para: • Alcanzar sus objetivos. • Proteger los activos a su cargo. • Cumplir sus obligaciones diarias de servicio. • Respetar la legalidad vigente. • Respetar los derechos de las personas.
Dimensiones de seguridad • Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: – Disponibilidad [D]. – Autenticidad [A]. – Integridad [I]. – Confidencialidad [C]. – Trazabilidad [T]. • La dimensión de la seguridad se circunscribe en diferentes niveles: • Bajo. • Medio. • Alto. • Un servicio puede verse afectado por una o varias dimensiones de la seguridad.
Nivel Bajo • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. – La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. – El sufrimiento de un daño menor por los activos de la organización. – El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. – Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. – Otros de naturaleza análoga.
Nivel Medio • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. – La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. – El sufrimiento de un daño significativo por los activos de la organización. – El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. – Causar un perjuicio significativo a algún individuo, de difícil reparación. – Otros de naturaleza análoga.
Nivel Alto • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. – La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. – El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. – El incumplimiento grave de alguna ley o regulación. – Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. – Otros de naturaleza análoga.
Determinación de categorías • Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. • Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. • Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Nivel Alto • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. – La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. – El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. – El incumplimiento grave de alguna ley o regulación. – Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. – Otros de naturaleza análoga.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ESQUEMA NACIONAL DE SEGURIDAD  ¿Se pueden entender equivalentes los niveles LOPD con los niveles  ENS? – Puesto que su determinación obedece a procedimientos distintos, cada sistema/servicio/tratamiento debe cualificarse independientemente: para su conformidad con la normativa de Protección de Datos de Carácter Personal y para con lo dispuesto en el ENS.
Anexo II Medidas de seguridad
Agrupamiento de medidas • En función de las naturalezas de medidas, estas pueden diferenciarse en: – Marco organizativo [org]. • Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. – Marco operacional [op]. • Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. – Medidas de protección [mp]. • Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
Aplicación de medidas • Las organizaciones deberán realizar un análisis de activos y riesgos. • La aplicación de medidas se aplicarán en base a estos análisis. • A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. • La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad
Medidas de seguridad
Ejemplo práctico • MP Info-6. Medidas de protección para la limpieza de documentos.
Anexo III Auditoría de seguridad
Principios de auditoría • Los sistemas de seguridad deberán ser auditados en base a estos principios: – Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. – Que existen procedimientos para resolución de conflictos entre dichos responsables. – Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». – Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. – Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. – Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.
¿Cuándo realizarla? • Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. • Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. • Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.
Niveles de auditoría • Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. • Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. • Deberán generar un informe de auditoría.
Informe de auditoría • Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. • Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. • Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
Art. 18 Adquisición productos seguridad • En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. • La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.
OC ENECSTI • Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. • Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre. • Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. • http://www.oc.ccn.cni.es
Common Criteria • Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI. • Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level). • Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial. • WEB • http://www.commoncriteriaportal.org/

Recomendados

2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridadBella Romero Aguillón
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 

Recomendados

2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridadBella Romero Aguillón
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAvirgo13
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidadKaria
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Guia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetroGuia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetromiguel911
 
Seg Inf Sem03
Seg Inf Sem03Seg Inf Sem03
Seg Inf Sem03lizardods
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Mecanismo de seguridad
Mecanismo de seguridadMecanismo de seguridad
Mecanismo de seguridadluisalbet
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
T04 05 notificaciones
T04 05 notificacionesT04 05 notificaciones
T04 05 notificacionesManuel Fernandez Barcell
 
Tema 05 datosabiertos
Tema 05 datosabiertosTema 05 datosabiertos
Tema 05 datosabiertosManuel Fernandez Barcell
 

Más contenido relacionado

La actualidad más candente

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAvirgo13
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidadKaria
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Guia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetroGuia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetromiguel911
 
Seg Inf Sem03
Seg Inf Sem03Seg Inf Sem03
Seg Inf Sem03lizardods
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Mecanismo de seguridad
Mecanismo de seguridadMecanismo de seguridad
Mecanismo de seguridadluisalbet
 

La actualidad más candente (20)

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TI
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
 
Guia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetroGuia para establecer la seguridad del perimetro
Guia para establecer la seguridad del perimetro
 
Seg Inf Sem03
Seg Inf Sem03Seg Inf Sem03
Seg Inf Sem03
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Mecanismo de seguridad
Mecanismo de seguridadMecanismo de seguridad
Mecanismo de seguridad
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Destacado

sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionManuel Fernandez Barcell
 

Destacado (20)

T04 05 notificaciones
T04 05 notificacionesT04 05 notificaciones
T04 05 notificaciones
 
Tema 05 datosabiertos
Tema 05 datosabiertosTema 05 datosabiertos
Tema 05 datosabiertos
 
publicidad en internet
publicidad en internetpublicidad en internet
publicidad en internet
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Redes Lan
Redes LanRedes Lan
Redes Lan
 
T04 03 marcadetiempo
T04 03 marcadetiempoT04 03 marcadetiempo
T04 03 marcadetiempo
 
Tema 08 estandares abiertos
Tema 08 estandares abiertosTema 08 estandares abiertos
Tema 08 estandares abiertos
 
viajes 2.0
viajes 2.0viajes 2.0
viajes 2.0
 
T04 04 sede
T04 04 sedeT04 04 sede
T04 04 sede
 
T03 04 firmaelectronica
T03 04 firmaelectronicaT03 04 firmaelectronica
T03 04 firmaelectronica
 
sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacion
 
Redes t1 conceptos
Redes t1 conceptosRedes t1 conceptos
Redes t1 conceptos
 
T04 07 clave
T04 07 claveT04 07 clave
T04 07 clave
 
T03 conceptos seguridad
T03 conceptos seguridadT03 conceptos seguridad
T03 conceptos seguridad
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
La Firma Digital
La Firma DigitalLa Firma Digital
La Firma Digital
 
Tema 08 gobiernoabierto
Tema 08 gobiernoabiertoTema 08 gobiernoabierto
Tema 08 gobiernoabierto
 
T06 01 interoperabilidad
T06 01 interoperabilidadT06 01 interoperabilidad
T06 01 interoperabilidad
 
Redes t02 normas
Redes t02 normasRedes t02 normas
Redes t02 normas
 
T03 02 criptografia
T03 02 criptografiaT03 02 criptografia
T03 02 criptografia
 

Similar a ENS-estructura-objetivos-requisitos

20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.Rames Sarwat
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
Tarea 1 seguridad informatica 19-eisn-1-168.pptx
Tarea 1 seguridad informatica 19-eisn-1-168.pptxTarea 1 seguridad informatica 19-eisn-1-168.pptx
Tarea 1 seguridad informatica 19-eisn-1-168.pptxandherson2
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecGrupo Ingertec
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadLuis Martinez
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 

Similar a ENS-estructura-objetivos-requisitos (20)

Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Tarea 1 seguridad informatica 19-eisn-1-168.pptx
Tarea 1 seguridad informatica 19-eisn-1-168.pptxTarea 1 seguridad informatica 19-eisn-1-168.pptx
Tarea 1 seguridad informatica 19-eisn-1-168.pptx
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Esquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - IngertecEsquema Nacional de Seguridad ENS - Ingertec
Esquema Nacional de Seguridad ENS - Ingertec
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Folleto cero
Folleto ceroFolleto cero
Folleto cero
 
información Segura
información Segurainformación Segura
información Segura
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 

Más de Manuel Fernandez Barcell

Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Manuel Fernandez Barcell
 

Más de Manuel Fernandez Barcell (12)

T04 02 dnielectronico
T04 02 dnielectronicoT04 02 dnielectronico
T04 02 dnielectronico
 
T04 01 pki
T04 01 pkiT04 01 pki
T04 01 pki
 
T03 03 certificados_digitales
T03 03 certificados_digitalesT03 03 certificados_digitales
T03 03 certificados_digitales
 
Ae t01 introduccion_ae
Ae t01 introduccion_aeAe t01 introduccion_ae
Ae t01 introduccion_ae
 
Redes tcp/ip
Redes tcp/ipRedes tcp/ip
Redes tcp/ip
 
Analítica y metrica web
Analítica y metrica webAnalítica y metrica web
Analítica y metrica web
 
SEM, SMO marketing digital
SEM, SMO marketing digitalSEM, SMO marketing digital
SEM, SMO marketing digital
 
posiciomamiento SEO
posiciomamiento SEOposiciomamiento SEO
posiciomamiento SEO
 
dominios y alojamientos web
dominios y alojamientos webdominios y alojamientos web
dominios y alojamientos web
 
conceptos de ebusiness
conceptos de ebusinessconceptos de ebusiness
conceptos de ebusiness
 
Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.
 
Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.
 

Último

Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfPlan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfGabrich4
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfSUSMAI
 
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...FAUSTODANILOCRUZCAST
 
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVHISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVFlorMezones
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de BielsaPhilippe Villette
 
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfPedro Martinez
 
artedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfartedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfsamuelmorales61
 
Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024acjg36
 
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfRÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfmarcusdabsh
 
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxPOLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxBeyker Chamorro
 
La paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfLa paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfyehinicortes
 
Revista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfRevista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfEjército de Tierra
 

Último (12)

Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfPlan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdf
 
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
 
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVHISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa
 
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
 
artedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfartedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdf
 
Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024
 
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfRÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
 
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxPOLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
 
La paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfLa paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdf
 
Revista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfRevista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdf
 

ENS-estructura-objetivos-requisitos

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8. Estructura de la norma • Se divide en 10 capítulos más una serie de disposiciones. • Presenta una serie de anexos muy importantes a título técnico, donde se establecen: – La categoría de los sistemas. – Las medidas de seguridad. – La auditoría de seguridad. – Glosario de términos.
  • 9. Objetivos  Crear las condiciones necesarias de confianza en el uso de los medios electrónicos  Establecer la política de seguridad  Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.  Aportar un lenguaje común  Aportar un tratamiento homogéneo de la seguridad  Facilitar un tratamiento continuado de la seguridad.
  • 10. Elementos del Esquema Nacional de Seguridad  Los principios básicos a considerar en las decisiones en materia de seguridad.  Los requisitos mínimos que permitan una protección adecuada de la información.  El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger.  Las comunicaciones electrónicas.  La auditoría de la seguridad.  La respuesta ante incidentes de seguridad.  La certificación de la seguridad.  La conformidad.
  • 11. Requisitos mínimos • Los requisitos mínimos estimados por el ENS son: – a) Organización e implantación del proceso de seguridad. – b) Análisis y gestión de los riesgos. – c) Gestión de personal. – d) Profesionalidad. – e) Autorización y control de los accesos. – f) Protección de las instalaciones. – g) Adquisición de productos. – h) Seguridad por defecto. – i) Integridad y actualización del sistema. – j) Protección de la información almacenada y en tránsito. – k) Prevención ante otros sistemas de información interconectados. – l) Registro de actividad. – m) Incidentes de seguridad. – n) Continuidad de la actividad. – o) Mejora continua del proceso de seguridad.
  • 12. ¿Quién está supeditado? • Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. – A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. – Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.
  • 13. Aplicación de la política de seguridad • Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. • Deberá ser aprobada por el titular del órgano superior correspondiente. • Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico • Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.
  • 14. Adecuación a la Norma • La disposición transitoria estipula los tiempos para la adecuación de la normativa. • Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. • Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. • Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. • La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado. • GUIAS • https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Es quema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/80 5-ENS_politica-sep11.pdf
  • 15. Implementación de seguridad • Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. • La seguridad deberá comprometer a todos los miembros de la organización. • Se deberán identificar los responsables y deberá ser conocida por todos. • Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.
  • 16. Adecuación al sistema  La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones: – Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. • CCN-STIC 805 Política de seguridad de la inf ormación – Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados • CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad
  • 17.
  • 18. Adecuación  Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. – CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad  Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. – CCN-STIC 806 Plan de adecuación del Esq uema Nacional de Seguridad
  • 19. Implantación  Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente – https://www.ccn-cert.cni.es/inde x.php?option=com_wrapper&view=wr apper&Itemid=211&lang=es
  • 20. Auditoría  Auditar la seguridad – CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad – CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad
  • 21. Informar  Informar sobre el estado de la seguridad – CCN-STIC 815 Métricas e Indicadores en el Esquema Nacional de Seguridad – CCN-STIC 824 Informe del Estado de Seguridad
  • 22.
  • 23. La seguridad por defecto • Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. – Mínima funcionalidad en base a objetivos. – Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo accesibles por las personas, o desde equipos, autorizados. – En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. – El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
  • 24. Seguridad en evolución • Se deberá conocer en todo momento el estado de seguridad de los sistemas. • En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. • Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
  • 25. Escenario de protección de la información • Se deberá proteger la información, tanto en los escenarios: – Datos almacenados. – Datos en tránsito. • Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.
  • 26. Anexo I Categoría de los sistemas
  • 27. Fundamentos • Los sistemas serán categorizados en base a una serie de criterios: – Impacto que tendría sobre la organización un incidente de seguridad. – Repercusión de la organización para: • Alcanzar sus objetivos. • Proteger los activos a su cargo. • Cumplir sus obligaciones diarias de servicio. • Respetar la legalidad vigente. • Respetar los derechos de las personas.
  • 28. Dimensiones de seguridad • Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: – Disponibilidad [D]. – Autenticidad [A]. – Integridad [I]. – Confidencialidad [C]. – Trazabilidad [T]. • La dimensión de la seguridad se circunscribe en diferentes niveles: • Bajo. • Medio. • Alto. • Un servicio puede verse afectado por una o varias dimensiones de la seguridad.
  • 29. Nivel Bajo • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. – La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. – El sufrimiento de un daño menor por los activos de la organización. – El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. – Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. – Otros de naturaleza análoga.
  • 30. Nivel Medio • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. – La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. – El sufrimiento de un daño significativo por los activos de la organización. – El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. – Causar un perjuicio significativo a algún individuo, de difícil reparación. – Otros de naturaleza análoga.
  • 31. Nivel Alto • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. – La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. – El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. – El incumplimiento grave de alguna ley o regulación. – Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. – Otros de naturaleza análoga.
  • 32. Determinación de categorías • Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. • Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. • Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
  • 33. Nivel Alto • Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. – La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. – El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. – El incumplimiento grave de alguna ley o regulación. – Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. – Otros de naturaleza análoga.
  • 34. LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ESQUEMA NACIONAL DE SEGURIDAD  ¿Se pueden entender equivalentes los niveles LOPD con los niveles  ENS? – Puesto que su determinación obedece a procedimientos distintos, cada sistema/servicio/tratamiento debe cualificarse independientemente: para su conformidad con la normativa de Protección de Datos de Carácter Personal y para con lo dispuesto en el ENS.
  • 35. Anexo II Medidas de seguridad
  • 36. Agrupamiento de medidas • En función de las naturalezas de medidas, estas pueden diferenciarse en: – Marco organizativo [org]. • Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. – Marco operacional [op]. • Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. – Medidas de protección [mp]. • Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.
  • 37. Aplicación de medidas • Las organizaciones deberán realizar un análisis de activos y riesgos. • La aplicación de medidas se aplicarán en base a estos análisis. • A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. • La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad
  • 39. Ejemplo práctico • MP Info-6. Medidas de protección para la limpieza de documentos.
  • 41. Principios de auditoría • Los sistemas de seguridad deberán ser auditados en base a estos principios: – Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. – Que existen procedimientos para resolución de conflictos entre dichos responsables. – Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». – Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. – Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. – Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.
  • 42. ¿Cuándo realizarla? • Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. • Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. • Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.
  • 43. Niveles de auditoría • Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. • Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. • Deberán generar un informe de auditoría.
  • 44. Informe de auditoría • Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. • Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. • Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
  • 45. Art. 18 Adquisición productos seguridad • En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. • La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.
  • 46. OC ENECSTI • Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. • Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre. • Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. • http://www.oc.ccn.cni.es
  • 47.
  • 48. Common Criteria • Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI. • Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level). • Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial. • WEB • http://www.commoncriteriaportal.org/