Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
Sample IT Best Practices Audit report.
An objective, self service tool for CIO’s by CIOs.
Identify and prioritize issues.
Solve the root causes.
Justify Investments.
Improve user productivity.
Maximize existing assets.
Reduce IT costs.
Improve IT service.
Reallocate IT resources to drive the business.
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
Conoce la diferencia entre evento e incidente de seguridad de la información, tomando en cuenta sus definiciones dadas por la norma ISO IEC 27000 y NIST.
Sample IT Best Practices Audit report.
An objective, self service tool for CIO’s by CIOs.
Identify and prioritize issues.
Solve the root causes.
Justify Investments.
Improve user productivity.
Maximize existing assets.
Reduce IT costs.
Improve IT service.
Reallocate IT resources to drive the business.
Nowadays, IT operations are required to run on a tight budget and under constant watch. Compliance, security and mobile innovation are making proper auditing of IT systems absolutely necessary. Knowing the most fundamental facts, like who changed what, when, and where, will save hours of troubleshooting, satisfy compliance needs, and secure the environment. This white paper shows a methodical approach to IT infrastructure auditing. That includes proper planning, estimation of time needed to implement an effective IT auditing solution, and critical resources.
A presentation on how project managers should consider cybersecurity in their project delivery activities. Delivered at the PMI-SOC Cybersecurity workshop on September 26th, 2015, in Toronto.
ISO 27001 control A17 (Continuity on Information Security), and ISO 22301: co...PECB
The webinar covers:
• ISO27001/ISO22301 differences
• ISO27001/ISO22301 relationship
• Conclusions
Presenter:
This webinar was presented by Michèle COPITET. Prior to founding her company; Michèle has been working for 10 years in CAP GEMINI as consultant and project manager and currently is accredited trainer for PECB and for APMG. Her company EGONA-CONSULTING 0(mc@egona-consulting.eu) provides consultancy, assessment and training in IT security management and in IT services quality management in France and abroad. She is certified against ISO22301 LI/LA, ISO27001 LA, ISO27005 RM, CISM, Expert ITILV3, ISO20000, COBIT5, Assessor, Prince2 practitioner.
Link of the recorded session published on YouTube: https://youtu.be/_z_BAchDQxM
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?PECB
Ethical hacking helps organizations in preventing the exploitation and vulnerabilities of their system’s data.
Today, several real-world testing methods are used to avoid cyber-attacks and secure important data from exploitation.
The webinar covers
• Ethical Hacking
• Penetration Testing
• Differences and Similarities
• Types & Stages of Penetration Testing
• Cybersecurity
• Impact of COVID-19 on Cybersecurity
Presenters:
Carl Carpenter
Carl is a former CISO of a $6B entity where he was responsible for protecting data of all types and regulatory environments such as FFIEC, HIPAA, and PCI as well as working with the FBI, IRS, and US Department of Labor around investigations relating to money laundering. He has performed assessments against Fortune 10 and 50 companies in the areas of GDPR, CCPA, ISO/IEC 27001 and currently performs CMMC assessments as well as CMMC pre-audit support to help ensure a successful CMMC audit. Prior to that, Carl retired from the US Military where he was involved in counter-terrorist, counter-narcotics, counter-intelligence operations and training foreign military members in these same concepts. Carl is also a PECB trainer in ISO/IEC 27001, ISO/IEC 27032, and CMMC Foundations and holds numerous other certifications.
In 2016, Carl joined Arrakis Consulting where he started as an auditor and providing CISO-as-a-Service to small or medium sized companies that needed more experience without increased cost. In 2017, Carl added active penetration testing to his portfolio of skills and routinely performs penetration tests against companies of all sizes. Carl also trains people on a variety of skills such as penetration testing, network engineering, network administration, OSI model, subnetting, etc…
Carl holds a Bachelors from Western Governors University in Network Security and Operations as well as numerous certifications from ITIL, Cisco, CompTIA, Microsoft, CMMC-AB, ISACA, OneTrust, RSA, PCI Council, Citrix, and Novell
Andreas Christoforides
Mr. Christoforides is an active IT auditor and a trainer for a various organization on Information Security Management Systems. He is a member of the Cyprus Computer Society, a PECB certified trainer for ISO/IEC 27001, ISO 22301 and GDPR CDPO, and a former Deputy Head of IT Infrastructure at a Bulgarian Leading Bank.
In 2019, he joined BEWISE and delivered to clients a wide range of Cybersecurity projects in the areas of strategy, governance and risk management, data privacy and protection (GDPR), and business resilience and recovery. He conducts IT Risk Assessments and develops IT policies and procedures towards establishing an effective and secure IT Governance framework.
Mr. Christoforides holds a BEng degree from Birmingham City University and a variety of other qualifications from Microsoft and CISCO.
YouTube video: https://youtu.be/cTrdBZFIFhM
Website link: https://pecb.com/
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
The Cybersecurity Maturity Model Certification enforces the protection of Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) that is shared by the U.S. Department of Defense with contractors and subcontractors. Learn more in the ControlCase CMMC Basics Webinar.
This session gives you real-life insights and examples of the most ridiculous cyber-attacks and the smartest cyber-crimes that have occurred over the last 30 years. Each director from CSP tell their own personal stories from working in the industry and from past clients, about the strangest and funniest cyber-crimes they have come across.
Yes, these examples are a laugh, but they also raise awareness of how easy it could be to fall victim to these cyber criminals and their attempts. So, we will be discussing how to protect your business also, and be more aware of their tell-tale signs and attempts to disrupt your business.
Security Framework for Digital Risk ManagmentSecurestorm
A cyber security governance framework and digital risk management process for OFFICIAL environments in UK Government. A pragmatic and proportional information risk management process which can be used at speed, and is compatible with Agile projects. This is released under a Creative Commons; Attribution-Non Commercial-Share Alike 4.0 International License.
Nowadays, IT operations are required to run on a tight budget and under constant watch. Compliance, security and mobile innovation are making proper auditing of IT systems absolutely necessary. Knowing the most fundamental facts, like who changed what, when, and where, will save hours of troubleshooting, satisfy compliance needs, and secure the environment. This white paper shows a methodical approach to IT infrastructure auditing. That includes proper planning, estimation of time needed to implement an effective IT auditing solution, and critical resources.
A presentation on how project managers should consider cybersecurity in their project delivery activities. Delivered at the PMI-SOC Cybersecurity workshop on September 26th, 2015, in Toronto.
ISO 27001 control A17 (Continuity on Information Security), and ISO 22301: co...PECB
The webinar covers:
• ISO27001/ISO22301 differences
• ISO27001/ISO22301 relationship
• Conclusions
Presenter:
This webinar was presented by Michèle COPITET. Prior to founding her company; Michèle has been working for 10 years in CAP GEMINI as consultant and project manager and currently is accredited trainer for PECB and for APMG. Her company EGONA-CONSULTING 0(mc@egona-consulting.eu) provides consultancy, assessment and training in IT security management and in IT services quality management in France and abroad. She is certified against ISO22301 LI/LA, ISO27001 LA, ISO27005 RM, CISM, Expert ITILV3, ISO20000, COBIT5, Assessor, Prince2 practitioner.
Link of the recorded session published on YouTube: https://youtu.be/_z_BAchDQxM
Ethical Hacking vs Penetration Testing vs Cybersecurity: Know the Difference?PECB
Ethical hacking helps organizations in preventing the exploitation and vulnerabilities of their system’s data.
Today, several real-world testing methods are used to avoid cyber-attacks and secure important data from exploitation.
The webinar covers
• Ethical Hacking
• Penetration Testing
• Differences and Similarities
• Types & Stages of Penetration Testing
• Cybersecurity
• Impact of COVID-19 on Cybersecurity
Presenters:
Carl Carpenter
Carl is a former CISO of a $6B entity where he was responsible for protecting data of all types and regulatory environments such as FFIEC, HIPAA, and PCI as well as working with the FBI, IRS, and US Department of Labor around investigations relating to money laundering. He has performed assessments against Fortune 10 and 50 companies in the areas of GDPR, CCPA, ISO/IEC 27001 and currently performs CMMC assessments as well as CMMC pre-audit support to help ensure a successful CMMC audit. Prior to that, Carl retired from the US Military where he was involved in counter-terrorist, counter-narcotics, counter-intelligence operations and training foreign military members in these same concepts. Carl is also a PECB trainer in ISO/IEC 27001, ISO/IEC 27032, and CMMC Foundations and holds numerous other certifications.
In 2016, Carl joined Arrakis Consulting where he started as an auditor and providing CISO-as-a-Service to small or medium sized companies that needed more experience without increased cost. In 2017, Carl added active penetration testing to his portfolio of skills and routinely performs penetration tests against companies of all sizes. Carl also trains people on a variety of skills such as penetration testing, network engineering, network administration, OSI model, subnetting, etc…
Carl holds a Bachelors from Western Governors University in Network Security and Operations as well as numerous certifications from ITIL, Cisco, CompTIA, Microsoft, CMMC-AB, ISACA, OneTrust, RSA, PCI Council, Citrix, and Novell
Andreas Christoforides
Mr. Christoforides is an active IT auditor and a trainer for a various organization on Information Security Management Systems. He is a member of the Cyprus Computer Society, a PECB certified trainer for ISO/IEC 27001, ISO 22301 and GDPR CDPO, and a former Deputy Head of IT Infrastructure at a Bulgarian Leading Bank.
In 2019, he joined BEWISE and delivered to clients a wide range of Cybersecurity projects in the areas of strategy, governance and risk management, data privacy and protection (GDPR), and business resilience and recovery. He conducts IT Risk Assessments and develops IT policies and procedures towards establishing an effective and secure IT Governance framework.
Mr. Christoforides holds a BEng degree from Birmingham City University and a variety of other qualifications from Microsoft and CISCO.
YouTube video: https://youtu.be/cTrdBZFIFhM
Website link: https://pecb.com/
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
The Cybersecurity Maturity Model Certification enforces the protection of Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) that is shared by the U.S. Department of Defense with contractors and subcontractors. Learn more in the ControlCase CMMC Basics Webinar.
This session gives you real-life insights and examples of the most ridiculous cyber-attacks and the smartest cyber-crimes that have occurred over the last 30 years. Each director from CSP tell their own personal stories from working in the industry and from past clients, about the strangest and funniest cyber-crimes they have come across.
Yes, these examples are a laugh, but they also raise awareness of how easy it could be to fall victim to these cyber criminals and their attempts. So, we will be discussing how to protect your business also, and be more aware of their tell-tale signs and attempts to disrupt your business.
Security Framework for Digital Risk ManagmentSecurestorm
A cyber security governance framework and digital risk management process for OFFICIAL environments in UK Government. A pragmatic and proportional information risk management process which can be used at speed, and is compatible with Agile projects. This is released under a Creative Commons; Attribution-Non Commercial-Share Alike 4.0 International License.
Seguro de Salud Internacional con Cobertura Médica en su país y en el mundo entero, Hijos menores de 11 años son asegurados gratis, Cobertura de Maternidad, Renovaciones de por vida, Libertad de escoger medico u hospital.
agencia de publicidad,boligrafos,carpetas,carton,diseño,esferos,eventos,exhibicion,impresion,llaveros,maletines,marketing,material pop,mercadeo,merchandising,pop,publicidad,publicidad bogota,stands,tarjetas de presentación
agencia de publicidad,boligrafos,carpetas,carton,diseño,esferos,eventos,exhibicion,impresion,llaveros,maletines,marketing,material pop,mercadeo,merchandising,pop,publicidad,publicidad bogota,stands,tarjetas de presentación
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
La actualización del ENS ha perseguido, en primer lugar, alinear el instrumento con el marco normativo de referencia a la fecha para facilitar la seguridad en la administración digital. En segundo lugar, introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados colectivos de entidades, o de determinados ámbitos tecnológicos, dando respuesta a las nuevas demandas. Y, en tercer lugar, actualizar los principios básicos, los requisitos mínimos y las medidas de seguridad para facilitar la respuesta a las nuevas tendencias y necesidades de ciberseguridad.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Miguel A. Amutio
Presentación en las IX Jornadas STIC CCN-CERT sobre actuaciones de la DTIC (Dirección de Tecnologías de la Información y las Comunicaciones), actualización del ENS y cumplimiento con el ENS.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
Checkpoint Technologies, empresa a la que hemos ayudado a certificar/cualificar varios de sus soluciones con el fin de formar parte del catálogo CPSTIC / CCN STIC-105, nos invitó como ponentes a este webinar en el que tuvimos la oportunidad de explicar lo siguientes puntos:
• Introducción al Centro Criptológico Nacional (CC) y el Esquema Nacional de Seguridad (ENS)
• En qué consiste el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)
• Beneficios de la certificación/cualificación de una solución y el cumplimiento del ENS para tu organización y principales
"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss
Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
En esta introducción explico el papel que se vislumbró en su momento para la interoperabilidad en la administración electrónica/digital; los antecedentes; el contexto europeo; la elaboración del Esquema Nacional de Interoperabilidad, de sus Normas Técnicas de Interoperabilidad, junto con el Esquema de Metadatos para la Gestión del Documento Electrónico y la extensa colección de guías aplicación y documentos de soporte interpretativo; la interacción bidireccional en la redacción del ENI y del Marco Europeo de Interoperabilidad; las referencias cruzadas con el Esquema Nacional de Seguridad (ENS); el apunte hacia el futuro; el método aplicado para la elaboración del ENI y de sus Normas Técnicas de Interoperabilidad, a menudo abriendo camino, sin referencias o modelos orientativos, partiendo de un folio en blanco, acotando alcances para poder avanzar, a la vez que siendo conscientes de los retos por delante; y la referencia al esfuerzo colectivo, multidisciplinar, sostenido en el tiempo, así como a las personas que han contribuido especialmente a lo que el Esquema Nacional de Interoperabilidad y sus Normas Técnicas de Interoperabilidad son actualmente; y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo de las Administraciones Públicas (véase, por ejemplo, en las Guías de Aplicación de las Normas Técnicas de Interoperabilidad el anexo de Equipo Responsable), así como del ámbito más amplio de la Comunidad, tanto del sector público como del sector privado, que han contribuido a lo largo del tiempo con tantas aportaciones significativas; más quienes se han sumado a su implantación práctica, tarea que les ha ofrecido una oportunidad de protagonismo en sus propias organizaciones.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
El nuevo ENS ante la ciberseguridad que viene. XVI Jornadas STIC CCN-CERT
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de datos y servicios, atracción de la ciberamenaza, a la vez que da lugar a la ampliación de la superficie de exposición a posibles ciberataques. El nuevo ENS resulta de una revisión exhaustiva de los principios, requisitos y medidas de seguridad para responder a las tendencias y necesidades de ciberseguridad en los próximos tiempos tanto de las entidades del sector público como de sus proveedores. En esta intervención se pone el nuevo ENS en el contexto en el que la Unión Europea refuerza los requisitos legales de ciberseguridad, las estructuras de gobernanza, cooperación y comunidad, así como las capacidades operacionales de ciberseguridad junto con los mecanismos de confianza en servicios y productos.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
XXVII Jornadas de Archivos Universitarios. Logroño, 10 de noviembre de 2022. CRUE - CAU Conferencia de Archivos de las Universidades Españolas. Universidad de La Rioja.
La preservación digital de datos y documentos a largo plazo: 5 retos próximos.
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de los datos y los servicios. En particular, la intensificación de la orientación al dato, que ha de convivir con la orientación al documento, lleva aparejada la aparición de nuevas regulaciones, dinámicas de gobernanza y roles, y servicios, junto con las correspondientes políticas, procedimientos y prácticas, estándares e instrumentos para su manejo, su protección en el escenario de la ciberseguridad, a la vez que su preservación a largo plazo.
En esta intervención se exponen cinco retos que se suscitan, entre otros posibles, en relación con la preservación digital de datos y documentos en el contexto de las tendencias en cuanto a la interoperabilidad, la ciberseguridad y la preservación de los datos.
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
Revista SIC. Nº 150. Junio 2022. Coautores Miguel A. Amutio y Pablo López.
La reciente aprobación del nuevo Esquema Nacional de Seguridad ha sentado las bases para afrontar con un nuevo marco regulatorio firme la transformación digital del sector público y sus proveedores del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda.
Implementation of the European Interoperability framework in Spain
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
1. HERRAMIENTAS PARA ADECUARSE AL
ESQUEMA NACIONAL DE SEGURIDAD
Madrid, 27 de septiembre de 2012
Miguel A. Amutio Gómez
Jefe de Área de Planificación y Explotación
Ministerio de Hacienda y Administraciones Públicas
2. Contenidos
1. El Esquema Nacional de Seguridad.
2. Adecuarse al ENS.
3. Herramientas para adecuarse al ENS.
4. Retos.
3. 1. El Esquema Nacional de
Seguridad
Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo
previsto sobre seguridad en la Ley 11/2007, al servicio de la realización de derechos
de los ciudadanos.
Establece la política de seguridad en los servicios de administración-e.
Está constituida por principios básicos y requisitos mínimos que permitan una protección
adecuada de la información.
Es de aplicación a todas las AA.PP.
fecha límite 29.01.2014.
Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
4. Objetivos del ENS
Crear las condiciones necesarias de confianza en el
uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los
ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos
medios.
Implantar la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
Implantar un tratamiento homogéneo de la seguridad que facilite
la cooperación en la prestación de servicios de administración electrónica cuando participan diversas
entidades.
Proporcionar lenguaje y elementos comunes:
– Para guiar la actuación de las AA.PP. en materia de seguridad de las TIC.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
Proporcionar liderazgo en materia de buenas practicas.
Estimular a la Industria del sector TIC.
5. 2. Adecuarse al ENS
CCN-STIC 805 CCN-STIC 801 CCN-STIC 803
Adecuarse al
CCN-STIC 809 Magerit
CCN-STIC 815 Pilar
µPILAR
CCN-STIC 802 CCN-STIC 806 CCN-STIC 804
CCN-STIC 808 807, 811, 812,813, 814, ... UNE ISO IEC 27001
UNE ISO IEC 27002
6. 3. Herramientas para
adecuarse al ENS
1. Usar guías e instrumentos específicos.
2. Usar la normalización.
3. Usar infraestructuras y servicios comunes.
4. Comunicar incidentes de seguridad.
5. Usar productos certificados.
6. Preguntar.
7. Formarse.
7. Usar guías e instrumentos
Guías CCN-STIC publicadas:
•
•
específicos
800 - Glosario de Términos y Abreviaturas del ENS.
801 - Responsables y Funciones en el ENS.
• 802 - Auditoría del ENS.
• 803 - Valoración de sistemas en el ENS.
• 804 - Medidas de implantación del ENS.
• 805 - Política de Seguridad de la Información.
Esfuerzo realizado para proporcionar
• 806 - Plan de Adecuación del ENS. guías e instrumentos de apoyo
• 807 - Criptología de empleo en el ENS.
• 808 - Verificación del cumplimiento de las medidas en el ENS. Disponibles en https://www.ccn-cert.cni.es
• 809 - Declaración de Conformidad del ENS.
• 810 - Guía de Creación de un CERT/CSIRT.
• 811 - Interconexión en el Esquema Nacional de Seguridad
• 812 - Seguridad en Entornos y Aplicaciones Web.
• 813 - Componentes certificados.
• 814 - Seguridad en correo electrónico.
• 815 - Indicadores y Métricas en el ENS.
• 817 - Criterios Comunes para la Gestión de Incidentes de Seguridad en el ENS.
• Próxima publicación: MAGERIT v3
En desarrollo:
• 816 - Seguridad en Redes Inalámbricas en el ENS.
• 818 - Herramientas de seguridad.
• 819 – Requisitos de seguridad en redes privadas virtuales en el ENS.
• 820 – Requisitos de seguridad de cloud computing en el ENS
• 821 – Seguridad en DNS en el ámbito del ENS. Convenio de colaboración:
• 823 - Ejemplos de Procedimientos Operativos de Seguridad.
• 824 - Informe del Estado de Seguridad. MINHAP
Programas de apoyo:
• PILAR y µPILAR CNI-CCN
Servicios de respuesta a incidentes de seguridad CCN-CERT
+ Esquema Nacional de Evaluación y Certificación INAP
8. Usar la normalización
ISO/IEC 27001
Norma de ‘gestión’ que contiene los requisitos de un sistema de gestión de seguridad de la
información, voluntariamente certificable.
La certificación de conformidad con 27001 NO es obligatoria en el ENS. Aunque quien se
encuentre certificado tiene parte del camino recorrido para lograr su conformidad con el
ENS.
Fuente: Guía AENOR de Aplicación de la Norma UNE‐ISO/IEC 27001 Fuente: RD 3/2010, ENS, Anexo III
9. Usar la normalización
ISO/IEC 27002
Muchas de las medidas indicadas en el Anexo II del ENS coinciden con controles de 27002.
El ENS añade un sistema de protección proporcionado a la información y servicios a
proteger para racionalizar la implantación de medidas y reducir la discrecionalidad.
El ENS contempla aspectos de especial interés para la protección de la información y los
servicios de administración electrónica (p.ej., aquellos relativos a firma-e) no recogidos en
27002.
…
10. Comunicar los incidentes de
seguridad
CCN-CERT: Centro de alerta y respuesta de
incidentes de seguridad, ayuda a las AA.PP. a
responder de forma más rápida y eficiente ante las amenazas
de seguridad que afecten a sus sistemas de información.
Comunidad: AA.PP. de España
Reconocimiento internacional: 2007, EGC
(2008)
Presta servicios de:
resolución de incidentes,
divulgación de buenas prácticas,
formación
e información de amenazas y
alertas.
Sondas en Red SARA e Internet.
https://www.ccn-cert.cni.es/
12. Usar productos certificados
El ENS reconoce la contribución de los
productos evaluados y certificados para
el cumplimiento de los requisitos mínimos de
manera proporcionada.
Relación con el Organismo de
Certificación (el propio CCN).
La certificación es un aspecto a
considerar al adquirir productos de
seguridad.
En función del nivel, se contempla el
uso preferentemente de productos
certificados.
Modelo de cláusula para los pliegos de
prescripciones técnicas.
http://www.oc.ccn.cni.es/index_en.html
13. Preguntar
• Escucha y resolución de dudas de manera continuada.
• Hay una base de conocimiento sobre cuestiones de interés común.
• Destacan las preguntas sobre:
El ámbito de aplicación del ENS.
Relación entre ENS y LOPD/RD 1720/2007
Elaboración de la política de seguridad.
Organización y roles singulares en el ENS.
Valoración y categorización de sistemas.
Aplicación de medidas concretas.
El papel del análisis de riesgos.
La adquisición de productos de seguridad.
URL: https://www.ccn-cert.cni.es
URL: http://administracionelectronica.gob.es/
15. 7/03/12 En qué puede ayudar
la Industria a las AA.PP.
Aportar guías e instrumentos para aplicar el
ENS.
Ayudar a conocer la situación de partida.
Elaborar el plan de adecuación.
Asesorar sobre alcance, organización, política de
seguridad.
Valorar los sistemas, para su categorización.
Analizar los riesgos.
Elaborar la declaración de aplicabilidad.
Implantar las medidas de seguridad.
Aplicar guías y herramientas para adecuación.
Auditar la conformidad con el ENS.
Elaborar declaración de conformidad con ENS.