El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
Presentación de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., “Protección de las infraestructuras críticas: la fusión de dos mundos” en la XIII Jornada de la Seguridad TI de Nextel S.A. 2011
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Miguel A. Amutio
Para abordar el tema de la seguridad en la Administración
habría que comenzar preguntándose qué tenemos ahora
que antes no teníamos y qué sabemos ahora y que antes no
sabíamos. En primer lugar, el Esquema Nacional de Seguridad
(ENS) nos proporciona un planteamiento común de principios,
requisitos y medidas de seguridad para la protección de la información y de los servicios de la Administración, actualizado
recientemente a la luz de la experiencia adquirida y del entorno regulatorio comunitario, imprescindible en un escenario de transformación digital, acompañado de la serie 800 de guías CCN-STIC y de la colección de servicios de detección, análisis, auditoría e intercambio que proporciona
CCN-CERT. Acompaña la realización de lo previsto por las leyes 39/2015 y 40/2015 en cuanto a la seguridad se refiere.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
Presentación de Joseba Enjuto, Responsable de Control Corporativo y Cumplimiento Legal de Nextel S.A., “Protección de las infraestructuras críticas: la fusión de dos mundos” en la XIII Jornada de la Seguridad TI de Nextel S.A. 2011
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Miguel A. Amutio
Para abordar el tema de la seguridad en la Administración
habría que comenzar preguntándose qué tenemos ahora
que antes no teníamos y qué sabemos ahora y que antes no
sabíamos. En primer lugar, el Esquema Nacional de Seguridad
(ENS) nos proporciona un planteamiento común de principios,
requisitos y medidas de seguridad para la protección de la información y de los servicios de la Administración, actualizado
recientemente a la luz de la experiencia adquirida y del entorno regulatorio comunitario, imprescindible en un escenario de transformación digital, acompañado de la serie 800 de guías CCN-STIC y de la colección de servicios de detección, análisis, auditoría e intercambio que proporciona
CCN-CERT. Acompaña la realización de lo previsto por las leyes 39/2015 y 40/2015 en cuanto a la seguridad se refiere.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
Artikel in der italienischen la Stampa vom 27. Mai 2015, anlässlich des Gratiskonzerts am 30. Mai 2015 mit David Garrett und Riccardo Chailly in der Piazza Duomo in Mailand.
agencia de publicidad,boligrafos,carpetas,carton,diseño,esferos,eventos,exhibicion,impresion,llaveros,maletines,marketing,material pop,mercadeo,merchandising,pop,publicidad,publicidad bogota,stands,tarjetas de presentación
Somos una agencia dedicada al cuidado de las marcas.
Portafolio Servicios Cotización Contacto Tips
Stands: Contamos con un maquinaria y equipo humano dispuesto a realizar los mejores trabajos de diseño, producción y montaje para todos los eventos en Corferias y/o cualquier sala de eventos del país. Cada diseño es especial según la marca o el producto. BTL: activación de marca, lanzamientos de producto.
Actividades de experiencias con el cliente y acercamiento hacia el producto.
• Road Show Products
• Digital Interactiva
• Pisos interactivos
• Modelos Con Ipads
• Juego Desde El Móvil
• Lanzamiento De Productos
• Sampling
• Fidelización
• Buzz Marketing
• Mensaje Móvil
• Habladores en centros comerciales
• Congresos, Seminarios Y Eventos
• Módulos interactivos
• Modelos Con Degustación
• Street Marketing
• Congresos, Seminarios Y Eventos
• Carro valla
Comercial y Oficina: remodelación o re diseño de oficinas, salas comerciales, tiendas comerciales , showrooms y todo tipo de espacios que requieran un diseño acorde al público que lo visita. Diseño Web:
POP & Exhibición: material para punto de venta y exhibición, mostrario, puntas de góndola, branding, estantería, mobiliario, floorgrafic, vitrina, rompetráficos, habladores, entre otros. Estudio de mercadeo: Estudios de mercadeo para productos o servicios. Posicionamiento de productos y relanzamiento de marcas.
Estrategias de mercados, nuevas técnicas de difusión con relación de alcances e impactos.
Merchandising: como sorprender a un cliente, proveedor o aliado de su empresa con un portafolio de más de 5.000 productos para regalos corporativos y masivos.
Esferos, mugs, agendas, llaveros, paraguas, artículos de oficina. Todos estos con la posibilidad de ser marcados con el logo de su compañía. Diseño e Impresión: contamos con maquinaria para realizar impresión digital, gran formato y offset o litográfica en todos los sustratos y acabados.
Tarjetas de presentación,
Carpetas,
Brochures,
Volantes,
Cuadernos,
Agendas,
Flyers,
Plegables…
Avisos:
Realizamos mantenimiento de avisos para todo tipo de cajas de luz, bastidores, avisos en acrílico.
Cambio de lonas, sistema eléctrico, leds, limpieza y pintura en general. Agenciamiento: existe un sistema creado para ese tipo de empresas que requieren trabajos frecuentes de diseño, animación, impresión.
Contamos con paquetes empresariales donde podrá disponer de nuestro equipo de trabajo mensualmente para cualquier requerimiento.
Digital: Realizamos cubrimiento de eventos, registros fotográficos y de video.
Animaciones, intros, recorridos 3d y renders para proyectos arquitectónicos y de producto.
Estudio fotográfico para modelos y para producto.
Fotografía publicitaria.
Ponencia de Miguel Ángel Amutio, subdirector adjunto de la Subdirección General de Programa, Estudios e Impulso de la Administración Electrónica del Ministerio de Hacienda y AAPP, en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
Revista SIC. Nº 150. Junio 2022. Coautores Miguel A. Amutio y Pablo López.
La reciente aprobación del nuevo Esquema Nacional de Seguridad ha sentado las bases para afrontar con un nuevo marco regulatorio firme la transformación digital del sector público y sus proveedores del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda.
Para que la comunicación entre ciudadanos y Administraciones Públicas a través de medios electrónicos sea efectiva, es necesario que se proteja la información y que los sistemas de información presten sus servicios sin interrupciones ni modificaciones y accesos no autorizados. Con esta finalidad se ha desarrollado el Esquema Nacional de Seguridad, el cual propone unos principios básicos y unoss requisitos mínimos que se alcanzan aplicacndo a los sistemas de información un conjunto de medidas de seguridad
"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss
Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
Resultado de un desayuno de trabajo celebrado hace unos meses, invitados por OSPI, con los asistentes que, de manera discreta, se reflejan en el documento adjunto.
Te damos toda la información sobre el Esquema Nacional de Seguridad ENS, para trabajar con la Administración Pública. Encuentra información adicional en ingerte.com
Similar a "Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)" (20)
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
En esta introducción explico el papel que se vislumbró en su momento para la interoperabilidad en la administración electrónica/digital; los antecedentes; el contexto europeo; la elaboración del Esquema Nacional de Interoperabilidad, de sus Normas Técnicas de Interoperabilidad, junto con el Esquema de Metadatos para la Gestión del Documento Electrónico y la extensa colección de guías aplicación y documentos de soporte interpretativo; la interacción bidireccional en la redacción del ENI y del Marco Europeo de Interoperabilidad; las referencias cruzadas con el Esquema Nacional de Seguridad (ENS); el apunte hacia el futuro; el método aplicado para la elaboración del ENI y de sus Normas Técnicas de Interoperabilidad, a menudo abriendo camino, sin referencias o modelos orientativos, partiendo de un folio en blanco, acotando alcances para poder avanzar, a la vez que siendo conscientes de los retos por delante; y la referencia al esfuerzo colectivo, multidisciplinar, sostenido en el tiempo, así como a las personas que han contribuido especialmente a lo que el Esquema Nacional de Interoperabilidad y sus Normas Técnicas de Interoperabilidad son actualmente; y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo de las Administraciones Públicas (véase, por ejemplo, en las Guías de Aplicación de las Normas Técnicas de Interoperabilidad el anexo de Equipo Responsable), así como del ámbito más amplio de la Comunidad, tanto del sector público como del sector privado, que han contribuido a lo largo del tiempo con tantas aportaciones significativas; más quienes se han sumado a su implantación práctica, tarea que les ha ofrecido una oportunidad de protagonismo en sus propias organizaciones.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
El nuevo ENS ante la ciberseguridad que viene. XVI Jornadas STIC CCN-CERT
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de datos y servicios, atracción de la ciberamenaza, a la vez que da lugar a la ampliación de la superficie de exposición a posibles ciberataques. El nuevo ENS resulta de una revisión exhaustiva de los principios, requisitos y medidas de seguridad para responder a las tendencias y necesidades de ciberseguridad en los próximos tiempos tanto de las entidades del sector público como de sus proveedores. En esta intervención se pone el nuevo ENS en el contexto en el que la Unión Europea refuerza los requisitos legales de ciberseguridad, las estructuras de gobernanza, cooperación y comunidad, así como las capacidades operacionales de ciberseguridad junto con los mecanismos de confianza en servicios y productos.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
XXVII Jornadas de Archivos Universitarios. Logroño, 10 de noviembre de 2022. CRUE - CAU Conferencia de Archivos de las Universidades Españolas. Universidad de La Rioja.
La preservación digital de datos y documentos a largo plazo: 5 retos próximos.
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de los datos y los servicios. En particular, la intensificación de la orientación al dato, que ha de convivir con la orientación al documento, lleva aparejada la aparición de nuevas regulaciones, dinámicas de gobernanza y roles, y servicios, junto con las correspondientes políticas, procedimientos y prácticas, estándares e instrumentos para su manejo, su protección en el escenario de la ciberseguridad, a la vez que su preservación a largo plazo.
En esta intervención se exponen cinco retos que se suscitan, entre otros posibles, en relación con la preservación digital de datos y documentos en el contexto de las tendencias en cuanto a la interoperabilidad, la ciberseguridad y la preservación de los datos.
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
La actualización del ENS ha perseguido, en primer lugar, alinear el instrumento con el marco normativo de referencia a la fecha para facilitar la seguridad en la administración digital. En segundo lugar, introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados colectivos de entidades, o de determinados ámbitos tecnológicos, dando respuesta a las nuevas demandas. Y, en tercer lugar, actualizar los principios básicos, los requisitos mínimos y las medidas de seguridad para facilitar la respuesta a las nuevas tendencias y necesidades de ciberseguridad.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
1. “Novedades legislativas.
Evolución del Esquema Nacional de Seguridad”
Madrid, 27 de febrero de 2014
Miguel A. Amutio
Jefe de Área
Dirección General de Modernización Administrativa,
Procedimientos e Impulso de la Administración Electrónica
Ministerio de Hacienda y Administraciones Públicas
1
2. Incremento notable de incidentes
<Fuente: CCN-CERT>
<Fuente: Estrategia de Ciberseguridad Nacional>
2
3. 1. ¿Qué es el Esquema Nacional de
Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
3
4. El Esquema Nacional de Seguridad (I/II)
Responde a principios y derechos relativos a la seguridad
establecidos en la Ley 11/2007.
Se instrumenta en el Real Decreto 3/2010.
Establece la política de seguridad en los servicios de
administración-e, constituida por principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
Es de aplicación a todas las AA.PP.
Entró en vigor el 30 de enero de 2010.
Estableció un mecanismo de adecuación para sistemas existentes
de 48 meses que venció el 30 de enero de 2014.
Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.(FEMP),
ámbito de Justicia (EJIS), CRUE + Opinión Industria TIC.
Adecuado a las condiciones y requisitos de las AA.PP.
4
5. El Esquema Nacional de Seguridad (II/II)
Crea las condiciones necesarias de seguridad, que permita a los
ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos
medios.
Promueve la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
Promueve un tratamiento homogéneo de la seguridad que facilite
la cooperación en la prestación de servicios de administración electrónica cuando participan diversas
entidades.
Proporciona un lenguaje y unos elementos comunes:
– Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la
información.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
Proporciona liderazgo en materia de buenas practicas.
5
6. Disponer de una política de seguridad
Las AA.PP. deberán disponer de una política de
seguridad en base a los principios básicos y aplicando los
requisitos mínimos para una protección adecuada de la información.
Para dar cumplimiento de los requisitos mínimos, se seleccionarán las
medidas de seguridad proporcionadas, atendiendo a:
La categoría del sistema. Básica, Media y Alta, según valoración de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad).
Lo dispuesto en la Ley Orgánica 15/1999, y normativa de
desarrollo.
Las decisiones que se adopten para gestionar los riesgos
identificados.
6
7. Elementos principales del ENS
Los principios básicos, que sirven de guía.
Los requisitos mínimos, de obligado
cumplimiento.
La categorización de los sistemas para la
adopción de medidas de seguridad
proporcionadas.
La auditoría de la seguridad que verifique el
cumplimiento del Esquema Nacional de Seguridad.
La respuesta a incidentes de seguridad.
Papel de CCN- CERT.
El uso de productos certificados. La
certificación, como aspecto a considerar al adquirir los
productos de seguridad. Papel del Organismo de
Certificación (CCN).
La formación y concienciación.
7
8. Para adecuarse al ENS
Elaborar y aprobar formalmente una
política de seguridad (art. 11)
Identificar Responsables y asignar
personas. Responsable de seguridad.
(art. 10)
Realizar la categorización de los sistemas
(art. 27)
Analizar los riesgos (art. 27)
Seleccionar las medidas y elaborar la
declaración de aplicabilidad (anexo II)
Preparar y aprobar un plan de adecuación
/ de mejora (d.t)
Implantar las medidas de seguridad
(anexo II)
Publicitar la conformidad en la sede
electrónica (art. 41)
8
9. Auditar la seguridad
Auditoría periódica para verificar el cumplimiento del ENS.
Categoría MEDIA o ALTA
Categoría BÁSICA: autoevaluación.
Se utilizarán criterios, métodos de trabajo y de conducta generalmente
reconocidos, así como la normalización nacional e internacional aplicables.
Según los siguientes términos:
La política de seguridad define roles y funciones.
Existen procedimientos para resolución de conflictos.
Se aplica el principio de segregación de funciones.
Se ha realizado el análisis de riesgos, con revisión y aprobación anual.
Existe un sistema de gestión de seguridad de la información documentado.
Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las
medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es
9
10. Guías y herramientas
+
Guías CCN-STIC publicadas:
Servicios de respuesta ante incidentes CCN-CERT
800 - Glosario de Términos y Abreviaturas del ENS
Formación STIC: presencial / en-línea
801 - Responsables y Funciones en el ENS
Esquema Nacional de Evaluación y Certificación
802 - Auditoría de la seguridad en el ENS
803 - Valoración de sistemas en el ENS
804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS
807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS
809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT
811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web
813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico
815 - Métricas e Indicadores en el ENS
817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS
821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS
823 – Cloud Computing en el ENS
824 - Informe del Estado de Seguridad
825 – ENS & 27001
MAGERIT v3
En elaboración:
Programas de apoyo:
819 – Contratación en el ENS
Pilar y µPILAR
10
11. ENS y 27001
El ENS es una regulación legal, perteneciente al
ordenamiento jurídico español, de cumplimiento obligatorio para los
S.I. comprendidos en el ámbito de aplicación de la Ley 11/2007, al
servicio de la realización de derechos de los ciudadanos.
El ENS trata la protección de la información y los
servicios; contempla y exige la gestión continuada de la
seguridad.
El ENS añade un sistema de protección proporcionado
a la información y servicios a proteger para racionalizar la
implantación de las medidas.
El ENS contempla aspectos de especial interés para la
protección de información y servicios de administración-e.
La norma 27001 es una norma internacional, de gestión,
de cumplimiento voluntario y certificable. Contiene los requisitos
para la construcción (y ulterior certificación, en su caso) de un
Sistema de Gestión de Seguridad de la Información.
La Guía 825 explica la relación entre el ENS y la 27001.
11
12. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde
estamos?
3. ¿Cuáles son los próximos pasos?
12
13. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Una reflexión sobre
el antes del ENS
y el ahora
1 RD,
servicios…
24
Guías
CCN-STIC,
herramientas,
Pero sobre todo:
Esfuerzo colectivo de todas las AA.PP.
+ Industria sector seguridad TIC
Convencimiento: gestión continuada de la
seguridad con lenguaje y elementos comunes.
13
14. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Adecuación al ENS, ¿dónde estamos?
Venció el plazo de 48 meses para la adecuación al ENS.
El esfuerzo de adecuación al ENS se ha venido realizando
en condiciones que suponen un esfuerzo notable por la
limitación de recursos económicos y humanos en las que se ha de
desenvolver la actividad de las entidades.
14
15. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Seguimiento en las AA.PP.:
Acuerdos de la Comisión Permanente del Consejo Superior de Administración
Electrónica y del Comité de Seguridad de la Información de las AA.PP.
Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y
marzo de 2014.
Participación de carácter voluntario.
Herramienta disponible en el Portal de CCN-CERT.
Cuestionarios recibidos del ENS en las 4 oleadas de 2013:
15
16. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Situación comparativa para una muestra de medidas de seguridad consideradas
particularmente significativas:
Parece que el grado de avance debería ser mayor.
Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.
16
17. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué podemos hacer?
(recomendaciones)
Es esencial que haya:
un plan de adecuación;
un responsable de seguridad nombrado; necesidad de equipo de seguridad.
una categorización de los sistemas;
que se realice el análisis de riesgos.
Recomendaciones:
Abordar aspectos que tienen una componente mayor de gobernanza y documentación:
Proceso de autorización y Arquitectura de seguridad.
Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de
aplicaciones web.
Impulsar
• Configuración de seguridad.
• Gestión de la configuración.
• Mantenimiento y Gestión de cambios.
• Los Registros de uso del sistema y Registro de la actividad de los usuarios.
• Las medidas de monitorización: Detección de intrusión y Sistema de métricas.
• Las actividades de Concienciación y Formación.
17
18. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
18
21. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Captación de feedback
ENS , art. 42: ‘Actualización permanente’
Experiencia obtenida de implantación del
ENS.
Comentarios recibidos por diversas
vías: formales e informales.
Evolución:
de la tecnología y las ciberamenazas
del contexto regulatorio europeo.
21
22. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Evolución del ENS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil para
todos?
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
¿Qué medidas de seguridad deben
mejorarse?
¿Cómo reforzar la capacitación de los
profesionales?
22
23. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
Conviene armonizar el modo común de actuar en
relación con ciertas cuestiones.
Esta armonización se podría hacer mediante la figura de
las ‘Normas Técnicas de Seguridad’.
Se aplicarían los procedimientos consolidados en las
Normas Técnicas de Interoperabilidad.
Las
guías
CCN-STIC
tienen
naturaleza
recomendaciones, por tanto, su efecto es limitado.
de
23
24. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil (art. 35)?
Conviene asentar un mecanismo periódico que permita
recoger información para conocer e informar del estado de
seguridad, en adecuadas condiciones de eficacia y eficiencia.
Son necesarios procedimientos para recogida y consolidación de
información y organismos responsables de su realización.
24
25. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
Conviene consolidar información que los incidentes serios: notificación
de ciertos incidentes. La figura de la notificación de los hechos que tengan un
impacto significativo en la seguridad es una tendencia en proyectos normativos de
la UE.
Para una mejor respuesta a incidentes de seguridad, conviene que
puedan tenerse en cuenta también evidencias necesarias para la
investigación como: registros de auditoría, configuraciones, soportes y otra información
relevante. Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999.
Extender:
Sistemas de Alerta Temprana (SAT).
Herramientas de detección de anomalías (CARMEN).
Gestión de incidentes común (LUCIA).
<Fuente: CCN-CERT>
25
26. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué medidas de seguridad
deben mejorarse y cómo?
3.4 Proceso de autorización [org.4]
4.1.2. Arquitectura de seguridad [op.pl.2]
4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas
4.2.5. Mecanismo de autenticación [op.acc.5]
4.3.8. Registro de la actividad de los usuarios [op.exp.8]
4.6.1. Detección de intrusión [op.mon.1]
4.6.2. Sistema de métricas [op.mon.2]
5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]
5.5.5. Borrado y destrucción [mp.si.5]
5.7.4. Firma electrónica [mp.info.4]
5.7.7. Copias de seguridad [mp.info.9]
<No exhaustivo. Sometido a cambios>
26
27. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacitación de
profesionales?
Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y
auditada por personal cualificado…”
Hay escasez de profesionales con conocimientos avanzados para
hacer frente a las crecientes amenazas.
Es necesario asegurar unos conocimientos y habilidades de
los profesionales, con rigor y profesionalidad.
Mediante una Norma Técnica de Seguridad se regularía el Esquema
de Certificación de Personas, que establecerá el currículo exigible
en relación con los posibles perfiles profesionales y, en su caso, el
reconocimiento de certificaciones internacionales.
Artículo afectado: 15
27
28. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Los próximos partidos
Conocer el estado de situación tras el
vencimiento del plazo de los 48 meses. Siguiente
seguimiento: marzo de 2014.
Poner en marcha de los mecanismos que
permiten conocer e informar regularmente
del estado de la seguridad de las AA.PP.
(Informe del artículo 35)
Evolucionar el ENS, a la luz de la
experiencia, del feedback y de los emergentes en
materia de ciberseguridad.
Continuar el esfuerzo de desarrollo de
instrumentos de apoyo a la adecuación al ENS:
guías y herramientas.
Extender el ENS a todos los sistemas de
información de las AA.PP.
28