SlideShare una empresa de Scribd logo

El nuevo ENS ante la ciberseguridad que viene

Miguel A. Amutio
Miguel A. Amutio

1. El documento describe las principales amenazas cibernéticas que se esperan entre 2022 y 2030, como ransomware, malware, ingeniería social, ataques a los datos y servicios, y desinformación. 2. También analiza el contexto normativo europeo de ciberseguridad y las capacidades que se están reforzando, como la certificación de productos, la protección de la cadena de suministro y la cooperación entre los estados miembros. 3. Finalmente, resume las medidas que España está adoptando para gestionar los riesgos cibernéticos,

1 de 26
Descargar para leer sin conexión
El nuevo ENS ante la ciberseguridad que viene Miguel A. Amutio Gómez Director de Planificación y Coordinación de Ciberseguridad
Cuál es el panorama de amenazas y tendencias 2022 2030 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial
Ciberseguridad, dónde estamos Fuente: Miguel A. Amutio 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad Propuesta Reglamento ciberseguridad instituciones UE Propuesta Reglamento seguridad de la información instituciones UE RD 311/2022 ENS Propuesta de Reglamento sobre Ciber resiliencia Conclusiones del Consejo sobre protección de la cadena de suministro Propuesta Directiva NIS2 2022 2023
Cuál es el contexto europeo Fuente: Miguel A. Amutio (No exhaustivo) Gobernanza Cooperación Comunidad Marco legal Capacidades • Reglamento 910/2014 eIDAS • Reglamento 2016/679 Protección de datos • Reglamento 2019/881 Ciberseguridad • Reglamento 2021/887 Centro Europeo de Competencias en Ciberseguridad • Directiva 2016/1148 NIS • Conclusiones del Consejo sobre la seguridad de la cadena de suministro • Propuestas de Esquemas de Certificación • Propuesta de Directiva NIS2 • Propuesta de Directiva sobre resiliencia de entidades críticas • Propuesta de Reglamento de ciber resiliencia • Propuesta Reglamento ciberseguridad instituciones UE • Propuesta Reglamento seguridad de la información instituciones UE • Cooperación internacional en normas y especificaciones de ciberseguridad • Cooperación con terceros países • Cooperación sobre ciberdelito / ciberdefensa • Grupo de Cooperación NIS • Centro Europeo de Competencias en Ciberseguridad- ECCC • Red de Centros Nacionales de Coordinación • Comunidad de Ciberseguridad • ENISA • CERT-UE (para Instituciones y agencias de la UE) • Redes 5G Toolbox • Seguridad en internet (DNS4EU) • Ejercicios de ciberseguridad • … • Joint Cyber Unit – Cooperación de comunidades de ciberseguridad • Red de CSIRT (Directiva NIS) • Red CyCLONe – para gestión de crisis • … Photo by Sara Kurfeß on Unsplash + Recursos de financiación + Recursos de financiación • Digital Europe Programme: Ciberseguridad • Horizon Europe
Foto de Sara Kurfeß en Unsplash La ciberseguridad que viene…Qué aspectos se refuerzan Y cómo nos estamos preparando
Se refuerzan las medidas para gestión de los riesgos NIS2 Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar) Obligaciones principales para las entidades en su ámbito: Photo by Annie Spratt on Unsplash Gobernanza Notificación de incidentes con impacto significativo Medidas para la gestión de riesgos • Políticas de seguridad • Gestión de incidentes (prevención, detección y respuesta) • Continuidad de las actividades • Seguridad de la cadena de suministro • Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas. Cadena se suministro • Políticas y procedimientos para evaluar la eficacia de las medidas. • Prácticas básicas de ciberhigiene y formación en ciberseguridad. • Políticas y procedimientos relativos a criptografía y de cifrado • Seguridad de recursos humanos, … • Vulnerabilidades específicas de proveedor y prestador servicios. Utilización de esquemas europeos de certificación de la ciberseguridad Intercambio información - Notificación voluntaria
Se refuerzan las obligaciones para los EEMM NIS2 ✓ Registro de entidades esenciales e importantes ✓ Estrategia Nacional de Ciberseguridad – Políticas ✓ Autoridades competentes y puntos de contacto únicos ✓ Marcos nacionales de gestión de crisis de ciberseguridad ✓ Equipos de respuesta a incidentes CSIRT ✓ Divulgación coordinada de vulnerabilidades ✓ Coordinación a escala nacional, UE e Internacional. ✓ Mecanismos de intercambio de información ✓ Mecanismos de supervisión y ejecución Photo by Annie Spratt on Unsplash
Se refuerza la protección de la cadena de suministro Aspectos generales Reforzar la resiliencia y la seguridad generales de las cadenas de suministro de las TIC Relevancia de los instrumentos legislativos Atención no solo a los proveedores primarios, sino también a los subcontratistas Red de Centros Nacionales de Coordinación tenga en cuenta en su programa estratégico la seguridad de la cadena de suministro de las TIC Conclusiones del Consejo sobre la seguridad de la cadena de suministro Medidas Evaluación coordinada de riesgos de cadena de suministro en virtud de NIS2 Medidas para reducir los riesgos de las cadenas de suministro de las TIC críticas Aplicar soluciones sistemáticas, como los principios de confianza cero (mínimo privilegio), la lista de componentes software y otras Adquisición de productos Necesidad de que los procedimientos de adjudicación de contratos públicos tengan en cuenta la importancia de la seguridad de la cadena de suministro de las TIC INVITA a la Comisión a que elabore directrices metodológicas, para Q3 2023, con el fin de alentar a los poderes adjudicadores a prestar atención a las prácticas de ciberseguridad de licitadores y sus subcontratistas
Se promueve la confianza en productos y servicios EUCC - Common Criteria based European candidate Cybersecurity Certification Scheme Persigue la certificación de la ciberseguridad de productos de las tecnologías de la información sobre la base de: ✓ los Criterios Comunes, ✓ la Metodología Común de Evaluación de la Seguridad de Tecnología de la Información ✓ y de las normas correspondientes (ISO/IEC 15408 e ISO/IEC 18045). EUCS - European Union Certification Scheme on Cloud Services – EUCS ✓ Aplicable a todo tipo de servicios en la nube ✓ Definición de un conjunto de requisitos de seguridad ✓ Tres escalones: ‘BAJO’, ‘MEDIO’ y ‘ALTO’ El Reglamento (UE) 2019/881 establece un marco europeo voluntario de certificación de la ciberseguridad para productos, procesos y servicios de TIC. Los esquemas europeos de certificación se establecen mediante acto de ejecución de la Comisión. + Posibles nuevos esquemas europeos de certificación de la ciberseguridad para productos con elementos digitales (Propuesta de reglamento de ciber resiliencia)
Reglamento de ciber resiliencia Aplica a productos con elementos digitales cuyo uso previsto y razonablemente previsible incluya conexión de datos directa o indirecta, lógica o física, a un dispositivo de red. a) normas para la introducción en el mercado de la UE de productos con elementos digitales destinadas a garantizar su ciberseguridad; b) requisitos esenciales para el diseño, desarrollo y fabricación de productos con elementos y obligaciones para operadores económicos en relación la ciberseguridad; c) requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones de los operadores económicos en relación con estos procesos; d) normas relativas a la vigilancia del mercado y del cumplimiento de las reglas y requisitos establecidos – designación autoridades de vigilancia del mercado y autoridades de notificación. Los productos con elementos digitales que pertenezcan a alguna de las categorías enumeradas en el Anexo III se considerarán productos críticos con elementos digitales Se promueve la confianza en productos y servicios
Se impulsan las capacidades de ciberseguridad Estrategia Europea de Ciberseguridad: La Comisión propone crear una red de centros de operaciones de seguridad en toda la UE y apoyar la mejora de los centros existentes y el establecimiento de otros nuevos. Digital Europe Programme - Cybersecurity 22 November 2022
Se promueve la seguridad de la información Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión. 22.3.2022 COM(2022) 119 final Esencialmente, categorías armonizadas de información y normas comunes de tratamiento. • 3 grados de información no clasificada: uso público, normal y sensible no clasificada; • 4 grados de información clasificada de la UE: EU RESTRICTED, EU CONFIDENTIAL, EU SECRET, TRES EU TOP SECRET. + Un sistema de cooperación sencillo en materia de seguridad de la información De interés: 10.1 b) establecer un sistema de metadatos para las marcas y toda la información técnica necesaria para contribuir a un intercambio de información interoperable y sin fisuras entre las instituciones y órganos de la Unión,… 17.1. e) se utilizarán metadatos interoperables para registrar el nivel de confidencialidad de los documentos electrónicos y facilitar la automatización de las medidas de seguridad;…
Foto de Sara Kurfeß en Unsplash La ciberseguridad que viene…Qué aspectos se refuerzan Y cómo nos estamos preparando
Ciberseguridad sector público*, enfoque global Fuente: Miguel A. Amutio Liderazgo: * Y sus proveedores de soluciones y prestadores de servicios Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
Medidas para la gestión de los riesgos Photo by Annie Spratt on Unsplash • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos de seguridad, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (D.a. 3ª) • Adecuación de sistemas (D.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario
✓ Proveedores de soluciones y prestadores de servicios en ámbito de aplicación ✓ Requisitos de conformidad con el ENS en pliegos de prescripciones técnicas ✓ Requisitos extensibles a cadena de suministro ✓ Obligación de disponer de política de seguridad ✓ Disponer de punto o persona de contacto ✓ Condiciones relativas a los productos de seguridad Nuevas medidas ✓ Protección de la cadena de suministro ✓ Protección de los servicios en la nube ✓ Otros dispositivos conectados a la red Refuerzos relativos a la lista de componentes software ✓ [op.pl.5] Componentes certificados – R2 ✓ [op.ext.3] Protección de la cadena de suministro (ALTA) – R3 ✓ [op.exp.1] Inventario de activos – R4 ✓ [mp.sw.1] Desarrollo de aplicaciones – R5 Protección de la cadena de suministro
Artículo 19 …se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición El OC determinará ciertos aspectos… Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Confianza en productos de seguridad
Protección de servicios en la nube [op.nub.1] Requisito [op.nub.1.2] servicios en la nube suministrados por terceros, -> conformes con el ENS o cumplir con guía del CCN: auditoría de pruebas de penetración, transparencia, cifrado y gestión de claves y jurisdicción de los datos. Refuerzo [op.nub.1.r1.1] servicios en la nube suministrados por terceros -> deberán estar certificados bajo una metodología de certificación reconocida por el OC del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. …y protección de servicios en la nube
Adquisición de productos en la práctica… CERTIFICACIÓN DE LA FUNCIONALIDAD DE SEGURIDAD DE LOS PROGRAMAS CONDICIONES GENERALES PARA EXIGIR LAS CERTIFICACIONES DE SEGURIDAD ✓ Que el sistema se encuentre bajo el alcance del ENS ✓ Declaración de Categoría Media o Alta, y de aplicación la medida [op.pl.5] ✓ Que la función de seguridad esté relacionada con el objeto de su adquisición, y la exigencia de certificación sea proporcionada a la categoría y el nivel de seguridad. MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE LOS PROGRAMAS EN INFRAESTRUCTURA LOCAL ✓ El programa está incluido en el Catálogo CPSTIC ✓ El programa está incluido en otro catálogo considerado equivalente por el CCN ✓ El programa tiene certificada la funcionalidad de seguridad, según los criterios y metodologías de evaluación reconocidas por el OC del CCN conforme al artículo 19.2 del ENS ✓ El producto tiene certificada la funcionalidad de seguridad dentro del EUCC o cualquier otro que sea aprobado por la Comisión Europea en virtud del artículo 49 del Reglamento (UE) 2019/881 III.2.3. MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE LOS PROGRAMAS EN LA NUBE ✓ El programa tiene certificada la conformidad con el ENS al nivel y categoría del sistema de información ✓ El programa está incluido en el Catálogo CPSTIC ✓ El programa está incluido en otro catálogo considerado equivalente por el CCN ✓ El programa y la infraestructura de nube estén certificados de manera conjunta dentro del EUCS (European Cybersecurity Certification Scheme for Cloud Services) o cualquier otro que sea aprobado por la Comisión Europea en virtud del artículo 49 del Reglamento (UE) 2019/881. La certificación deberá extenderse al programa y a la infraestructura de nube sobre la que se ejecuta como un todo unitario. 6 lotes, incluyendo Lote 4 – Software de ciberseguridad NORMAS COMUNES A TODOS LOS LOTES:
Despliegue de capacidades de ciberseguridad FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 LaSGADparticiparealizandolavaloracióntécnicadelosproyectospropuestosporlasEELL,conlaevaluacióndelaadecuación alascondicionestécnicasestablecidasenlaconvocatoria. PrimeraconvocatoriadetransformacióndigitaldeEELL 1.000Mill.€inversiónC11.I3 92,77Mill.€yarepartidosen2021 149EELLdemásde50.000habitantes Infraestructuras Digitales Mayorimporte Ciberseguridad Líneaconmayornúmerodeproyectos Másde20Mill.€parala creacióndeCentrosdeOperacionesde Ciberseguridad(COCS) 16 90proyectos 60proyectoscon actuacionescomunes 89,4Mill€ 332PROYECTOS Presentadospor145EELL 96,22%del presupuestototal 391,4Mill.€transformacióndigitalEELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno delDato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS)
Cooperación, gobernanza y comunidad 1. Foro Nacional de Ciberseguridad, previsto en la ENCS2019, constituido en 2020. 2. Participación en el Consejo de Administración del Centro Europeo de Competencias en Ciberseguridad -> apoyar las capacidades, las competencias y los medios tecnológicos de la UE. 3. INCIBE como Centro Nacional de Coordinación en España. Punto de contacto a escala nacional para la comunidad de ciberseguridad. Promover, fomentar y facilitar la participación de la sociedad civil, la industria, la comunidad académica y de investigación y otras partes interesadas en proyectos de ciberseguridad transfronterizos financiados por la UE. Establecer sinergias. …
Cuál es el panorama de amenazas y tendencias 2022 2030 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial
Cuál es el panorama de amenazas y tendencias 2022 MEDIDAS 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro En general: ✓ Aplicación del ENS (Sector Público, proveedores, cadena de suministro) ✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL) ✓ Red Nacional de Centros de Operaciones de Ciberseguridad ✓ Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes Ciertas medidas con especial impacto: ✓ Implantación de protección anti-ransomware (microCLAUDIA) ✓ Implantación de agente de seguridad de punto final EDR ✓ Implantación de segundo factor de autenticación ✓ Actualización y aplicación de parches de seguridad ✓ Vigilancia continua…
Cuál es el panorama de amenazas y tendencias Evolución permanente ¿2030? 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial Evolución permanente Mayor coordinación, complejidad Aprovechamiento de la mayor conectividad y de la superficie de exposición Ampliación a todo tipo de organizaciones y objetos Impacto de la evolución de las tecnologías y de nuevos conceptos Inteligencia Artificial, 5G, Quantum Computing, IoT, Móvil, Cloud, … Mayor demanda de gobernanza, coordinación, cooperación Desarrollo de capacidades conjuntas y de interconexión Requisitos evolutivos y crecientes: adaptación permanente
¿Qué esperamos por vuestra parte? 1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. Photo by Paul Rysz on Unsplash 2. Si trabajáis para el Sector Público (directa o indirectamente), vuestra colaboración para la aplicación del ENS y la gobernanza de la ciberseguridad. 3. Vuestra colaboración en la implantación del COCS (AGE) y, en general, de las capacidades de ciberseguridad e integración en la Red Nacional de Centros de Operaciones de Ciberseguridad.
MUCHAS GRACIAS

Recomendados

Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informatica
Francisco Hernandez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Universidad José María Vargas
 
CHFI
CHFICHFI
CHFI
Desmond Devendran
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Karla Ordoñez
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Mario Ureña
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Metodología de auditoria informática
Metodología de auditoria informáticaMetodología de auditoria informática
Metodología de auditoria informática
Guillermo Garcia
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIM
José Moreno
 

Recomendados

Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informatica
Francisco Hernandez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Universidad José María Vargas
 
CHFI
CHFICHFI
CHFI
Desmond Devendran
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Karla Ordoñez
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Mario Ureña
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Metodología de auditoria informática
Metodología de auditoria informáticaMetodología de auditoria informática
Metodología de auditoria informática
Guillermo Garcia
 
Correlacionador de Eventos OSSIM
Correlacionador de Eventos OSSIMCorrelacionador de Eventos OSSIM
Correlacionador de Eventos OSSIM
José Moreno
 
PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
ControlCase
 
Cloud Forensics
Cloud ForensicsCloud Forensics
Cloud Forensicssdavis532
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)
Network Intelligence India
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & Metrics
Marius FAILLOT DEVARRE
 
Technology Alignment Framework
Technology Alignment FrameworkTechnology Alignment Framework
Technology Alignment Framework
Mark S. Mahre
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
Jerimi Soma
 
Third-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a StrategyThird-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a Strategy
NICSA
 
Information Security Committee Presentation Sample
Information Security Committee Presentation SampleInformation Security Committee Presentation Sample
Information Security Committee Presentation Sample
oaes2006
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
franka99
 
Building Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementBuilding Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementGovernment Technology Exhibition and Conference
 
Fortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptxFortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptx
ArianeSpano
 
The digital economy and cybersecurity
The digital economy and cybersecurityThe digital economy and cybersecurity
The digital economy and cybersecurity
Mark Albala
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
NA Putra
 
What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
Business Beam
 
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Mateo Martinez
 
develop security policy
develop security policydevelop security policy
develop security policy
Info-Tech Research Group
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
Muhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Abdallah Hodieb
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
Miguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
Miguel A. Amutio
 

Más contenido relacionado

La actualidad más candente

PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
ControlCase
 
Cloud Forensics
Cloud ForensicsCloud Forensics
Cloud Forensicssdavis532
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)
Network Intelligence India
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & Metrics
Marius FAILLOT DEVARRE
 
Technology Alignment Framework
Technology Alignment FrameworkTechnology Alignment Framework
Technology Alignment Framework
Mark S. Mahre
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
Jerimi Soma
 
Third-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a StrategyThird-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a Strategy
NICSA
 
Information Security Committee Presentation Sample
Information Security Committee Presentation SampleInformation Security Committee Presentation Sample
Information Security Committee Presentation Sample
oaes2006
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
franka99
 
Fortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptxFortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptx
ArianeSpano
 
The digital economy and cybersecurity
The digital economy and cybersecurityThe digital economy and cybersecurity
The digital economy and cybersecurity
Mark Albala
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
NA Putra
 
What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
Business Beam
 
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Mateo Martinez
 
develop security policy
develop security policydevelop security policy
develop security policy
Info-Tech Research Group
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
Muhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Abdallah Hodieb
 

La actualidad más candente (20)

PCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptxPCI DSS 4.0 Webinar Final.pptx
PCI DSS 4.0 Webinar Final.pptx
 
Cloud Forensics
Cloud ForensicsCloud Forensics
Cloud Forensics
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)Data Leakage Prevention (DLP)
Data Leakage Prevention (DLP)
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & Metrics
 
Technology Alignment Framework
Technology Alignment FrameworkTechnology Alignment Framework
Technology Alignment Framework
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
My Gap analysis results between ISO27001: 2022 and 2013 version as of 2022 fall.
 
Third-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a StrategyThird-Party Risk Management: Implementing a Strategy
Third-Party Risk Management: Implementing a Strategy
 
Information Security Committee Presentation Sample
Information Security Committee Presentation SampleInformation Security Committee Presentation Sample
Information Security Committee Presentation Sample
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
 
Building Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementBuilding Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access Management
 
Fortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptxFortinet Corporate Overview Deck.pptx
Fortinet Corporate Overview Deck.pptx
 
The digital economy and cybersecurity
The digital economy and cybersecurityThe digital economy and cybersecurity
The digital economy and cybersecurity
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
 
What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
 
Segurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoaméricaSegurinfo colombia Estado de ciberseguridad en latinoamérica
Segurinfo colombia Estado de ciberseguridad en latinoamérica
 
develop security policy
develop security policydevelop security policy
develop security policy
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 

Similar a El nuevo ENS ante la ciberseguridad que viene

El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
Miguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
Miguel A. Amutio
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
Miguel A. Amutio
 
Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0
EmilioGarciaGarcia
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
Reuniones Networking TIC
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
Miguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
Miguel A. Amutio
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Miguel A. Amutio
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Miguel A. Amutio
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
AMETIC
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
Miguel A. Amutio
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
Miguel A. Amutio
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
Javier Tallón
 
ISO27032 por Norma.docx
ISO27032 por Norma.docxISO27032 por Norma.docx
ISO27032 por Norma.docx
ErnestoRdg
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Miguel A. Amutio
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
Redit
 

Similar a El nuevo ENS ante la ciberseguridad que viene (20)

El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0Seguridad e Interoperabilidad en la Administración 2.0
Seguridad e Interoperabilidad en la Administración 2.0
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
 
ISO27032 por Norma.docx
ISO27032 por Norma.docxISO27032 por Norma.docx
ISO27032 por Norma.docx
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
 

Más de Miguel A. Amutio

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Miguel A. Amutio
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Miguel A. Amutio
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
Miguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
Miguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
Miguel A. Amutio
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
Miguel A. Amutio
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
Miguel A. Amutio
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Miguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
Miguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
Miguel A. Amutio
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
Miguel A. Amutio
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
Miguel A. Amutio
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in Spain
Miguel A. Amutio
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
Miguel A. Amutio
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digital
Miguel A. Amutio
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA Network
Miguel A. Amutio
 

Más de Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in Spain
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digital
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA Network
 

Último

Febrero Doc - Metodologia y Gestion de proyectos
Febrero Doc - Metodologia y Gestion de proyectosFebrero Doc - Metodologia y Gestion de proyectos
Febrero Doc - Metodologia y Gestion de proyectos
infoenactuscolombia
 
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
Ejército de Tierra
 
obras por impuestos contrataciones con el estado
obras por impuestos contrataciones con el estadoobras por impuestos contrataciones con el estado
obras por impuestos contrataciones con el estado
abelardolima2020
 
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACIONUNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
RusneiryChiquinquira
 
"Guía de inversiones-Paraguay -(tesis)".
"Guía de inversiones-Paraguay -(tesis)"."Guía de inversiones-Paraguay -(tesis)".
"Guía de inversiones-Paraguay -(tesis)".
luzs79785
 
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdfFolleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
claudiasilva082
 
Informe Estudio de Opinión en el municipio de Tonalá.pdf
Informe Estudio de Opinión en el municipio de Tonalá.pdfInforme Estudio de Opinión en el municipio de Tonalá.pdf
Informe Estudio de Opinión en el municipio de Tonalá.pdf
merca6
 
Microcredencial Universitaria en Innovación Local
Microcredencial Universitaria en Innovación LocalMicrocredencial Universitaria en Innovación Local
Microcredencial Universitaria en Innovación Local
Adrián Vicente Paños
 
CCT 807-23 - Acuerdo Salarial Complementario 2024
CCT 807-23 - Acuerdo Salarial Complementario 2024CCT 807-23 - Acuerdo Salarial Complementario 2024
CCT 807-23 - Acuerdo Salarial Complementario 2024
Conam Mutualismo
 
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptxSEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
juanjimenez147030
 
Características del ESTADO URUGUAYO establecidos en la Constitución
Características del ESTADO URUGUAYO establecidos en la ConstituciónCaracterísticas del ESTADO URUGUAYO establecidos en la Constitución
Características del ESTADO URUGUAYO establecidos en la Constitución
Graciela Susana Bengoa
 
Libro secundaria de lo humano y lo comunitario.pdf
Libro secundaria de lo humano y lo comunitario.pdfLibro secundaria de lo humano y lo comunitario.pdf
Libro secundaria de lo humano y lo comunitario.pdf
NADIAIVETTEDEMETRIOO
 
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdfFICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
MiguelCautiCordova
 
Informe de Movilidad / Abril 2024 - Caja de Jubilaciones
Informe de Movilidad / Abril 2024 - Caja de JubilacionesInforme de Movilidad / Abril 2024 - Caja de Jubilaciones
Informe de Movilidad / Abril 2024 - Caja de Jubilaciones
Córdoba, Argentina
 

Último (14)

Febrero Doc - Metodologia y Gestion de proyectos
Febrero Doc - Metodologia y Gestion de proyectosFebrero Doc - Metodologia y Gestion de proyectos
Febrero Doc - Metodologia y Gestion de proyectos
 
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
#DigitalTierra nº 100 "Por Tierra y Aire en Irak"
 
obras por impuestos contrataciones con el estado
obras por impuestos contrataciones con el estadoobras por impuestos contrataciones con el estado
obras por impuestos contrataciones con el estado
 
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACIONUNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
UNIDAD II MOVILIZAION EN LA DEFENSA INTEGRAL DE LA NACION
 
"Guía de inversiones-Paraguay -(tesis)".
"Guía de inversiones-Paraguay -(tesis)"."Guía de inversiones-Paraguay -(tesis)".
"Guía de inversiones-Paraguay -(tesis)".
 
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdfFolleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
Folleto Cómo pedir la Credencial de Discapacidad versión Lectura Fácil.pdf
 
Informe Estudio de Opinión en el municipio de Tonalá.pdf
Informe Estudio de Opinión en el municipio de Tonalá.pdfInforme Estudio de Opinión en el municipio de Tonalá.pdf
Informe Estudio de Opinión en el municipio de Tonalá.pdf
 
Microcredencial Universitaria en Innovación Local
Microcredencial Universitaria en Innovación LocalMicrocredencial Universitaria en Innovación Local
Microcredencial Universitaria en Innovación Local
 
CCT 807-23 - Acuerdo Salarial Complementario 2024
CCT 807-23 - Acuerdo Salarial Complementario 2024CCT 807-23 - Acuerdo Salarial Complementario 2024
CCT 807-23 - Acuerdo Salarial Complementario 2024
 
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptxSEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
SEPTIMA SESION DE CONSEJO TECNICO. MAYO 24..pptx
 
Características del ESTADO URUGUAYO establecidos en la Constitución
Características del ESTADO URUGUAYO establecidos en la ConstituciónCaracterísticas del ESTADO URUGUAYO establecidos en la Constitución
Características del ESTADO URUGUAYO establecidos en la Constitución
 
Libro secundaria de lo humano y lo comunitario.pdf
Libro secundaria de lo humano y lo comunitario.pdfLibro secundaria de lo humano y lo comunitario.pdf
Libro secundaria de lo humano y lo comunitario.pdf
 
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdfFICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
FICHA TÉCNICA POLVORINES SECTOR A Y B_ULTIMO-1.pdf
 
Informe de Movilidad / Abril 2024 - Caja de Jubilaciones
Informe de Movilidad / Abril 2024 - Caja de JubilacionesInforme de Movilidad / Abril 2024 - Caja de Jubilaciones
Informe de Movilidad / Abril 2024 - Caja de Jubilaciones
 

El nuevo ENS ante la ciberseguridad que viene

  • 1. El nuevo ENS ante la ciberseguridad que viene Miguel A. Amutio Gómez Director de Planificación y Coordinación de Ciberseguridad
  • 2. Cuál es el panorama de amenazas y tendencias 2022 2030 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial
  • 3. Ciberseguridad, dónde estamos Fuente: Miguel A. Amutio 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad Propuesta Reglamento ciberseguridad instituciones UE Propuesta Reglamento seguridad de la información instituciones UE RD 311/2022 ENS Propuesta de Reglamento sobre Ciber resiliencia Conclusiones del Consejo sobre protección de la cadena de suministro Propuesta Directiva NIS2 2022 2023
  • 4. Cuál es el contexto europeo Fuente: Miguel A. Amutio (No exhaustivo) Gobernanza Cooperación Comunidad Marco legal Capacidades • Reglamento 910/2014 eIDAS • Reglamento 2016/679 Protección de datos • Reglamento 2019/881 Ciberseguridad • Reglamento 2021/887 Centro Europeo de Competencias en Ciberseguridad • Directiva 2016/1148 NIS • Conclusiones del Consejo sobre la seguridad de la cadena de suministro • Propuestas de Esquemas de Certificación • Propuesta de Directiva NIS2 • Propuesta de Directiva sobre resiliencia de entidades críticas • Propuesta de Reglamento de ciber resiliencia • Propuesta Reglamento ciberseguridad instituciones UE • Propuesta Reglamento seguridad de la información instituciones UE • Cooperación internacional en normas y especificaciones de ciberseguridad • Cooperación con terceros países • Cooperación sobre ciberdelito / ciberdefensa • Grupo de Cooperación NIS • Centro Europeo de Competencias en Ciberseguridad- ECCC • Red de Centros Nacionales de Coordinación • Comunidad de Ciberseguridad • ENISA • CERT-UE (para Instituciones y agencias de la UE) • Redes 5G Toolbox • Seguridad en internet (DNS4EU) • Ejercicios de ciberseguridad • … • Joint Cyber Unit – Cooperación de comunidades de ciberseguridad • Red de CSIRT (Directiva NIS) • Red CyCLONe – para gestión de crisis • … Photo by Sara Kurfeß on Unsplash + Recursos de financiación + Recursos de financiación • Digital Europe Programme: Ciberseguridad • Horizon Europe
  • 5. Foto de Sara Kurfeß en Unsplash La ciberseguridad que viene…Qué aspectos se refuerzan Y cómo nos estamos preparando
  • 6. Se refuerzan las medidas para gestión de los riesgos NIS2 Ámbito de aplicación ampliado: AAPP (AGE, CCAA; EELL a determinar) Obligaciones principales para las entidades en su ámbito: Photo by Annie Spratt on Unsplash Gobernanza Notificación de incidentes con impacto significativo Medidas para la gestión de riesgos • Políticas de seguridad • Gestión de incidentes (prevención, detección y respuesta) • Continuidad de las actividades • Seguridad de la cadena de suministro • Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas. Cadena se suministro • Políticas y procedimientos para evaluar la eficacia de las medidas. • Prácticas básicas de ciberhigiene y formación en ciberseguridad. • Políticas y procedimientos relativos a criptografía y de cifrado • Seguridad de recursos humanos, … • Vulnerabilidades específicas de proveedor y prestador servicios. Utilización de esquemas europeos de certificación de la ciberseguridad Intercambio información - Notificación voluntaria
  • 7. Se refuerzan las obligaciones para los EEMM NIS2 ✓ Registro de entidades esenciales e importantes ✓ Estrategia Nacional de Ciberseguridad – Políticas ✓ Autoridades competentes y puntos de contacto únicos ✓ Marcos nacionales de gestión de crisis de ciberseguridad ✓ Equipos de respuesta a incidentes CSIRT ✓ Divulgación coordinada de vulnerabilidades ✓ Coordinación a escala nacional, UE e Internacional. ✓ Mecanismos de intercambio de información ✓ Mecanismos de supervisión y ejecución Photo by Annie Spratt on Unsplash
  • 8. Se refuerza la protección de la cadena de suministro Aspectos generales Reforzar la resiliencia y la seguridad generales de las cadenas de suministro de las TIC Relevancia de los instrumentos legislativos Atención no solo a los proveedores primarios, sino también a los subcontratistas Red de Centros Nacionales de Coordinación tenga en cuenta en su programa estratégico la seguridad de la cadena de suministro de las TIC Conclusiones del Consejo sobre la seguridad de la cadena de suministro Medidas Evaluación coordinada de riesgos de cadena de suministro en virtud de NIS2 Medidas para reducir los riesgos de las cadenas de suministro de las TIC críticas Aplicar soluciones sistemáticas, como los principios de confianza cero (mínimo privilegio), la lista de componentes software y otras Adquisición de productos Necesidad de que los procedimientos de adjudicación de contratos públicos tengan en cuenta la importancia de la seguridad de la cadena de suministro de las TIC INVITA a la Comisión a que elabore directrices metodológicas, para Q3 2023, con el fin de alentar a los poderes adjudicadores a prestar atención a las prácticas de ciberseguridad de licitadores y sus subcontratistas
  • 9. Se promueve la confianza en productos y servicios EUCC - Common Criteria based European candidate Cybersecurity Certification Scheme Persigue la certificación de la ciberseguridad de productos de las tecnologías de la información sobre la base de: ✓ los Criterios Comunes, ✓ la Metodología Común de Evaluación de la Seguridad de Tecnología de la Información ✓ y de las normas correspondientes (ISO/IEC 15408 e ISO/IEC 18045). EUCS - European Union Certification Scheme on Cloud Services – EUCS ✓ Aplicable a todo tipo de servicios en la nube ✓ Definición de un conjunto de requisitos de seguridad ✓ Tres escalones: ‘BAJO’, ‘MEDIO’ y ‘ALTO’ El Reglamento (UE) 2019/881 establece un marco europeo voluntario de certificación de la ciberseguridad para productos, procesos y servicios de TIC. Los esquemas europeos de certificación se establecen mediante acto de ejecución de la Comisión. + Posibles nuevos esquemas europeos de certificación de la ciberseguridad para productos con elementos digitales (Propuesta de reglamento de ciber resiliencia)
  • 10. Reglamento de ciber resiliencia Aplica a productos con elementos digitales cuyo uso previsto y razonablemente previsible incluya conexión de datos directa o indirecta, lógica o física, a un dispositivo de red. a) normas para la introducción en el mercado de la UE de productos con elementos digitales destinadas a garantizar su ciberseguridad; b) requisitos esenciales para el diseño, desarrollo y fabricación de productos con elementos y obligaciones para operadores económicos en relación la ciberseguridad; c) requisitos esenciales para los procesos de gestión de vulnerabilidades establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones de los operadores económicos en relación con estos procesos; d) normas relativas a la vigilancia del mercado y del cumplimiento de las reglas y requisitos establecidos – designación autoridades de vigilancia del mercado y autoridades de notificación. Los productos con elementos digitales que pertenezcan a alguna de las categorías enumeradas en el Anexo III se considerarán productos críticos con elementos digitales Se promueve la confianza en productos y servicios
  • 11. Se impulsan las capacidades de ciberseguridad Estrategia Europea de Ciberseguridad: La Comisión propone crear una red de centros de operaciones de seguridad en toda la UE y apoyar la mejora de los centros existentes y el establecimiento de otros nuevos. Digital Europe Programme - Cybersecurity 22 November 2022
  • 12. Se promueve la seguridad de la información Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre la seguridad de la información en las instituciones, órganos y organismos de la Unión. 22.3.2022 COM(2022) 119 final Esencialmente, categorías armonizadas de información y normas comunes de tratamiento. • 3 grados de información no clasificada: uso público, normal y sensible no clasificada; • 4 grados de información clasificada de la UE: EU RESTRICTED, EU CONFIDENTIAL, EU SECRET, TRES EU TOP SECRET. + Un sistema de cooperación sencillo en materia de seguridad de la información De interés: 10.1 b) establecer un sistema de metadatos para las marcas y toda la información técnica necesaria para contribuir a un intercambio de información interoperable y sin fisuras entre las instituciones y órganos de la Unión,… 17.1. e) se utilizarán metadatos interoperables para registrar el nivel de confidencialidad de los documentos electrónicos y facilitar la automatización de las medidas de seguridad;…
  • 13. Foto de Sara Kurfeß en Unsplash La ciberseguridad que viene…Qué aspectos se refuerzan Y cómo nos estamos preparando
  • 14. Ciberseguridad sector público*, enfoque global Fuente: Miguel A. Amutio Liderazgo: * Y sus proveedores de soluciones y prestadores de servicios Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
  • 15. Medidas para la gestión de los riesgos Photo by Annie Spratt on Unsplash • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos de seguridad, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (D.a. 3ª) • Adecuación de sistemas (D.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario
  • 16. ✓ Proveedores de soluciones y prestadores de servicios en ámbito de aplicación ✓ Requisitos de conformidad con el ENS en pliegos de prescripciones técnicas ✓ Requisitos extensibles a cadena de suministro ✓ Obligación de disponer de política de seguridad ✓ Disponer de punto o persona de contacto ✓ Condiciones relativas a los productos de seguridad Nuevas medidas ✓ Protección de la cadena de suministro ✓ Protección de los servicios en la nube ✓ Otros dispositivos conectados a la red Refuerzos relativos a la lista de componentes software ✓ [op.pl.5] Componentes certificados – R2 ✓ [op.ext.3] Protección de la cadena de suministro (ALTA) – R3 ✓ [op.exp.1] Inventario de activos – R4 ✓ [mp.sw.1] Desarrollo de aplicaciones – R5 Protección de la cadena de suministro
  • 17. Artículo 19 …se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición El OC determinará ciertos aspectos… Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Confianza en productos de seguridad
  • 18. Protección de servicios en la nube [op.nub.1] Requisito [op.nub.1.2] servicios en la nube suministrados por terceros, -> conformes con el ENS o cumplir con guía del CCN: auditoría de pruebas de penetración, transparencia, cifrado y gestión de claves y jurisdicción de los datos. Refuerzo [op.nub.1.r1.1] servicios en la nube suministrados por terceros -> deberán estar certificados bajo una metodología de certificación reconocida por el OC del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. …y protección de servicios en la nube
  • 19. Adquisición de productos en la práctica… CERTIFICACIÓN DE LA FUNCIONALIDAD DE SEGURIDAD DE LOS PROGRAMAS CONDICIONES GENERALES PARA EXIGIR LAS CERTIFICACIONES DE SEGURIDAD ✓ Que el sistema se encuentre bajo el alcance del ENS ✓ Declaración de Categoría Media o Alta, y de aplicación la medida [op.pl.5] ✓ Que la función de seguridad esté relacionada con el objeto de su adquisición, y la exigencia de certificación sea proporcionada a la categoría y el nivel de seguridad. MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE LOS PROGRAMAS EN INFRAESTRUCTURA LOCAL ✓ El programa está incluido en el Catálogo CPSTIC ✓ El programa está incluido en otro catálogo considerado equivalente por el CCN ✓ El programa tiene certificada la funcionalidad de seguridad, según los criterios y metodologías de evaluación reconocidas por el OC del CCN conforme al artículo 19.2 del ENS ✓ El producto tiene certificada la funcionalidad de seguridad dentro del EUCC o cualquier otro que sea aprobado por la Comisión Europea en virtud del artículo 49 del Reglamento (UE) 2019/881 III.2.3. MEDIOS ADMISIBLES PARA ACREDITAR LA SEGURIDAD DE LOS PROGRAMAS EN LA NUBE ✓ El programa tiene certificada la conformidad con el ENS al nivel y categoría del sistema de información ✓ El programa está incluido en el Catálogo CPSTIC ✓ El programa está incluido en otro catálogo considerado equivalente por el CCN ✓ El programa y la infraestructura de nube estén certificados de manera conjunta dentro del EUCS (European Cybersecurity Certification Scheme for Cloud Services) o cualquier otro que sea aprobado por la Comisión Europea en virtud del artículo 49 del Reglamento (UE) 2019/881. La certificación deberá extenderse al programa y a la infraestructura de nube sobre la que se ejecuta como un todo unitario. 6 lotes, incluyendo Lote 4 – Software de ciberseguridad NORMAS COMUNES A TODOS LOS LOTES:
  • 20. Despliegue de capacidades de ciberseguridad FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 LaSGADparticiparealizandolavaloracióntécnicadelosproyectospropuestosporlasEELL,conlaevaluacióndelaadecuación alascondicionestécnicasestablecidasenlaconvocatoria. PrimeraconvocatoriadetransformacióndigitaldeEELL 1.000Mill.€inversiónC11.I3 92,77Mill.€yarepartidosen2021 149EELLdemásde50.000habitantes Infraestructuras Digitales Mayorimporte Ciberseguridad Líneaconmayornúmerodeproyectos Másde20Mill.€parala creacióndeCentrosdeOperacionesde Ciberseguridad(COCS) 16 90proyectos 60proyectoscon actuacionescomunes 89,4Mill€ 332PROYECTOS Presentadospor145EELL 96,22%del presupuestototal 391,4Mill.€transformacióndigitalEELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno delDato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS)
  • 21. Cooperación, gobernanza y comunidad 1. Foro Nacional de Ciberseguridad, previsto en la ENCS2019, constituido en 2020. 2. Participación en el Consejo de Administración del Centro Europeo de Competencias en Ciberseguridad -> apoyar las capacidades, las competencias y los medios tecnológicos de la UE. 3. INCIBE como Centro Nacional de Coordinación en España. Punto de contacto a escala nacional para la comunidad de ciberseguridad. Promover, fomentar y facilitar la participación de la sociedad civil, la industria, la comunidad académica y de investigación y otras partes interesadas en proyectos de ciberseguridad transfronterizos financiados por la UE. Establecer sinergias. …
  • 22. Cuál es el panorama de amenazas y tendencias 2022 2030 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial
  • 23. Cuál es el panorama de amenazas y tendencias 2022 MEDIDAS 1. Ransomware 2. Malware 3. Amenazas de ingeniería social 4. Amenazas a los datos 5. Amenazas contra la disponibilidad de los servicios 6. Amenazas contra la disponibilidad de internet 7. Desinformación 8. Ataques contra la cadena de suministro En general: ✓ Aplicación del ENS (Sector Público, proveedores, cadena de suministro) ✓ Despliegue de capacidades de ciberseguridad (AGE, CCAA, EELL) ✓ Red Nacional de Centros de Operaciones de Ciberseguridad ✓ Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes Ciertas medidas con especial impacto: ✓ Implantación de protección anti-ransomware (microCLAUDIA) ✓ Implantación de agente de seguridad de punto final EDR ✓ Implantación de segundo factor de autenticación ✓ Actualización y aplicación de parches de seguridad ✓ Vigilancia continua…
  • 24. Cuál es el panorama de amenazas y tendencias Evolución permanente ¿2030? 1. Compromiso de la cadena de suministro de dependencias de software 2. Campañas avanzadas de desinformación 3. Aumento del autoritarismo de la vigilancia digital / pérdida de privacidad 4. Error humano y sistemas heredados explotados dentro de ecosistemas ciberfísicos 5. Ataques dirigidos mejorados por datos de dispositivos inteligentes 6. Falta de análisis y control de la infraestructura y los objetos basados en el espacio 7. Aumento de las amenazas híbridas avanzadas 8. Escasez de habilidades 9. Los proveedores transfronterizos de servicios de TIC como punto único de fallo 10. Abuso de inteligencia artificial Evolución permanente Mayor coordinación, complejidad Aprovechamiento de la mayor conectividad y de la superficie de exposición Ampliación a todo tipo de organizaciones y objetos Impacto de la evolución de las tecnologías y de nuevos conceptos Inteligencia Artificial, 5G, Quantum Computing, IoT, Móvil, Cloud, … Mayor demanda de gobernanza, coordinación, cooperación Desarrollo de capacidades conjuntas y de interconexión Requisitos evolutivos y crecientes: adaptación permanente
  • 25. ¿Qué esperamos por vuestra parte? 1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. Photo by Paul Rysz on Unsplash 2. Si trabajáis para el Sector Público (directa o indirectamente), vuestra colaboración para la aplicación del ENS y la gobernanza de la ciberseguridad. 3. Vuestra colaboración en la implantación del COCS (AGE) y, en general, de las capacidades de ciberseguridad e integración en la Red Nacional de Centros de Operaciones de Ciberseguridad.