Socinfo. Ciberseguridad en el Sector Público (14). Esquema Nacional de Seguridad. Estado de situación y recomendaciones

1. Esquema Nacional de
Seguridad.
Estado de situación y
recomendaciones
19 febrero de 2019
Miguel A. Amutio Gómez
Director de la División de Planificación y
Coordinación de Ciberseguridad
Secretaría General de
Administración Digital
Ciberseguridad en el
Sector Público (14)
SECRETARÍA DE
ESTADO DE FUNCIÓN
PÚBLICA

3. 3 Pilares
Ciberseguridad
Consejo Nacional de
Ciberseguridad
Administración Digital
Órganos de
Gobernanza y
cooperación en la AGE
y con las demás
AA.PP.
Centro de Operaciones de
Ciberseguridad de la AGE
RD-L 12/2018 TÍTULO
III Marco estratégico e
institucional

4. Ley 39/2015
13. Derechos de las personas
h) A la protección de datos de
carácter personal, y en particular a
la seguridad y confidencialidad
de los datos que figuren en los
ficheros, sistemas y aplicaciones
de las Administraciones Públicas.

5. Ley 40/2015
La seguridad, principio de actuación
Artículo 3. Principios generales
2. Las Administraciones Públicas se relacionarán entre sí y con sus órganos,
organismos públicos y entidades vinculados o dependientes a través de
medios electrónicos, que aseguren la interoperabilidad y
seguridad de los sistemas y soluciones adoptadas por cada una de ellas,
garantizarán la protección de los datos de carácter personal, y facilitarán
preferentemente la prestación conjunta de servicios a los interesados.
Artículo 156. Esquema Nacional de Interoperabilidad y
Esquema Nacional de Seguridad
2. El Esquema Nacional de Seguridad tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito
de la presente Ley, y está constituido por los principios básicos y
requisitos mínimos que garanticen adecuadamente la seguridad de la
información tratada.

6. El Esquema Nacional de Seguridad

7. Instrucciones técnicas de seguridad

8. Ley 40/2015, Ámbito de aplicación

9. Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.
1. El Esquema Nacional de Seguridad incluirá las medidas que deban
implantarse en caso de tratamiento de datos personales, para evitar su
pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del
riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento
(UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica
deberán aplicar a los tratamientos de datos personales las medidas de
seguridad que correspondan de las previstas en el Esquema Nacional
de Seguridad, así como impulsar un grado de implementación de medidas
equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al
Derecho privado.
En los casos en los que un tercero preste un servicio en régimen de concesión,
encomienda de gestión o contrato, las medidas de seguridad se
corresponderán con las de la Administración pública de origen y se
ajustarán al Esquema Nacional de Seguridad.
Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los
derechos digitales

10. 3 Pilares
Ciberseguridad
Consejo Nacional de
Ciberseguridad
Administración Digital
Órganos de
Gobernanza y
cooperación en la AGE
y con las demás
AA.PP.
Centro de Operaciones de
Ciberseguridad de la AGE
RD-L 12/2018 TÍTULO
III Marco estratégico e
institucional

12. Centro de Operaciones de Ciberseguridad
de la AGE y sus OO.PP.
Acuerdo del Consejo de Ministros del viernes 15 de febrero
Servicio de seguridad gestionada compartido para proteger la seguridad
perimetral de la AGE y sus OO.PP. frente a ciberamenazas externas,
dotándolos de una infraestructura global y única
Finalidad
Prestación de servicios horizontales de ciberseguridad que :
 aumenten la capacidad de vigilancia y detección de amenazas e
incidentes en la operación diaria de los sistemas de información y
comunicaciones de la AGE y sus OO.PP.
 mejoren la capacidad de reacción y respuesta ante cualquier ataque.
Responsabilidad
La Secretaría General de Administración Digital asumirá la dirección
estratégica del Centro de Operaciones de Ciberseguridad, y el Centro
Criptológico Nacional (CCN-CERT) realizará la operación del servicio.

13. Centro de Operaciones de Ciberseguridad de la
AGE y sus OO.PP. - Servicios
 Servicio de Alerta Temprana (SAT) de
alertas de seguridad en las conexiones a
Internet, a redes interadministrativas comunes
y, bajo petición, a redes corporativas de las
entidades.
 Detección, respuesta coordinada y
soporte a la resolución de incidentes de
seguridad.
 Soporte a la investigación de ciberataques
y ciberamenazas.
 Operación, monitorización y
actualización de dispositivos de defensa
perimetrales.
 Análisis de vulnerabilidades de
aplicaciones y servicios.
 Servicios anti-abuso de identidad digital.

15. Retos y conclusiones
 La transformación digital y, en particular, la plena aplicación de las
leyes 39/2015 y 40/2015 requiere la protección de la
información y los servicios.
 El ENS, de aplicación al Sector Público, proporciona un
planteamiento común para la protección de la información y los
servicios, y requiere: marco legal + cooperación + servicios
 Es necesaria la implicación de todos: Personas, procesos y
tecnología. Y la corresponsabilidad.
 El uso de servicios comunes y plataformas ofrecidos por la
Administración contribuye a la seguridad en condiciones de mejor
eficacia y eficiencia.
 Retos (no exhaustivo):
 Desarrollo normativo: mandato LO 3/2018, Instrucciones Técnicas
de Seguridad.
 Puesta en marcha del Centro de Operaciones de Ciberseguridad
de la AGE

16. Guías y herramientas

17. Más información
 Correos electrónicos
– ens@ccn-cert.cni.es
– ines@ccn-cert.cni.es
– ens.minhap@correo.gob.es
– ccn@cni.es
– sondas@ccn-cert.cni.es
– redsara@ccn-cert.cni.es
– organismo.certificacion@cni.es
 Páginas Web:
– http://administracionelectronica.gob.es
– www.ccn-cert.cni.es
– www.ccn.cni.es
– www.oc.ccn.cni.es

18. Muchas
gracias
Ciberseguridad en el
Sector Público (14)
SECRETARÍA DE
ESTADO DE FUNCIÓN
PÚBLICA