Este documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad en España. Se explica que se está revisando el Esquema a la luz de la experiencia adquirida y los cambios tecnológicos y regulatorios. Algunas de las actualizaciones incluyen enfatizar la gestión continua de la seguridad, introducir medidas compensatorias y mejorar los mecanismos para conocer el estado de la seguridad. También se introducen instrucciones técnicas de seguridad y se refuerza la capacidad de respuesta
Auditoría y certificación de conformidad con el ENSMiguel A. Amutio
Seguridad IT (10): Informe del estado de la seguridad,
Auditoría y certificación de conformidad con el ENS.
Auditoría y certificación de conformidad con el ENS
Contexto del ENS
Conformidad con el ENS
¿Por qué?
¿A quién le interesa participar?
¿Cuáles son las pautas?
¿Cuáles son los requisitos?
Conclusiones
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Miguel A. Amutio
Presentación en las IX Jornadas STIC CCN-CERT sobre actuaciones de la DTIC (Dirección de Tecnologías de la Información y las Comunicaciones), actualización del ENS y cumplimiento con el ENS.
Auditoría y certificación de conformidad con el ENSMiguel A. Amutio
Seguridad IT (10): Informe del estado de la seguridad,
Auditoría y certificación de conformidad con el ENS.
Auditoría y certificación de conformidad con el ENS
Contexto del ENS
Conformidad con el ENS
¿Por qué?
¿A quién le interesa participar?
¿Cuáles son las pautas?
¿Cuáles son los requisitos?
Conclusiones
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Miguel A. Amutio
Presentación en las IX Jornadas STIC CCN-CERT sobre actuaciones de la DTIC (Dirección de Tecnologías de la Información y las Comunicaciones), actualización del ENS y cumplimiento con el ENS.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
Ponencia de Miguel Ángel Amutio, subdirector adjunto de la Subdirección General de Programa, Estudios e Impulso de la Administración Electrónica del Ministerio de Hacienda y AAPP, en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Miguel A. Amutio
Para abordar el tema de la seguridad en la Administración
habría que comenzar preguntándose qué tenemos ahora
que antes no teníamos y qué sabemos ahora y que antes no
sabíamos. En primer lugar, el Esquema Nacional de Seguridad
(ENS) nos proporciona un planteamiento común de principios,
requisitos y medidas de seguridad para la protección de la información y de los servicios de la Administración, actualizado
recientemente a la luz de la experiencia adquirida y del entorno regulatorio comunitario, imprescindible en un escenario de transformación digital, acompañado de la serie 800 de guías CCN-STIC y de la colección de servicios de detección, análisis, auditoría e intercambio que proporciona
CCN-CERT. Acompaña la realización de lo previsto por las leyes 39/2015 y 40/2015 en cuanto a la seguridad se refiere.
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
Política para la gestión de los documentos electrónicos. La experiencia de E...Miguel A. Amutio
Política para la gestión de los documentos electrónicos.
La experiencia de España.
Red de Archivos Diplomáticos Iberoamericanos.
Contenidos:
1. Documento electrónico y transformación digital
2. Qué venimos haciendo
3. Dónde estamos
4. Qué hacer, 5 acciones claves
5. Retos y conclusiones
El Esquema Nacional de Seguridad, 5 retos próximos.Miguel A. Amutio
Boletic. Revista de la Asociación Profesional de los Cuerpos Superiores de Tecnologías de la Información de la Administración. Monográfico "Ciberseguridad ¿juegos de guerra?
El Esquema Nacional de Seguridad, 5 retos próximos.
Transcurridos cinco años desde la publicación del Esquema Nacional de Seguridad (ENS) en enero de 2010, se plantean retos en cuanto a conocer e informar acerca del estado de la seguridad de las administraciones públicas; asegurar la plena implantación
del Esquema; implantar servicios comunes que favorezcan la seguridad del conjunto y
reduzcan el esfuerzo individual; actualizar el ENS a la luz de la experiencia y de la evolución del contexto tecnológico y regulatorio en la Unión Europea; y, finalmente,
publicar la conformidad como manifestación expresa de cumplimiento con el ENS.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
Ponencia de Miguel Ángel Amutio, subdirector adjunto de la Subdirección General de Programa, Estudios e Impulso de la Administración Electrónica del Ministerio de Hacienda y AAPP, en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Miguel A. Amutio
Para abordar el tema de la seguridad en la Administración
habría que comenzar preguntándose qué tenemos ahora
que antes no teníamos y qué sabemos ahora y que antes no
sabíamos. En primer lugar, el Esquema Nacional de Seguridad
(ENS) nos proporciona un planteamiento común de principios,
requisitos y medidas de seguridad para la protección de la información y de los servicios de la Administración, actualizado
recientemente a la luz de la experiencia adquirida y del entorno regulatorio comunitario, imprescindible en un escenario de transformación digital, acompañado de la serie 800 de guías CCN-STIC y de la colección de servicios de detección, análisis, auditoría e intercambio que proporciona
CCN-CERT. Acompaña la realización de lo previsto por las leyes 39/2015 y 40/2015 en cuanto a la seguridad se refiere.
El próximo 25 de mayo 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo y derogando la Ley Orgánica 15/99 de Protección de Datos (LOPD).
Este Reglamento (UE) de gran calado y relevancia permitirá a los ciudadanos tener un mayor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital. Todas las empresas han de nombrar a un Responsable de Protección de Datos.
Escura, presta el servicio de implementación del nuevo Reglamento General de Protección de Datos adaptado a las necesidades requeridas por la Ley, ley de obligado cumplimiento.
Política para la gestión de los documentos electrónicos. La experiencia de E...Miguel A. Amutio
Política para la gestión de los documentos electrónicos.
La experiencia de España.
Red de Archivos Diplomáticos Iberoamericanos.
Contenidos:
1. Documento electrónico y transformación digital
2. Qué venimos haciendo
3. Dónde estamos
4. Qué hacer, 5 acciones claves
5. Retos y conclusiones
El Esquema Nacional de Seguridad, 5 retos próximos.Miguel A. Amutio
Boletic. Revista de la Asociación Profesional de los Cuerpos Superiores de Tecnologías de la Información de la Administración. Monográfico "Ciberseguridad ¿juegos de guerra?
El Esquema Nacional de Seguridad, 5 retos próximos.
Transcurridos cinco años desde la publicación del Esquema Nacional de Seguridad (ENS) en enero de 2010, se plantean retos en cuanto a conocer e informar acerca del estado de la seguridad de las administraciones públicas; asegurar la plena implantación
del Esquema; implantar servicios comunes que favorezcan la seguridad del conjunto y
reduzcan el esfuerzo individual; actualizar el ENS a la luz de la experiencia y de la evolución del contexto tecnológico y regulatorio en la Unión Europea; y, finalmente,
publicar la conformidad como manifestación expresa de cumplimiento con el ENS.
http://tinyurl.com/OleoP
Extraordinarias diapositivas de cuadros hechos con pintura al oleo
Aprende como hacerlo
También puedes visitar a:
http://peternegocioexitoso.blogspot.com.ar/
Beratungsnavi.de - Idee und ProjektvorstellungEDURUHR
Das Beratungsnavi hilft Ratsuchenden bei der Suche nach passenden Beratungs-, Informations- und Orientierungsangeboten zu Bildungsthemen und bietet den Akteuren, wie Lehrer oder Bildungsberater, eine Austausch- und Vernetzungsplattform.
Weitere Informationen unter www.beratungsnavi.de oder per Mail an: info@beratungsnavi.de
Para que la comunicación entre ciudadanos y Administraciones Públicas a través de medios electrónicos sea efectiva, es necesario que se proteja la información y que los sistemas de información presten sus servicios sin interrupciones ni modificaciones y accesos no autorizados. Con esta finalidad se ha desarrollado el Esquema Nacional de Seguridad, el cual propone unos principios básicos y unoss requisitos mínimos que se alcanzan aplicacndo a los sistemas de información un conjunto de medidas de seguridad
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
Revista SIC. Nº 150. Junio 2022. Coautores Miguel A. Amutio y Pablo López.
La reciente aprobación del nuevo Esquema Nacional de Seguridad ha sentado las bases para afrontar con un nuevo marco regulatorio firme la transformación digital del sector público y sus proveedores del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
Resultado de un desayuno de trabajo celebrado hace unos meses, invitados por OSPI, con los asistentes que, de manera discreta, se reflejan en el documento adjunto.
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
En esta introducción explico el papel que se vislumbró en su momento para la interoperabilidad en la administración electrónica/digital; los antecedentes; el contexto europeo; la elaboración del Esquema Nacional de Interoperabilidad, de sus Normas Técnicas de Interoperabilidad, junto con el Esquema de Metadatos para la Gestión del Documento Electrónico y la extensa colección de guías aplicación y documentos de soporte interpretativo; la interacción bidireccional en la redacción del ENI y del Marco Europeo de Interoperabilidad; las referencias cruzadas con el Esquema Nacional de Seguridad (ENS); el apunte hacia el futuro; el método aplicado para la elaboración del ENI y de sus Normas Técnicas de Interoperabilidad, a menudo abriendo camino, sin referencias o modelos orientativos, partiendo de un folio en blanco, acotando alcances para poder avanzar, a la vez que siendo conscientes de los retos por delante; y la referencia al esfuerzo colectivo, multidisciplinar, sostenido en el tiempo, así como a las personas que han contribuido especialmente a lo que el Esquema Nacional de Interoperabilidad y sus Normas Técnicas de Interoperabilidad son actualmente; y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo de las Administraciones Públicas (véase, por ejemplo, en las Guías de Aplicación de las Normas Técnicas de Interoperabilidad el anexo de Equipo Responsable), así como del ámbito más amplio de la Comunidad, tanto del sector público como del sector privado, que han contribuido a lo largo del tiempo con tantas aportaciones significativas; más quienes se han sumado a su implantación práctica, tarea que les ha ofrecido una oportunidad de protagonismo en sus propias organizaciones.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
El nuevo ENS ante la ciberseguridad que viene. XVI Jornadas STIC CCN-CERT
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de datos y servicios, atracción de la ciberamenaza, a la vez que da lugar a la ampliación de la superficie de exposición a posibles ciberataques. El nuevo ENS resulta de una revisión exhaustiva de los principios, requisitos y medidas de seguridad para responder a las tendencias y necesidades de ciberseguridad en los próximos tiempos tanto de las entidades del sector público como de sus proveedores. En esta intervención se pone el nuevo ENS en el contexto en el que la Unión Europea refuerza los requisitos legales de ciberseguridad, las estructuras de gobernanza, cooperación y comunidad, así como las capacidades operacionales de ciberseguridad junto con los mecanismos de confianza en servicios y productos.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
XXVII Jornadas de Archivos Universitarios. Logroño, 10 de noviembre de 2022. CRUE - CAU Conferencia de Archivos de las Universidades Españolas. Universidad de La Rioja.
La preservación digital de datos y documentos a largo plazo: 5 retos próximos.
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de los datos y los servicios. En particular, la intensificación de la orientación al dato, que ha de convivir con la orientación al documento, lleva aparejada la aparición de nuevas regulaciones, dinámicas de gobernanza y roles, y servicios, junto con las correspondientes políticas, procedimientos y prácticas, estándares e instrumentos para su manejo, su protección en el escenario de la ciberseguridad, a la vez que su preservación a largo plazo.
En esta intervención se exponen cinco retos que se suscitan, entre otros posibles, en relación con la preservación digital de datos y documentos en el contexto de las tendencias en cuanto a la interoperabilidad, la ciberseguridad y la preservación de los datos.
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
La actualización del ENS ha perseguido, en primer lugar, alinear el instrumento con el marco normativo de referencia a la fecha para facilitar la seguridad en la administración digital. En segundo lugar, introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados colectivos de entidades, o de determinados ámbitos tecnológicos, dando respuesta a las nuevas demandas. Y, en tercer lugar, actualizar los principios básicos, los requisitos mínimos y las medidas de seguridad para facilitar la respuesta a las nuevas tendencias y necesidades de ciberseguridad.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
1. Novedades en el Esquema Nacional de
Seguridad
Madrid, 9 de abril de 2015
Miguel A. Amutio Gómez
Subdirector Adjunto de Coordinación de Unidades TIC
Dirección de Tecnologías de la Información y las Comunicaciones
2. Contenidos
1. El Esquema Nacional de
Seguridad (ENS)
2. Estado de situación, ¿dónde
estamos?
3. Actualización del ENS
4. Conclusiones
4. Por qué es necesaria la seguridad de información y servicios
Los ciudadanos esperan que los servicios
se presten en condiciones de confianza y
seguridad equivalentes a las que encuentran cuando se
acercan personalmente a las oficinas de la Administración.
Buena parte de la información y los servicios
manejados por las AA.PP. constituyen activos
nacionales estratégicos.
Los servicios se prestan en un escenario
complejo que requiere cooperación.
La información y los servicios están
sometidos a riesgos provenientes de acciones
malintencionadas o ilícitas, errores o fallos y accidentes o
desastres.
Los servicios 24 x 7 -> requieren
seguridad 24 x 7.
5. OCDE
Directrices de seguridad de la información y de las redes: ... Evaluación del riesgo, Diseño
y realización de la seguridad, Gestión de la seguridad, Reevaluación.
Implementation Plan for the OECD Guidelines: “Government should develop policies that reflect
best practices in security management and risk assessment...to create a coherent system of security.”
UNIÓN EUROPEA
Agenda Digital para Europa.
Estrategia de ciberseguridad de la Unión Europea.
Reglamento de identidad electrónica y servicios de confianza (eIDAS)
Otros proyectos legislativos comunitarios en curso: de Directiva NIS, de
Reglamento de protección de datos de carácter personal.
ENISA
Identificación de buenas prácticas y tendencias tecnológicas y emergentes: cloud
computing, protección de datos de carácter personal y privacidad, criptografía, gestión de
riesgos, respuesta ante incidentes, ...
NORMALIZACIÓN nacional e internacional en seguridad de TI.
ACTUACIONES EN OTROS PAÍSES:
EE.UU.: Federal Information Security Management Act (FISMA).
Otros: Reino Unido, Alemania, Francia
Estrategias nacionales de ciberseguridad
Contexto y referentes
Agenda Digital para Europa
6. La seguridad en el marco legal
de la Administración Electrónica
La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce
el derecho de los ciudadanos a relacionarse a través de
medios electrónicos con las AA.PP.
Este reconocimiento implica la obligación de las AA.PP. de promoción de
las condiciones de confianza y seguridad mediante la aplicación segura
de las tecnologías.
Diversos principios de la Ley 11/2007 se refieren a la seguridad:
El principio de derecho a la protección de los datos de carácter personal.
El principio de seguridad en la implantación y utilización de los medios electrónicos.
El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias
de los trámites y actuaciones.
La seguridad figura también entre los derechos de los ciudadanos:
Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y
aplicaciones de las AA.PP.
La Ley 11/2007 crea el Esquema Nacional de Seguridad.
7. El Esquema Nacional de Seguridad
Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo
previsto sobre seguridad en la Ley 11/2007.
Establece la política de seguridad en los servicios de administración-e.
Está constituida por principios básicos y requisitos mínimos que permitan una protección
adecuada de la información.
Es de aplicación a todas las AA.PP.
Están excluidos los sistemas que manejan la información clasificada.
Establece un mecanismo de adecuación escalonado (fecha límite
30.01.2014).
Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
8. Objetivos del ENS
Crear las condiciones necesarias de confianza en el uso de los medios
electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las
AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Promover la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
Promover un tratamiento homogéneo de la seguridad que facilite
la cooperación en la prestación de servicios de administración electrónica cuando participan diversas
entidades.
Proporcionar lenguaje y elementos comunes:
– Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la
información.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
Proporcionar liderazgo en materia de buenas practicas.
9. 7 elementos principales
Los Principios básicos, que sirven de guía.
Los Requisitos mínimos, de obligado
cumplimiento.
La Categorización de los sistemas para la
adopción de medidas de seguridad
proporcionadas.
La auditoría de la seguridad que verifique el
cumplimiento del ENS.
La respuesta a incidentes de seguridad.
Papel de CCN- CERT.
El uso de productos certificados. La
certificación, a considerar al adquirir los productos
de seguridad. Papel del Organismo de
Certificación (OC-CCN).
La formación y concienciación.
10. Las AA.PP. deberán disponer de una política de
seguridad en base a los principios básicos y aplicando los
requisitos mínimos para una protección adecuada de la información.
Para dar cumplimiento de los requisitos mínimos, se
seleccionarán las medidas de seguridad proporcionadas, atendiendo a:
Los activos que constituyen el sistema.
La categoría del sistema. Básica, Media y Alta, según valoración de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad).
Lo dispuesto en la Ley Orgánica 15/1999, y normativa de
desarrollo.
Las decisiones que se adopten para gestionar los riesgos
identificados.
Política de seguridad y cumplimiento de
requisitos mínimos
11. Adecuarse al ENS: 8 acciones principales
Aspectos principales de la adecuación:
Elaborar y aprobar la política de
seguridad (art. 11)
Definir roles y asignar personas.
Responsable de seguridad. (art. 10)
Categorizar los sistemas (art. 27)
Analizar los riesgos está actualizado
(art. 27)
Seleccionar e implantar las medidas de
seguridad. Preparar la declaración de
aplicabilidad (Anexo II)
Auditar la seguridad (art. 34)
Publicar la conformidad en la sede
electrónica (art. 41)
Informar del estado de la seguridad
(art. 35)
13. Evaluar el estado de la seguridad de los SI
El ENS exige evaluar regularmente el estado de seguridad:
También, la medición de la seguridad:
Anexo II – Medidas de seguridad - 4 Marco operacional [op] - 4.6 Monitorización del sistema [op.mon]
4.6.2 Sistema de métricas [op.mon.2]
Categoría ALTA
Se establecerá un conjunto de indicadores que mida el desempeño real del sistema en materia de
seguridad, en los siguientes aspectos:
a) Grado de implantación de las medidas de seguridad.
b) Eficacia y eficiencia de las medidas de seguridad.
c) Impacto de los incidentes de seguridad.
14. Madurez y cumplimiento
Véase: “815 Métricas e indicadores” disponible en https://www.ccn-cert.cni.es
Cómo medir dos facetas de la implantación de las medidas:
Índice de cumplimiento: para evaluar la satisfacción de las medidas que se
exigen en función de los niveles de seguridad o la categoría del sistema.
Índice de madurez: para evaluar la implantación de las medidas en la
organización.
Enfoque: establecer un nivel de madurez de referencia para cada medida de
protección del Anexo II del ENS, mediante una regla simple:
15. Herramientas para conocer la situación
Desplegada en 2014 la herramienta ‘INES’:
Facilita la recogida y consolidación de información para el Informe
del Estado de la Seguridad (RD 3/2010, art. 35 y línea de acción 2 de Estrategia
de Ciberseguridad Nacional).
19. Actualización del ENS
Revisión del RD 3/2010 a la luz de:
la experiencia adquirida,
los comentarios recibidos por vías formales e informales,
la evolución de la tecnología y las ciberamenazas,
el contexto regulatorio europeo.
Alineamiento con el Reglamento (UE) Nº 910/2014 de
identidad electrónica y servicios de confianza (28.08.2014).
Consensuado en los grupos de trabajo de AGE y demás AA.PP.
(más de 2 años de trabajo, 2013, 2014 y 2015).
Comentarios de AMETIC febrero de 2015.
En tramitación.
Proyecto publicado en el Pae:
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Estrategias/pae_Seguridad_In
icio/pae_Esquema_Nacional_de_Seguridad/20150302_PROYECTO_RD_modificacion_RD_3_2010.pdf
20. Aspectos principales (I/II)
Se enfatiza que la política de seguridad ‘articule la gestión
continuada de la seguridad’ (art.11).
Se introduce la noción de ‘profesionales cualificados’ (art.15).
En la adquisición de productos certificados se introduce la
noción de la proporcionalidad a la categoría del sistema y nivel de
seguridad determinados y a los riesgos (art. 18).
La relación de medidas seleccionadas del anexo II se formalizará en un
documento denominado Declaración de Aplicabilidad, firmado por el
responsable de seguridad (art. 27).
Las medidas de seguridad referenciadas en el anexo II podrán ser
reemplazadas por otras compensatorias siempre y cuando se justifique
documentalmente que protegen igual o mejor el riesgo sobre los activos (art.
27).
21. Se introducen las instrucciones técnicas de seguridad para
señalar el modo común de actuar (art. 29).
Se mejoran los mecanismos para obtener un conocimiento regular
del estado de la seguridad en las AA.PP. (art. 35).
Se introduce la notificación de incidentes de seguridad (art. 36).
Se precisan los elementos necesarios para la investigación de
incidentes de seguridad (art. 37).
Se mejora la eficacia de ciertas medidas de seguridad (Anexo II).
Se introducen diversas mejoras editoriales.
Aspectos principales (II/II)
22. Se añaden dos nuevos apartados 4 y 5 al artículo 27:
La relación de medidas de seguridad se formalizará en una
Declaración de Aplicabilidad.
Las medidas de seguridad podrán ser reemplazadas por
otras compensatorias siempre que se justifique que
protegen igual o mejor el riesgo sobre los activos y se
satisfacen los principios básicos y los requisitos mínimos.
En la Declaración de Aplicabilidad se indicará la
correspondencia entre las medidas compensatorias
implantadas y las medidas del Anexo II que compensan.
Declaración de aplicabilidad y medidas
compensatorias
23. Instrucciones técnicas de seguridad
Instrucciones técnicas de seguridad
Artículo afectado: 29
Para armonizar el modo común de actuar en relación con ciertas cuestiones.
Para su elaboración se aplicarán los procedimientos consolidados en el ámbito
de la Interoperabilidad.
Se contemplan las siguientes:
– Informe del estado de la seguridad.
– Notificación de incidentes de seguridad.
– Auditoría de la seguridad.
– Conformidad con el Esquema Nacional de Seguridad.
– Adquisición de productos de seguridad.
– Criptología de empleo en el Esquema Nacional de Seguridad.
– Interconexión en el Esquema Nacional de Seguridad.
– Requisitos de seguridad en entornos externalizados.
24. Artículo afectado: 35
Se asienta el mecanismo que permita recoger
periódicamente información de las principales
variables para conocer e informar del estado de seguridad,
en adecuadas condiciones de eficacia y eficiencia.
El CCN articulará procedimientos a través de grupos de
trabajo del Comité Sectorial de Administración Electrónica y
de la Comisión de Estrategia TIC.
Conocer regularmente el estado de seguridad
25. Artículo afectado: 36
Se notificarán los aquellos incidentes que tengan un
impacto significativo en la seguridad de la información
manejada y de los servicios prestados.
Mediante una instrucción técnica de seguridad se
determinarán las características de los incidentes sujetos a
notificación y el procedimiento para realizarla.
La figura de la notificación de los hechos que tengan un
impacto significativo en la seguridad es una tendencia en
proyectos normativos de la UE.
Refuerzo de la capacidad de respuesta frente a
incidentes de seguridad (I/II)
26. Artículo afectado: 37
Para una mejor respuesta a incidentes de seguridad, se
tendrán en cuenta evidencias tales como: informes de
auditoría, registros de auditoría, configuraciones y otra
información relevante, así como los soportes informáticos
Atendiendo a los siguientes aspectos:
Cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de carácter personal, y su
normativa de desarrollo.
A la posible confidencialidad de datos de carácter institucional u
organizativo.
Refuerzo de la capacidad de respuesta frente a
incidentes de seguridad (I/II)
27. Mejora de la eficacia de ciertas medidas
Se introducen precisiones orientadas a aumentar la eficacia de
ciertas medidas de seguridad del Anexo II. Principalmente en:
3.4 Proceso de autorización [org.4]
4.1.2. Arquitectura de seguridad [op.pl.2]
4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas
4.2.5. Mecanismo de autenticación [op.acc.5]
4.3.8. Registro de la actividad de los usuarios [op.exp.8]
4.3.9. Registro de la gestión de incidentes [op.exp.9]
4.6.1. Detección de intrusión [op.mon.1]
4.6.2. Sistema de métricas [op.mon.2]
5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]
5.5.5. Borrado y destrucción [mp.si.5]
5.7.4. Firma electrónica [mp.info.4]
5.7.7. Copias de seguridad [mp.info.9]
28. Se alinea con el informe del estado de la seguridad
previsto en el artículo 35.
4.6.2. Sistema de métricas [op.mon.2]
29. Se alinea con el Reglamento (UE) Nº 910/2014 de identidad
electrónica y servicios de confianza.
Se generaliza la redacción para usar las expresiones ‘algo que se sabe’,
‘algo que se tiene’ y ‘algo que se es’.
Antes de proporcionar credenciales a usuarios, identificación y
registro de manera fidedigna ante el sistema o ante un
proveedor de identidad electrónica reconocido por la
Administración.
Se contemplan varias posibilidades de registro de los usuarios.
Se modulan en los tres niveles bajo/medio/alto el uso de los
factores de autenticación y las condiciones relativas a las
credenciales.
4.2.5 Mecanismo de autenticación [op.acc.5]
33. Conclusiones
Evolución hacia la gestión electrónica de los servicios: los servicios 24
x 7 -> requieren seguridad 24 x 7.
El ENS, de aplicación a todas las AA.PP., persigue la creación de
condiciones de seguridad, impulsa la gestión continuada y el
tratamiento global de la seguridad, proporcionando el adecuado
respaldo legal.
Es fundamental el conocimiento del estado de la seguridad, hacia
dónde vamos, dónde estamos.
Retos en relación con la actualización y alineamiento con
tendencias (UE, OCDE), conocimiento de la situación, y extensión
a todos los sistemas de información.
Actuaciones para mejora de la seguridad del conjunto en
condiciones de mejor eficacia y eficiencia.
34. El RD 3/2010, 25 Guías CCN-STIC (Serie 800), seguimiento, herramientas,
servicios…
Pero sobre todo:
Esfuerzo colectivo de todas las AA.PP. (AGE, CC.AA., EE.LL. (FEMP),
Universidades (CRUE), ámbito de Justicia (EJIS), coordinado por MINHAP y CCN.
+ Industria sector seguridad TIC.
Convencimiento común: gestión continuada de la seguridad, con un
tratamiento homogéneo y adaptado al quehacer de la Administración.
Esfuerzo colectivo
36. Guías CCN-STIC publicadas en https://www.ccn-cert.cni.es :
800 - Glosario de Términos y Abreviaturas del ENS
801 - Responsables y Funciones en el ENS
802 - Auditoría de la seguridad en el ENS
803 - Valoración de sistemas en el ENS
804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS
807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS
809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT
811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web
813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico
815 - Métricas e Indicadores en el ENS
817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS
821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS
823 – Cloud Computing en el ENS
824 - Informe del Estado de Seguridad
825 – ENS & 27001
827 - Gestión y uso de dispositivos móviles
850A - Implantación del ENS en Windows 7 (cliente en dominio)
851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro)
851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente)
MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información
Programas de apoyo:
Pilar y µPILAR
Más información