Your SlideShare is downloading. ×
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública.

214

Published on

Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública, en el COIT el 12 de febrero de 2013.

Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Administración Pública, en el COIT el 12 de febrero de 2013.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
214
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Esquema Nacional de SeguridadPolíticas de Seguridad a aplicar en la Administración Pública Colegio Oficial de Ingenieros de Telecomunicación Madrid, 12 de febrero de 2013 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas
  • 2. Contenidos1. Por qué el ENS.2. Marco legal.3. Adecuarse al ENS.4. Instrumentos para adecuarse al ENS.5. Conclusiones y retos.
  • 3. ¿Sabía Ud que…? En la AGE se puede tramitar por Internet más del 90% de los 2.500 procedimientos censados, que representan el 99% de la tramitación total. La Red SARA interconecta todos los Dept. Ministeriales de la AGE, todas las CC.AA., 11 entes singulares, las ventanillas empresariales, las Entidades Locales, 3.708 a la fecha (90,35% de población cubierta); más instituciones y agencias europeas y administraciones de otros EE.MM. a través de su enlace con sTESTA. @Firma ha realizado 84 millones de transacciones en 2012. La TS@ (Time-Stamping) 20 millones de transacciones. Con 27 proveedores, 1168 aplicaciones que usan @firma, 217 aplicaciones que usan la TS@; 599 (111 AGE, 52 CCAA, 405 EELL, 31 otros) Organismos que usan @firma y 157 (45 AGE, 17 CCAA, 88 EELL, 7 otros) Organismos que usan la TS@. La Plataforma de intermediación de datos del MINHAP intermedia a través de la Red SARA a 9 proveedores de datos, 21 certificados y al menos 120 entidades consumidoras, con 22,6 millones de transacciones en 2012. El Portal de Entidades Locales tiene más de 21.000 usuarios pertenecientes a más de 13.000 organismos, 430.000 accesos desde junio de 2011 con firma digital, transmisión firmada electrónicamente por los usuarios de más de 100.000 documentos. A través de la Oficina de Registro Virtual / Sistema de Interconexión de Registros se han intercambiado más de 12.000 asientos registrales desde su puesta en marcha en 2012; con 379 oficinas de registro conectadas y 179 ayuntamientos integrados. En la Comunidad de Madrid integra a los 3 niveles de la Administración… La ONU ha premiado a España en 2012 por el acceso electrónico completo de los ciudadanos a los servicios públicos.
  • 4. 1. Por qué el ENS Seguridad y administración-e Los ciudadanos esperan que los servicios se presten en unas condiciones de confianza y seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de las Administración. Buena parte de los sistemas de información de las AA.PP., la información contenida en ellos y los servicios que prestan constituyen activos nacionales estratégicos. Los servicios se prestan en un escenario complejo que requiere cooperación. La información y los servicios están sometidos a riegos provenientes de acciones malintencionadas o ilícitas, errores o fallos y accidentes o desastres.
  • 5. 2. Marco legal Seguridad en la Ley 11/22007La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos reconoceel derecho de los ciudadanos a relacionarse a través demedios electrónicos con las AA.PP.Este reconocimiento implica la obligación de las AA.PP. de promoción delas condiciones de confianza y seguridad mediante la aplicación segurade las tecnologías.Diversos principios de la Ley 11/2007 se refieren a la seguridad:  El principio de derecho a la protección de los datos de carácter personal.  El principio de seguridad en la implantación y utilización de los medios electrónicos.  El principio de proporcionalidad → garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones.La seguridad figura también entre los derechos de los ciudadanos:  Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP.La Ley 11/2007 crea el Esquema Nacional de Seguridad.
  • 6. Esquema Nacional de Seguridad Es un instrumento legal – Real Decreto 3/2010- que desarrolla lo previsto sobre seguridad en la Ley 11/2007. Establece la política de seguridad en los servicios de administración-e. Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Es de aplicación a todas las AA.PP. Están excluidos los sistemas que manejan la información clasificada. Establece un mecanismo de adecuación escalonado (fecha límite 29.01.2014). Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
  • 7. Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia. Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. Proporcionar lenguaje y elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. – Para facilitar la interacción y la cooperación de las AA.PP. – Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria. Proporcionar liderazgo en materia de buenas practicas. Estimular a la Industria del sector TIC.
  • 8. Elementos principales Los Principios básicos, que sirven de guía. Los Requisitos mínimos, de obligadocumplimiento. La Categorización de los sistemas para laadopción de medidas de seguridadproporcionadas. La auditoría de la seguridad que verifique elcumplimiento del Esquema Nacional de Seguridad. La respuesta a incidentes de seguridad.Papel de CCN- CERT. La certificación, como aspecto a considerar aladquirir los productos de seguridad. Papel delOrganismo de Certificación (CCN).
  • 9. Cumplimiento de los requisitos mínimosLas AA.PP. deberán disponer de política deseguridad en base a los principios básicos y aplicando losrequisitos mínimos para una protección adecuada de la información.Para dar cumplimiento de los requisitos mínimos, se seleccionarán lasmedidas de seguridad proporcionadas, atendiendo a: La categoría del sistema. Básica, Media y Alta, según valoración de dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad). Lo dispuesto en la Ley Orgánica 15/1999, y normativa de desarrollo. Las decisiones que se adopten para gestionar los riesgos identificados.
  • 10. 3. Adecuarse al ENS
  • 11. 4. Instrumentos para adecuarse al ENS1. Priorizar2. Usar infraestructuras y servicios comunes3. Usar guías e instrumentos específicos4. Usar la normalización5. Comunicar incidentes de seguridad6. Usar productos certificados7. Preguntar8. Formarse
  • 12. Usar infraestructuras y servicios comunes•Infraestructuras y servicios comunescon soporte legal • Ley 11/2007 • RD 3/2010, RD 4/2010, RD 1671/2009 • Normas Técnicas de Interoperabilidad•Desarrollados para apoyar el procedimientoadministrativo según el marco legal• Facilitan el despliegue masivo de servicios• Acuerdos entre las AA.PP. relativos a lautilización de los servicios
  • 13. Usar guías e instrumentosGuías CCN-STIC publicadas: +800 - Glosario de Términos y Abreviaturas del ENS Servicios de respuesta ante incidentes de seguridad CCN-CERT801 - Responsables y Funciones en el ENS Formación STIC: presencial / en-línea802 - Auditoría de la seguridad en el ENS Esquema Nacional de Evaluación y Certificación803 - Valoración de sistemas en el ENS804 - Medidas de implantación del ENS805 - Política de Seguridad de la Información806 - Plan de Adecuación del ENS807 - Criptología de empleo en el ENS808 - Verificación del cumplimiento de las medidas en el ENS809 - Declaración de Conformidad del ENS810 - Creación de un CERT / CSIRT811 - Interconexión en el ENS812 - Seguridad en Entornos y Aplicaciones Web813 - Componentes certificados en el ENS814 - Seguridad en correo electrónico815 - Métricas e Indicadores en el ENS817 - Criterios comunes para la Gestión de Incidentes de Seguridad818 - Herramientas de Seguridad en el ENS821 - Ejemplos de Normas de Seguridad822 - Procedimientos de Seguridad en el ENS823 – Cloud Computing en el ENS824 - Informe del Estado de SeguridadMAGERIT v3Programas de apoyo: En elaboración:Pilar y µPILAR 819 – Contratación en el ENS 820 - Denegación de Servicio
  • 14. Usar la normalizaciónISO/IEC 27001  Norma de ‘gestión’ que contiene los requisitos de un sistema de gestión de seguridad de la información, voluntariamente certificable.  La certificación de conformidad con 27001 NO es obligatoria en el ENS. Aunque quien se encuentre certificado tiene parte del camino recorrido para lograr su conformidad con el ENS.ISO/IEC 27002  Muchas de las medidas indicadas en el Anexo II del ENS coinciden con controles de 27002.  El ENS añade un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de medidas y reducir la discrecionalidad.  El ENS contempla aspectos de especial interés para la protección de la información y los servicios de administración electrónica (p.ej., aquellos relativos a firma-e) no recogidos en 27002.
  • 15. Comunicar los incidentes de seguridad CCN-CERT: Centro de alerta y respuesta de incidentes de seguridad, ayuda a las AA.PP. a responder de forma más rápida y eficiente ante las amenazas de seguridad que afecten a sus sistemas de información. Comunidad: AA.PP. de España Reconocimiento internacional: 2007, EGC (2008) Presta servicios de:  resolución de incidentes,  divulgación de buenas prácticas,  formación  e información de amenazas y alertas.  Sondas en Red SARA e Internet.https://www.ccn-cert.cni.es/
  • 16. 5. Conclusiones y retosConclusiones: El ENS un instrumento legal de aplicación a todas las AA.PP. Persigue la creación de condiciones de confianza y seguridad para la realización del derecho de los ciudadanos a relacionarse por medios electrónicos con las AA.PP. Impulsa la gestión continuada y el tratamiento global de la seguridad. Las medidas de seguridad se han seleccionado atendiendo a necesidades de las AA.PP.Retos principales: Adecuarse en condiciones de limitación de recursos humanos y económicos. Continuar el esfuerzo de desarrollo de guías y de otros instrumentos de apoyo a la adecuación al ENS. Conocer regularmente el estado de seguridad en las AA.PP.
  • 17. Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es Portal de la Administración Electrónica - ENS:http://administracionelectronica.gob.es Preguntas frecuentes:https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=211&lang=eshttp://administracionelectronica.gob.es/recursos/pae_020001885.pdf Espacio virtual del ENS:http://circa.administracionelectronica.gob.es/circabc Contacto para preguntas, dudas: ens@ccn-cert.cni.es

×