• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de CRUE-TIC
 

Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de CRUE-TIC

on

  • 304 views

 

Statistics

Views

Total Views
304
Views on SlideShare
304
Embed Views
0

Actions

Likes
0
Downloads
11
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de CRUE-TIC Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de CRUE-TIC Presentation Transcript

    • Progreso de la adecuación alEsquema Nacional de SeguridadMiguel A. Amutio GómezJefe de Área de Planificación y ExplotaciónMinisterio de Hacienda y Administraciones PúblicasReunión conjunta de las Comisiones Sectoriales deSecretarios/as Generales TIC de la CRUECartagena, 11 de abril de 2013
    • Contenidos1. Real Decreto 3/2010, objetivos.2. Adecuarse al ENS.3. Seguimiento de la adecuación.4. Infraestructuras, guías y respuesta a incidentes.5. Próximos pasos.
    • El Esquema Nacional de Seguridad Es un instrumento legal – Real Decreto 3/2010- que desarrolla loprevisto sobre seguridad en la Ley 11/2007. Establece la política de seguridad en los servicios deadministración-e. Está constituida por principios básicos y requisitos mínimos que permitanuna protección adecuada de la información. Es de aplicación a todas las AA.PP. Están excluidos los sistemas que manejan la información clasificada. Establece un mecanismo de adecuación escalonado (fecha límite29.01.2014). Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
    • Objetivos del ENS Crear las condiciones necesarias de confianza en el uso de losmedios electrónicos, a través de medidas para garantizar la seguridad, que permita a losciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes através de estos medios. Promover la gestión continuada de la seguridad, al margen deimpulsos puntuales, o de su ausencia. Promover un tratamiento homogéneo de la seguridad quefacilite la cooperación en la prestación de servicios de administración electrónica cuandoparticipan diversas entidades. Proporcionar lenguaje y elementos comunes:– Para guiar la actuación de las AA.PP. en materia de seguridad de lastecnologías de la información.– Para facilitar la interacción y la cooperación de las AA.PP.– Para facilitar la comunicación de los requisitos de seguridad de la informacióna la Industria. Proporcionar liderazgo en materia de buenas practicas. Estimular a la Industria del sector TIC.
    • 2012Fuente: CCN-CERTEvolución de losincidentes de seguridad
    • Contenidos1. Real Decreto 3/2010, objetivos.2. Adecuarse al ENS.3. Seguimiento de la adecuación.4. Infraestructuras, guías y respuesta a incidentes.5. Próximos pasos.
    • Adecuarse al ENSLas AA.PP. deberán disponer de política de seguridaden base a los principios básicos y aplicando los requisitos mínimospara una protección adecuada de la información.Aspectos principales de la adecuación:Se dispone de una política de seguridadaprobada (art. 11)Responsables y asignación de personas.Responsable de seguridad. (art. 10)Se ha realizado la categorización de lossistemas (art. 27)El análisis de riesgos está actualizado(art. 27)Se dispone de una declaración deaplicabilidad (anexo II)Se dispone de un plan de adecuación / demejora de la seguridad aprobado (d.t)Se han implantado las medidas deseguridad (Anexo II).Se da publicidad a la conformidad en lasede electrónica (art. 41)
    • Contenidos1. Real Decreto 3/2010, objetivos.2. Adecuarse al ENS.3. Seguimiento de la adecuación.4. Infraestructuras, guías y respuesta a incidentes.5. Próximos pasos.
    • Seguimiento iniciado en la Administración General del Estado.Febrero, mayo, septiembre y diciembre de 2013.Acuerdo del Grupo de Seguridad del Comité Sectorial deAdministración Electrónica.Adecuarse al ENS
    • Instrucciones y herramienta para el seguimiento de progreso de adecuacióndisponibles en el Portal CCN-CERT: https://www.ccn-cert.cni.esProgreso de la adecuaciónHerramienta
    • Progreso de la adecuación
    • Progreso de la adecuaciónAspectos más avanzadosPolíticas de seguridad → avanzadas pendientes deaprobación formal.Protección de instalaciones e infraestructuras.Protección de datos de carácter personal.Identificación de las personas.Perímetro seguro → a contrastar con el estudio del art. 35.Copias de seguridad.Inventario de activos.
    • Limpieza de documentos.Sistema de métricas.Plan de continuidad.Publicación de la conformidad.Concienciación.Progreso de la adecuaciónAspectos más atrasados
    • Responsable de seguridad → con funciones claras.Protección de los servicios → análisis de vulnerabilidades.Detección de intrusión.Perímetro seguro → control de los puntos deinterconexión, vigilancia de red, recursos dedicados.Gestión de incidencias.Registro de la actividad de los usuarios → análisis de loslogs, uso de la conexión a Internet.Sistema de métricas.Progreso de la adecuaciónAspectos que requierenespecial atención
    • Progreso de la adecuación,¿cómo estoy en relación con los demás?
    • Informe del estado de laseguridad (art.35)Obligación de conocer regularmente el estado de la seguridad en las AA.PP. :Acción: Informe del estado de la seguridad.• Primer trimestre de 2013.• Ámbitos: AGE y CC.AA.Destinatarios:La entidad propietaria del sistema de información.El informe anual de estado de seguridad de las AA.PP.Se persigue conocimiento:De las medidas adoptadas.Esfuerzo dedicado a seguridad TIC (euros, personas y tiempo).Contraste con los datos de seguimiento del progreso de adecuación.
    • Contenidos1. Real Decreto 3/2010, objetivos.2. Adecuarse al ENS.3. Seguimiento de la adecuación.4. Infraestructuras, guías y respuesta aincidentes.5. Próximos pasos.
    • La AGE proporciona I&S comunes, con soporte legal, para atendernecesidades comunes de las AA.PP.Otras AA.PP. también disponen de I&S comunes en su ámbito.El ENI llama al enlace de estas I&S comunes.El uso de I&S comunes ofrece oportunidades en seguridad:Reducción de perímetro físico y lógico.Ciertos servicios pasan a comunes.Uso de estructuras virtualizadas y servicios en la nube.Aspectos que requieren especial atención:Se delega la función pero no la responsabilidad.Protección de información, especialmente datos de carácter personal.Cifrado.Borrado de datos.Continuidad del servicio.Usar infraestructuras yservicios comunes
    • Usar guías e instrumentosGuías CCN-STIC publicadas:800 - Glosario de Términos y Abreviaturas del ENS801 - Responsables y Funciones en el ENS802 - Auditoría de la seguridad en el ENS803 - Valoración de sistemas en el ENS804 - Medidas de implantación del ENS805 - Política de Seguridad de la Información806 - Plan de Adecuación del ENS807 - Criptología de empleo en el ENS808 - Verificación del cumplimiento de las medidas en el ENS809 - Declaración de Conformidad del ENS810 - Creación de un CERT / CSIRT811 - Interconexión en el ENS812 - Seguridad en Entornos y Aplicaciones Web813 - Componentes certificados en el ENS814 - Seguridad en correo electrónico815 - Métricas e Indicadores en el ENS817 - Criterios comunes para la Gestión de Incidentes de Seguridad818 - Herramientas de Seguridad en el ENS821 - Ejemplos de Normas de Seguridad822 - Procedimientos de Seguridad en el ENS823 – Cloud Computing en el ENS824 - Informe del Estado de SeguridadMAGERIT v3Programas de apoyo:Pilar y µPILAR+Servicios de respuesta ante incidentes CCN-CERTFormación STIC: presencial / en-líneaEsquema Nacional de Evaluación y CertificaciónEn elaboración:819 – Contratación en el ENS820 - Denegación de Servicio
    • Comunicar los incidentesde seguridadCCN-CERT: Centro de alerta yrespuesta de incidentes de seguridad,ayuda a las AA.PP. a responder de forma másrápida y eficiente ante las amenazas de seguridad queafecten a sus sistemas de información.Comunidad: AA.PP. de EspañaReconocimiento internacional: 2007,EGC (2008)Presta servicios de: resolución de incidentes, divulgación de buenas prácticas, formación e información de amenazas yalertas. Sondas en Red SARA e Internet.https://www.ccn-cert.cni.es/
    • Sistemas de alerta tempranaFuente: CCN-CERT
    • Contenidos1. Real Decreto 3/2010, objetivos.2. Adecuarse al ENS.3. Seguimiento de la adecuación.4. Infraestructuras, guías y respuesta a incidentes.5. Próximos pasos.
    • Plan MEJORA 2012-2015. Medida R5.M3: Implantación del ENS.Proyecto de Estrategia Española de Ciberseguridad:Pilar: la seguridad de información y servicios manejados por AA.PP.:Asegurar la plena implantación del Esquema Nacional de Seguridad.Fortalecer las capacidades de respuesta a incidentes del CCN-CERT.Reforzar el uso de Red SARA como infraestructura común y segura de las AA.PP.potenciando su uso, sus capacidades de seguridad y el desarrollo de nuevos servicioshorizontales.Optimizar el modelo de interconexión de las AA.PP. con las redes públicas de datosmaximizando su eficacia, disponibilidad y seguridad.Propuesta de Directiva de seguridad de la información y lasredes. Seguridad de la información y las redes de las AA.PP.:Adopción de medidas organizativas y técnicas para gestionar los riesgos.Adopción de medidas para prevenir y minimizar incidentes que afecten a sus redes ysistemas de información y asegurar la continuidad de los servicios soportados pordichas redes y sistemas.La seguridad en planes,estrategias, directivas
    • Escucha, análisis del escenario cambiante, retroalimentación.Art. 35: Mejor articulación de la participación de los órganos colegiados concompetencias en materia de administración-e y de los procedimientos para larecogida de la información que permita elaborar un perfil general del estadode la seguridad en las AA.PP.Anexo II: Ajustes en diversas medidas:• Arquitectura de seguridad [op.pl.2]• Mecanismo de autenticación [op.acc.5]• Registro de la actividad de los usuarios [op.exp.8]• Detección de intrusión [op.mon.1]• Borrado y destrucción [mp.si.5]• Firma electrónica [mp.info.4]• Copias de seguridad (backup) [mp.info.9]+ Otros.Actualización del RD 3/2010Mejoras previstas
    • Muchas gracias Portal CCN-CERT – ENS:https://www.ccn-cert.cni.es Portal de la Administración Electrónica - ENS:http://administracionelectronica.gob.es Preguntas frecuentes:https://www.ccn-cert.cni.es Espacio virtual del ENS:http://circa.administracionelectronica.gob.es/circabc Contacto para preguntas, dudas: ens@ccn-cert.cni.es