"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"

659 views
471 views

Published on

Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)

Published in: Technology
1 Comment
2 Likes
Statistics
Notes
No Downloads
Views
Total views
659
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
32
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"

  1. 1. “Novedades legislativas. Evolución del Esquema Nacional de Seguridad” Madrid, 27 de febrero de 2014 Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas 1
  2. 2. Incremento notable de incidentes <Fuente: CCN-CERT> <Fuente: Estrategia de Ciberseguridad Nacional> 2
  3. 3. 1. ¿Qué es el Esquema Nacional de Seguridad? 2. Adecuación al ENS, ¿dónde estamos? 3. ¿Cuáles son los próximos pasos? 3
  4. 4. El Esquema Nacional de Seguridad (I/II)  Responde a principios y derechos relativos a la seguridad establecidos en la Ley 11/2007.  Se instrumenta en el Real Decreto 3/2010.  Establece la política de seguridad en los servicios de administración-e, constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.  Es de aplicación a todas las AA.PP.  Entró en vigor el 30 de enero de 2010.  Estableció un mecanismo de adecuación para sistemas existentes de 48 meses que venció el 30 de enero de 2014.  Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.(FEMP), ámbito de Justicia (EJIS), CRUE + Opinión Industria TIC.  Adecuado a las condiciones y requisitos de las AA.PP. 4
  5. 5. El Esquema Nacional de Seguridad (II/II)  Crea las condiciones necesarias de seguridad, que permita a los ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.  Promueve la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia.  Promueve un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.  Proporciona un lenguaje y unos elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. – Para facilitar la interacción y la cooperación de las AA.PP. – Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.  Proporciona liderazgo en materia de buenas practicas. 5
  6. 6. Disponer de una política de seguridad Las AA.PP. deberán disponer de una política de seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información. Para dar cumplimiento de los requisitos mínimos, se seleccionarán las medidas de seguridad proporcionadas, atendiendo a:  La categoría del sistema. Básica, Media y Alta, según valoración de dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad).  Lo dispuesto en la Ley Orgánica 15/1999, y normativa de desarrollo.  Las decisiones que se adopten para gestionar los riesgos identificados. 6
  7. 7. Elementos principales del ENS  Los principios básicos, que sirven de guía.  Los requisitos mínimos, de obligado cumplimiento.  La categorización de los sistemas para la adopción de medidas de seguridad proporcionadas.  La auditoría de la seguridad que verifique el cumplimiento del Esquema Nacional de Seguridad.  La respuesta a incidentes de seguridad. Papel de CCN- CERT.  El uso de productos certificados. La certificación, como aspecto a considerar al adquirir los productos de seguridad. Papel del Organismo de Certificación (CCN).  La formación y concienciación. 7
  8. 8. Para adecuarse al ENS         Elaborar y aprobar formalmente una política de seguridad (art. 11) Identificar Responsables y asignar personas. Responsable de seguridad. (art. 10) Realizar la categorización de los sistemas (art. 27) Analizar los riesgos (art. 27) Seleccionar las medidas y elaborar la declaración de aplicabilidad (anexo II) Preparar y aprobar un plan de adecuación / de mejora (d.t) Implantar las medidas de seguridad (anexo II) Publicitar la conformidad en la sede electrónica (art. 41) 8
  9. 9. Auditar la seguridad Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación. Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables. Según los siguientes términos: La política de seguridad define roles y funciones. Existen procedimientos para resolución de conflictos. Se aplica el principio de segregación de funciones. Se ha realizado el análisis de riesgos, con revisión y aprobación anual. Existe un sistema de gestión de seguridad de la información documentado. Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es 9
  10. 10. Guías y herramientas + Guías CCN-STIC publicadas: Servicios de respuesta ante incidentes CCN-CERT 800 - Glosario de Términos y Abreviaturas del ENS Formación STIC: presencial / en-línea 801 - Responsables y Funciones en el ENS Esquema Nacional de Evaluación y Certificación 802 - Auditoría de la seguridad en el ENS 803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS 805 - Política de Seguridad de la Información 806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS 808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS 810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS 812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS 814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS 817 - Criterios comunes para la Gestión de Incidentes de Seguridad 818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad 822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS 824 - Informe del Estado de Seguridad 825 – ENS & 27001 MAGERIT v3 En elaboración: Programas de apoyo: 819 – Contratación en el ENS Pilar y µPILAR 10
  11. 11. ENS y 27001  El ENS es una regulación legal, perteneciente al ordenamiento jurídico español, de cumplimiento obligatorio para los S.I. comprendidos en el ámbito de aplicación de la Ley 11/2007, al servicio de la realización de derechos de los ciudadanos.  El ENS trata la protección de la información y los servicios; contempla y exige la gestión continuada de la seguridad.  El ENS añade un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la implantación de las medidas.  El ENS contempla aspectos de especial interés para la protección de información y servicios de administración-e.  La norma 27001 es una norma internacional, de gestión, de cumplimiento voluntario y certificable. Contiene los requisitos para la construcción (y ulterior certificación, en su caso) de un Sistema de Gestión de Seguridad de la Información.  La Guía 825 explica la relación entre el ENS y la 27001. 11
  12. 12. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. ¿Qué es el Esquema Nacional de Seguridad? 2. Adecuación al ENS, ¿dónde estamos? 3. ¿Cuáles son los próximos pasos? 12
  13. 13. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Una reflexión sobre el antes del ENS y el ahora  1 RD, servicios… 24 Guías CCN-STIC, herramientas, Pero sobre todo:  Esfuerzo colectivo de todas las AA.PP.  + Industria sector seguridad TIC  Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes. 13
  14. 14. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Adecuación al ENS, ¿dónde estamos? Venció el plazo de 48 meses para la adecuación al ENS. El esfuerzo de adecuación al ENS se ha venido realizando en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades. 14
  15. 15. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento Seguimiento en las AA.PP.:  Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.  Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.  Participación de carácter voluntario.  Herramienta disponible en el Portal de CCN-CERT. Cuestionarios recibidos del ENS en las 4 oleadas de 2013: 15
  16. 16. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento  Situación comparativa para una muestra de medidas de seguridad consideradas particularmente significativas:  Parece que el grado de avance debería ser mayor. Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.  16
  17. 17. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué podemos hacer? (recomendaciones) Es esencial que haya:  un plan de adecuación;  un responsable de seguridad nombrado; necesidad de equipo de seguridad.  una categorización de los sistemas;  que se realice el análisis de riesgos. Recomendaciones:  Abordar aspectos que tienen una componente mayor de gobernanza y documentación: Proceso de autorización y Arquitectura de seguridad.  Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de aplicaciones web.  Impulsar • Configuración de seguridad. • Gestión de la configuración. • Mantenimiento y Gestión de cambios. • Los Registros de uso del sistema y Registro de la actividad de los usuarios. • Las medidas de monitorización: Detección de intrusión y Sistema de métricas. • Las actividades de Concienciación y Formación. 17
  18. 18. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. ¿Qué es el Esquema Nacional de Seguridad? 2. Adecuación al ENS, ¿dónde estamos? 3. ¿Cuáles son los próximos pasos? 18
  19. 19. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 19
  20. 20. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 20
  21. 21. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Captación de feedback  ENS , art. 42: ‘Actualización permanente’  Experiencia obtenida de implantación del ENS.  Comentarios recibidos por diversas vías: formales e informales.  Evolución:  de la tecnología y las ciberamenazas  del contexto regulatorio europeo. 21
  22. 22. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Evolución del ENS  ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil para todos?  ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad?  ¿Qué medidas de seguridad deben mejorarse?  ¿Cómo reforzar la capacitación de los profesionales? 22
  23. 23. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  Conviene armonizar el modo común de actuar en relación con ciertas cuestiones.  Esta armonización se podría hacer mediante la figura de las ‘Normas Técnicas de Seguridad’.  Se aplicarían los procedimientos consolidados en las Normas Técnicas de Interoperabilidad.  Las guías CCN-STIC tienen naturaleza recomendaciones, por tanto, su efecto es limitado. de 23
  24. 24. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil (art. 35)?  Conviene asentar un mecanismo periódico que permita recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.  Son necesarios procedimientos para recogida y consolidación de información y organismos responsables de su realización. 24
  25. 25. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad?  Conviene consolidar información que los incidentes serios: notificación de ciertos incidentes. La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de la UE.  Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también evidencias necesarias para la investigación como: registros de auditoría, configuraciones, soportes y otra información relevante. Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999.  Extender:    Sistemas de Alerta Temprana (SAT). Herramientas de detección de anomalías (CARMEN). Gestión de incidentes común (LUCIA). <Fuente: CCN-CERT> 25
  26. 26. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué medidas de seguridad deben mejorarse y cómo?  3.4 Proceso de autorización [org.4]  4.1.2. Arquitectura de seguridad [op.pl.2]  4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas  4.2.5. Mecanismo de autenticación [op.acc.5]  4.3.8. Registro de la actividad de los usuarios [op.exp.8]  4.6.1. Detección de intrusión [op.mon.1]  4.6.2. Sistema de métricas [op.mon.2]  5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]  5.5.5. Borrado y destrucción [mp.si.5]  5.7.4. Firma electrónica [mp.info.4]  5.7.7. Copias de seguridad [mp.info.9] <No exhaustivo. Sometido a cambios> 26
  27. 27. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacitación de profesionales?  Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado…”  Hay escasez de profesionales con conocimientos avanzados para hacer frente a las crecientes amenazas.  Es necesario asegurar unos conocimientos y habilidades de los profesionales, con rigor y profesionalidad.  Mediante una Norma Técnica de Seguridad se regularía el Esquema de Certificación de Personas, que establecerá el currículo exigible en relación con los posibles perfiles profesionales y, en su caso, el reconocimiento de certificaciones internacionales.  Artículo afectado: 15 27
  28. 28. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Los próximos partidos Conocer el estado de situación tras el vencimiento del plazo de los 48 meses. Siguiente  seguimiento: marzo de 2014.  Poner en marcha de los mecanismos que permiten conocer e informar regularmente del estado de la seguridad de las AA.PP. (Informe del artículo 35) Evolucionar el ENS, a la luz de la experiencia, del feedback y de los emergentes en materia de ciberseguridad.  Continuar el esfuerzo de desarrollo de instrumentos de apoyo a la adecuación al ENS: guías y herramientas.  Extender el ENS a todos los sistemas de información de las AA.PP.  28
  29. 29. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Muchas gracias • Correos electrónicos – – – – – – ens@ccn-cert.cni.es ens.minhap@correo.gob.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es • Páginas Web: – – – – administracionelectronica.gob.es www.ccn-cert.cni.es www.ccn.cni.es www.oc.ccn.cni.es 29

×