El documento describe las fases para el cumplimiento del Esquema Nacional de Seguridad, incluyendo un análisis inicial del estado, el establecimiento del sistema de seguridad, la elaboración del Plan de Adecuación y la implantación de normas de actuación. Se divide el proceso en cuatro fases a lo largo del primer año y una fase de mantenimiento en los años siguientes.
3. 3
El objetivo de la presentación es explicar en qué consiste un plan de
adecuación al RD 3/2010 del Esquema Nacional de Seguridad, y la
implantación de las medidas derivadas de las obligaciones derivadas
del mismo.
También se explicará el mantenimiento que exige la ley.
Los trabajos que se describirán más adelante permiten el
cumplimiento a las exigencias y requerimientos que el Plan de
Adecuación al ENS, tanto para su desarrollo inicial (Fase I a Fase IV)
cómo para el posterior mantenimiento del Documento de Seguridad y
la Ejecución de las líneas de actuación del Plan de Adecuación (Fase
Mantenimiento).
Introducción
4. 4
A fin de impulsar el avance de la Sociedad de la Información en el
ámbito de las Administraciones Publicas (AAPP), se aprobó la Ley
11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos
a los Servicios Públicos (LAECSP), cuya finalidad es garantizar la
provisión de servicios de las AAPP hacia los ciudadanos por medios
telemáticos y electrónicos, manteniendo y mejorando las condiciones
actuales en la prestación de esos mismos servicios en su modalidad
presencial.
Introducción: Origen del ENS
ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI)
• Establece los criterios y recomendaciones en materia de seguridad,
conservación y normalización de la información, de los formatos y de
las aplicaciones informáticas.
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
• Establece la política de seguridad en la utilización de medios
electrónicos, así como los principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
5. 5
Introducción: Origen del ENS
En este sentido, el concepto de seguridad de la información ya aparece en el
artículo 1.2., dedicado al objeto de la norma, donde se establece que:
Las AAPP emplearán las TIC asegurando:
•La disponibilidad
•el acceso
•la integridad
•la autenticidad
•la confidencialidad
•la conservación
De:
•Datos
•Informaciones
•Servicios
Que gestionen en el ejercicio de sus competencias
Esquema
Nacional de
Seguridad
Desarrollado en
6. 6
La finalidad del ENS es la creación de las condiciones necesarias de
confianza en el uso de los medios electrónicos, a través de medidas
para garantizar la seguridad de los sistemas, los datos, las
comunicaciones, y los servicios electrónicos, que permita a los
ciudadanos y a las AAPP, el ejercicio de derechos y el cumplimiento de
deberes a través de estos medios.
Introducción: Origen del ENS
Una organización (p.e. Ayuntamiento) depende de los sistemas TIC
(Tecnologías de Información y Comunicaciones) para alcanzar sus
objetivos. Estos sistemas deben ser administrados con diligencia,
tomando las medidas adecuadas para protegerlos frente a daños
accidentales o deliberados que puedan afectar a la disponibilidad,
integridad o confidencialidad de la información tratada o los
servicios prestados.
Aplicación efectiva para Sistemas Existentes: Enero 2011(12 meses
de la entrada en vigor). En ningún caso 48 meses después si las
circunstancias impiden su plena aplicación (contar con un plan de
adecuación): Enero 2014
A nuevos Sistemas les aplicará desde su concepción REQUISITOS
7. 7
La seguridad se entenderá como un proceso integral constituido por
todos los elementos técnicos, humanos, materiales y
organizativos, relacionados con el sistema. La aplicación del ENS
estará presidida por este principio, que excluye cualquier actuación
puntual o tratamiento coyuntural.
Introducción: ¿Qué sistemas deben cumplir el ENS?
Sistema de información. Conjunto organizado de recursos para que la
información se pueda recoger, almacenar, procesar o tratar, mantener,
usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Por tanto, el ENS se aplica esencialmente a los sistemas de
información que soportan la actividad administrativa, la
actividad interadministrativa y las relaciones con los
ciudadanos.
11. 11
Descripción de los trabajos
Primer año de trabajo
Fase I –Análisis del estado actual
Fase II - Establecimiento del sistema de seguridad
Fase III – Elaboración/modificación del Documento de
Seguridad y del Plan de Adecuación al ENS
Fase IV - Implantación de las normas de actuación
Segundo y tercer año de trabajo:
Fase de Mantenimiento
A continuación, pasamos a describir los trabajos que deben realizarse:
Plan de
Adecuación
12. 12
Las tareas para lograr los objetivos se dividen en las siguientes fases.
Primer año de trabajos
Fase I –Análisis
del estado
actual
Fase II -
Establecimiento
del sistema de
seguridad
Fase III -
Elaboración/
modificación
del Documento
de Seguridad y
del Plan de
Adecuación al
ENS
Fase IV -
Implantación de
las normas de
actuación
Descripción de los trabajos
13. 13
Descripción de los trabajos
1. Identificación de las personas de las diferentes áreas
2. Concreción del alcance
Fase I - Análisis del estado inicial
Registro
electrónico
Sede electrónica
Comunicación
electrónicaCarpeta
ciudadana
Interoperatividad Pago telemático
14. 14
Descripción de los trabajos
Fase I - Análisis del estado inicial
•Esquema Nacional de Seguridad (ENS):
En este diagnóstico se utiliza el cuestionario de la guía CCN-STIC-
808 de cumplimiento de aplicación de los controles
correspondientes, previstos en el Anexo II del ENS. El objetivo del
cuestionario es doble, por un lado, interpretar cada control
aplicable personalizado en la organización y por otro, cuantificar
cuál es el grado de madurez de la organización en cuanto al
cumplimiento de las buenas prácticas recomendadas para la
implantación del Real Decreto 3/2010.
La guía CCN que detalla las medidas a implantar es CCN-STIC-804
15. 15
Descripción de los trabajos
Fase I - Análisis del estado inicial
Esta primera evaluación del estado de cumplimiento del ENS por
parte de la Organización sobre los sistemas de información que dan
soporte a su Sede Electrónica;
https://sede.ORGANIZACION.com
La plataforma de eAdmin (Administración Electrónica) puede ser de
desarrollo propio, o basada en la plataforma de diversos proveedores,
o delegada en un organismo superior como diputación o una
Mancomunidad.
El cumplimiento de las medidas técnicas y organizativas es
responsabilidad de la organización, aunque la plataforma sea de un
tercero.
16. 16
Descripción de los trabajos
Identificación de servicios,
bases de datos y sistemas
(infraestructuras y redes).
Elaboración optima de una
matriz de dependencias
Realizar una efectiva
Categorización de Sistemas
de Información
•Que esté basada en Servicios Actuales y Futuros
•Trámites administrativos a implementar
•Selección de Subsistemas según procesos más
críticos a segregar
•Proceso iterativo para esta identificación
basándonos en
•Segregación de los procesos (subsistemas) más
críticos en virtud del Análisis de Riesgos
•Determinación de las medidas a implantar según
categoría del Sistema y Análisis de Riesgo
Fase II - Establecimiento del sistema de seguridad
17. 17
Descripción de los trabajos
Identificación de servicios,
bases de datos y sistemas
(infraestructuras y redes).
Elaboración optima de una
matriz de dependencias
Realizar una efectiva
Categorización de Sistemas
de Información
• Establecer correlaciones entre procesos
principales y secundarios
• Previsión de servicios futuros
Modelo de dependencias a emplear en ENS
Sistemas de Información
Fase II - Establecimiento del sistema de seguridad
18. 18
– La metodología para establecer
las dependencias entre activos
se basa normalmente en
Magerit, se realizarán
iteraciones a lo largo del
proceso de implantación en
función de la evolución de la
plataforma de eAdmin del la
organización.
– PILAR
– GConsulting
SERVICIO
DATOS
APLICACION EQUIPO
INSTALACIÓN
PROVEEDOR
SW
10-20% Máximo
SERVICIO
INTERNO
PROVEEDOR
EXTERNO PERSONA
A su vez dependen de el
Datos, Equipos, etc.
No es muy aconsejable
introducir personas salvo
que sean realmente críticas
Hay que intentar realizar
esta conexión a través de la
capa de datos siempre que
sea posible
Hay que intentar realizar
esta conexión a través de las
demás capas siempre que
sea posible, a no ser que
sean activos móviles (p.ej un
coche)
Descripción de los trabajos
Fase II - Establecimiento del sistema de seguridad
19. 19
Descripción de los trabajos
Identificación de servicios,
bases de datos y sistemas
(infraestructuras y redes).
Elaboración optima de una
matriz de dependencias
Realizar una efectiva
Categorización de Sistemas
de Información
• Realizar una efectiva Categorización de Sistemas
de Información
• Conveniencia de extraer Subsistemas para
mejorar las granularidad Ej. Pasarela de pago
Fase II - Establecimiento del sistema de seguridad
20. 20
Descripción de los trabajos
1. Categorización de Sistemas de Información
• Algunos puede que aún no existan, por tanto es necesario mantenerlo actualizado
2. Elección de la metodología para categorizar sistemas y
subsistemas (Guía CCN-STIC-803)
Anexo II-2: Cuando en un Sistema de Información existan sistemas que requieran la aplicación
de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse
de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad
correspondiente y siempre que puedan delimitarse la información y los servicios afectados.
Fase II - Establecimiento del sistema de seguridad
21. 21
Descripción de los trabajos
Declaración de Aplicabilidad
•Partiendo del análisis de riesgos realizado y
de la valoración de los distintos activos
(información y servicios)
•Análisis para la determinación de las
amenazas/riesgos básicos
•Contraste del mapa de las amenazas
consideradas
•Establecer un consenso en la elección del
nivel aceptable de riesgo
Declaración de Aplicabilidad
Fase II - Establecimiento del sistema de seguridad
22. 22
Descripción de los trabajos
Fase II - Establecimiento del sistema de seguridad
Marco organizativo [org]. Constituido por el conjunto de
medidas relacionadas con la organización global de la seguridad.
(4 controles)
(4/4)
Marco operacional [op]. Formado por las medidas a tomar para
proteger la operación del sistema como conjunto integral de
componentes para un fin. (33 controles)
Nivel bajo: (15/16) Nivel alto: (27/33)
Medidas de protección [mp]. Se centran en proteger activos
concretos, según su naturaleza y la calidad exigida por el nivel
de seguridad de las dimensiones afectadas. (38 controles)
Nivel bajo: (20/23) Nivel alto: (28/38)
•Para cada Sistema de Información, se elabora un GAP Análisis para ver el nivel de
cumplimiento y evaluar el esfuerzo para adecuarse al nivel exigible por el ENS (conforme
GUIA 806) :
0
20
40
60
80
100
Marco
Organizativo
Marco
Operacional
Medidas de
Protección
CUMPLIMIENTO
ACTUAL
EXIGIBLE ENS
23. 23
Descripción de los trabajos
Fase III - Elaboración del Plan de Adecuación al ENS
El citado plan de adecuación debe ser elaborado conforme la Guía CCN-
STIC-806, con las medidas de seguridad por subsistema considerado
(Anexo II) y contiene la siguiente información:
• La política de seguridad.
• Información que se maneja, con su valoración.
• Servicios que se prestan, con su valoración.
• Datos de carácter personal.
• Categoría del sistema.
• Declaración de aplicabilidad de las medidas del Anexo II del ENS.
• Análisis de riesgos.
• Insuficiencias del sistema.
• Plan de mejora de seguridad, incluyendo plazos estimados de
ejecución.
24. 24
Descripción de los trabajos
Fase III - Elaboración del Plan de Adecuación al ENS
Al finalizar la Fase III se debe disponer del preceptivo Plan de
Adecuación al Esquema Nacional de Seguridad.
25. 25
Descripción de los trabajos
•Implantación de medidas Marco Organizativo,
Marco Operacional, Medidas de Protección
(conforme Guía CCN-STIC-804)
• La clave de una correcta ejecución de las líneas de
actuación pasa por una adecuada gestión del
seguimiento de las acciones
•Para ello se creará necesariamente para el
mantenimiento del sistema un comité de gestión del
SGSI
•Se realizará un seguimiento exhaustivo de las
tareas a implantar:
•Elaboración de un cuadro tecnológico
•Redes
•Apache
•Servidores
•AIX
•…
Ejecución de las líneas de actuación
del Plan de Adecuación
Normativa de seguridad
Formación
Obtención de la Declaración de
Conformidad
Implantación y Seguimiento del
Sistema de Gestión de Seguridad de
la Información
Fase IV - Implantación de las normas de actuación
26. 26
Descripción de los trabajos
Como consecuencia de la implantación del ENS, y con la intención de
completar la puesta en marcha de los cambios introducidos por el
ENS en la dinámica de la Entidad Pública, se presenta la puesta en
marcha de distintos proyectos:
Ejecución de los test de vulnerabilidades requeridos
(proporcionamos Máquina Virtual con todo el entorno necesario)
Implantación del Procedimiento de Gestión y Registro de
incidencias (posible requisito herramienta de Ticketing).
Plan de continuidad del servicio.
Implantación de medidas de supervisión y monitorización del
sistema (posible requisitos de herramienta de monitorización).
Etc.
• Como resultado del plan de Adecuación, pueden ser necesarios
otros proyectos que requieran herramientas no incluidas dentro de
este presupuesto (p.e., Firewall, Antivirus, backups, adquisición de
equipos, etc.)
Fase IV - Implantación de las normas de actuación
27. 27
Descripción de los trabajos
•Se diseña a partir de la documentación existente
(Doc. Seguridad LOPD, Políticas existentes en la
Entidad Pública…) un documento que cumpla
todos los requisitos de la Guía CCN-STIC-805
Ejecución de las líneas de actuación
del Plan de Adecuación
Normativa de seguridad
Formación
Obtención de la Declaración de
Conformidad
Implantación y Seguimiento del
Sistema de Gestión de Seguridad de
la Información
Fase IV - Implantación de las normas de actuación
28. 28
Descripción de los trabajos
• Conjugar Formación Online (continua con
tutorización online)/ Presencial
• Sesiones de formación a técnicos
•Evaluación de la formación
Ejecución de las líneas de actuación
del Plan de Adecuación
Normativa de seguridad
Formación
Obtención de la Declaración de
Conformidad
Implantación y Seguimiento del
Sistema de Gestión de Seguridad de
la Información
MÓDULO DENOMINACIÓN
I
Teoría – Origen del Esquema Nacional de Seguridad. Ley de
Acceso Electrónico a los Servicios Públicos.
Cuestionario Módulo I
II Teoría – Esquema Nacional de Seguridad (ENS)
Cuestionario Módulo II
III
Teoría – Auditoría de Seguridad y Análisis diferencial con
respecto al ENS
Prácticas Módulo III
Cuestionario Módulo III
IV Teoría – Procedimientos obligatorios en el ENS
Prácticas Módulo IV
Cuestionario Módulo IV
V
Teoría – Plan de Adecuación al Esquema Nacional de
Seguridad
Prácticas Módulo V
Cuestionario Módulo V
Fase IV - Implantación de las normas de actuación
29. 29
Descripción de los trabajos
Ejecución de las líneas de actuación
del Plan de Adecuación
Normativa de seguridad
Formación
Obtención de la Declaración de
Conformidad
Implantación y Seguimiento del
Sistema de Gestión de Seguridad de
la Información
•Publicación de la declaración de conformidad
•Informe técnico que la corrobore
Fase IV - Implantación de las normas de actuación
30. 30
Descripción de los trabajos
• Ruta de seguimiento reiterativa
Ejecución de las líneas de actuación
del Plan de Adecuación
Política de seguridad
Formación
Obtención de la Declaración de
Conformidad
Implantación y Seguimiento del
Sistema de Gestión de Seguridad de
la Información
Análisis de
Riesgos
Inventario de
Activos
Aprobar política de seguridad
y aceptación del Riesgo
Aplicar Controles de
Seguridad
Difundir e
Implantar
Gestión del Riesgo
Monitorización
Seguridad
Revisión de la
Evaluación del
Riesgo
Acciones del
Plan de
Seguridad
Gestión de
Seguridad de la
Información
Plan de
Tratamiento
del Riesgo
Gestión
incidencias de
Seguridad
Fase IV - Implantación de las normas de actuación
31. 31
Descripción de los trabajos
Fase IV - Implantación de las normas de actuación
Durante esta fase se realizan sesiones de control para analizar:
Grado de implantación de los procedimientos de copias de
seguridad, recuperación de datos, identificación de los usuario,
accesos a datos, trabajos fuera de los puestos de trabajo…
Grado de implantación de la Normativa de Seguridad,
Procedimiento de Autorización, Procedimiento de Gestión y
Registro de incidencias, Plan de continuidad del servicio…
Grado de implantación del Plan de Mejoras de la Seguridad.
Comités de Seguridad para asegurar la gestión continua de la
Seguridad
33. 33
Descripción de los trabajos
Fase Mantenimiento
En esta fase se realiza un mantenimiento anual con objeto de velar por el
correcto cumplimiento del Esquema Nacional de Seguridad
Entre las actividades a realizar se encuentra:
Implantación y Gestión de un SGSI (Sistema de Gestión de
Seguridad de la Información) según el ENS
Aplicación y acompañamiento en la implantación de medidas de
Seguridad emanadas del Plan de Adecuación
Celebración de los Comités de Seguridad o seguimiento
Gestión de indicadores y revisión de procedimientos
Auditoría Bienal conforme exigencia del ENS para sistemas de
categoría Media y Alta
Autoevaluación conforme exigencia del ENS para sistemas de
categoría Baja
35. 35
GConsulting Compliance
(herramienta de desarrollo
propio) proporciona una solución
integral para implementar y
gestionar la implantación del ENS
con un mínimo esfuerzo.
Una sencilla consultoría de apoyo
le puede permitir adecuarse
fácilmente a las obligaciones que
marca el ENS.
Descripción de los trabajos
Herramienta de Gestión
36. 36
Cubre todo el ciclo, desde el
análisis inicial, Análisis y
Gestión de Riesgos, plan de
adecuación, hasta el soporte
para la auditoría bienal
obligatoria.
Descripción de los trabajos
Herramienta de Gestión
37. 37
Planificación
Primer año de Trabajos
Fase I –Análisis del estado actual
Fase II - Establecimiento del sistema de seguridad y Análisis de
Riesgos
Fase III – Elaboración Plan de Adecuación ENS
Fase IV - Implantación de las normas de actuación
Asesoramiento continuo a la implantación + Gestión incidencias
Herramientas de apoyo para implantación del ENS (opcionales)
Herramientas gestión de incidencias, vulnerabilidades, AGR, varios
38. 38
Planificación
Segundo año de Gestión
Gestión delegada de medidas de seguridad (incidencias, tests, etc.)
Gestión del SGSI (Sistema de Gestión de Seguridad de la Información)
Tercer año de Gestión
Gestión delegada de medidas de seguridad (incidencias, tests, etc.)
Auditoría bienal (ENS)
Gestión del SGSI (Sistema de Gestión de Seguridad de la Información)
40. 40
CAPITULO VI
Estado de seguridad de los sistemas
Artículo 35. Informe del estado de la seguridad.
El Comité Sectorial de Administración Electrónica articulará los
procedimientos necesarios para conocer regularmente el estado de las
principales variables de la seguridad en los sistemas de información a
los que se refiere el presente real decreto, de forma que permita
elaborar un perfil general del estado de la seguridad en las
Administraciones públicas.
Artículo 40. Mecanismos de control.
Cada órgano de la Administración pública o Entidad de Derecho
Público establecerá sus mecanismos de control para garantizar de
forma real y efectiva el cumplimiento del Esquema Nacional de
Seguridad.
Qué pasa si no cumplo el ENS
41. 41
•Mecanismos de control
•Proyectos de innovación
•Programas de investigación de aplicabilidad de medidas
Función delegada en dos instituciones:
•INTECO
•Centro Criptológico Nacional
•Actualmente no existe organismo sancionador o regulador.
•Se espera se ponga en marcha a lo largo del 2014
Qué pasa si no cumplo el ENS
42. 42
Qué pasa si no cumplo el ENS
Ninguno
35%
Plan
Adecuación
50%
Implantaci
ón
10%
Gestión
del SGSI
5%
Grados de Cumplimiento
43. 43
Grados de cumplimiento:
•No cumplo nada del ENS
La organización no es consciente de la importancia de la seguridad
para los trámites con los ciudadanos, no conoce sus riesgos.
•Tengo el plan de adecuación
•La organización es consciente de sus riesgos, de sus sistemas de
información, y ha analizado el cumplimiento de cada control,
estableciendo un plazo para aplicar aquellos menos críticos.
•Tengo el ENS implantado con todas sus medidas
La organización ha hecho el esfuerzo de securizar sus Sistemas en un
momento dado, pero el sistema está vivo y requiere un pequeño
esfuerzo constante.
•Tengo un Sistema de Gestión de Seguridad de la Información
La organización tiene organizada la gestión de la seguridad,
adaptándose fácilmente a cualquier cambio tecnológico
Qué pasa si no cumplo el ENS