SlideShare a Scribd company logo

Cumplir ENS en plazo

Nunsys S.L.
Nunsys S.L.

El documento describe las fases para el cumplimiento del Esquema Nacional de Seguridad, incluyendo un análisis inicial del estado, el establecimiento del sistema de seguridad, la elaboración del Plan de Adecuación y la implantación de normas de actuación. Se divide el proceso en cuatro fases a lo largo del primer año y una fase de mantenimiento en los años siguientes.

Technology
1 of 44
Download to read offline
1 ¿Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? ¿Qué puedo hacer si el plazo ya se ha pasado?
2 Introducción ENS
3 El objetivo de la presentación es explicar en qué consiste un plan de adecuación al RD 3/2010 del Esquema Nacional de Seguridad, y la implantación de las medidas derivadas de las obligaciones derivadas del mismo. También se explicará el mantenimiento que exige la ley. Los trabajos que se describirán más adelante permiten el cumplimiento a las exigencias y requerimientos que el Plan de Adecuación al ENS, tanto para su desarrollo inicial (Fase I a Fase IV) cómo para el posterior mantenimiento del Documento de Seguridad y la Ejecución de las líneas de actuación del Plan de Adecuación (Fase Mantenimiento). Introducción
4 A fin de impulsar el avance de la Sociedad de la Información en el ámbito de las Administraciones Publicas (AAPP), se aprobó la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), cuya finalidad es garantizar la provisión de servicios de las AAPP hacia los ciudadanos por medios telemáticos y electrónicos, manteniendo y mejorando las condiciones actuales en la prestación de esos mismos servicios en su modalidad presencial. Introducción: Origen del ENS ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI) • Establece los criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones informáticas. ESQUEMA NACIONAL DE SEGURIDAD (ENS) • Establece la política de seguridad en la utilización de medios electrónicos, así como los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
5 Introducción: Origen del ENS En este sentido, el concepto de seguridad de la información ya aparece en el artículo 1.2., dedicado al objeto de la norma, donde se establece que: Las AAPP emplearán las TIC asegurando: •La disponibilidad •el acceso •la integridad •la autenticidad •la confidencialidad •la conservación De: •Datos •Informaciones •Servicios Que gestionen en el ejercicio de sus competencias Esquema Nacional de Seguridad Desarrollado en
6 La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las AAPP, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Introducción: Origen del ENS Una organización (p.e. Ayuntamiento) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados. Aplicación efectiva para Sistemas Existentes: Enero 2011(12 meses de la entrada en vigor). En ningún caso 48 meses después si las circunstancias impiden su plena aplicación (contar con un plan de adecuación): Enero 2014 A nuevos Sistemas les aplicará desde su concepción REQUISITOS
7 La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Introducción: ¿Qué sistemas deben cumplir el ENS? Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. Por tanto, el ENS se aplica esencialmente a los sistemas de información que soportan la actividad administrativa, la actividad interadministrativa y las relaciones con los ciudadanos.
8 Introducción INTERRUPCIÓN INTERCEPTACIÓN FABRICACIÓNMODIFICACIÓN DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD AUTENTICIDAD FLUJO NORMAL
¿Qué tengo que hacer para cumplir el ENS?
10 Descripción de los trabajos
11 Descripción de los trabajos Primer año de trabajo Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III – Elaboración/modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación Segundo y tercer año de trabajo: Fase de Mantenimiento A continuación, pasamos a describir los trabajos que deben realizarse: Plan de Adecuación
12 Las tareas para lograr los objetivos se dividen en las siguientes fases. Primer año de trabajos Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III - Elaboración/ modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación Descripción de los trabajos
13 Descripción de los trabajos 1. Identificación de las personas de las diferentes áreas 2. Concreción del alcance Fase I - Análisis del estado inicial Registro electrónico Sede electrónica Comunicación electrónicaCarpeta ciudadana Interoperatividad Pago telemático
14 Descripción de los trabajos Fase I - Análisis del estado inicial •Esquema Nacional de Seguridad (ENS): En este diagnóstico se utiliza el cuestionario de la guía CCN-STIC- 808 de cumplimiento de aplicación de los controles correspondientes, previstos en el Anexo II del ENS. El objetivo del cuestionario es doble, por un lado, interpretar cada control aplicable personalizado en la organización y por otro, cuantificar cuál es el grado de madurez de la organización en cuanto al cumplimiento de las buenas prácticas recomendadas para la implantación del Real Decreto 3/2010. La guía CCN que detalla las medidas a implantar es CCN-STIC-804
15 Descripción de los trabajos Fase I - Análisis del estado inicial Esta primera evaluación del estado de cumplimiento del ENS por parte de la Organización sobre los sistemas de información que dan soporte a su Sede Electrónica; https://sede.ORGANIZACION.com La plataforma de eAdmin (Administración Electrónica) puede ser de desarrollo propio, o basada en la plataforma de diversos proveedores, o delegada en un organismo superior como diputación o una Mancomunidad. El cumplimiento de las medidas técnicas y organizativas es responsabilidad de la organización, aunque la plataforma sea de un tercero.
16 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información •Que esté basada en Servicios Actuales y Futuros •Trámites administrativos a implementar •Selección de Subsistemas según procesos más críticos a segregar •Proceso iterativo para esta identificación basándonos en •Segregación de los procesos (subsistemas) más críticos en virtud del Análisis de Riesgos •Determinación de las medidas a implantar según categoría del Sistema y Análisis de Riesgo Fase II - Establecimiento del sistema de seguridad
17 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información • Establecer correlaciones entre procesos principales y secundarios • Previsión de servicios futuros Modelo de dependencias a emplear en ENS Sistemas de Información Fase II - Establecimiento del sistema de seguridad
18 – La metodología para establecer las dependencias entre activos se basa normalmente en Magerit, se realizarán iteraciones a lo largo del proceso de implantación en función de la evolución de la plataforma de eAdmin del la organización. – PILAR – GConsulting SERVICIO DATOS APLICACION EQUIPO INSTALACIÓN PROVEEDOR SW 10-20% Máximo SERVICIO INTERNO PROVEEDOR EXTERNO PERSONA A su vez dependen de el Datos, Equipos, etc. No es muy aconsejable introducir personas salvo que sean realmente críticas Hay que intentar realizar esta conexión a través de la capa de datos siempre que sea posible Hay que intentar realizar esta conexión a través de las demás capas siempre que sea posible, a no ser que sean activos móviles (p.ej un coche) Descripción de los trabajos Fase II - Establecimiento del sistema de seguridad
19 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información • Realizar una efectiva Categorización de Sistemas de Información • Conveniencia de extraer Subsistemas para mejorar las granularidad Ej. Pasarela de pago Fase II - Establecimiento del sistema de seguridad
20 Descripción de los trabajos 1. Categorización de Sistemas de Información • Algunos puede que aún no existan, por tanto es necesario mantenerlo actualizado 2. Elección de la metodología para categorizar sistemas y subsistemas (Guía CCN-STIC-803) Anexo II-2: Cuando en un Sistema de Información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados. Fase II - Establecimiento del sistema de seguridad
21 Descripción de los trabajos Declaración de Aplicabilidad •Partiendo del análisis de riesgos realizado y de la valoración de los distintos activos (información y servicios) •Análisis para la determinación de las amenazas/riesgos básicos •Contraste del mapa de las amenazas consideradas •Establecer un consenso en la elección del nivel aceptable de riesgo Declaración de Aplicabilidad Fase II - Establecimiento del sistema de seguridad
22 Descripción de los trabajos Fase II - Establecimiento del sistema de seguridad Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. (4 controles)  (4/4) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. (33 controles) Nivel bajo:  (15/16) Nivel alto:  (27/33) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. (38 controles) Nivel bajo:  (20/23) Nivel alto:  (28/38) •Para cada Sistema de Información, se elabora un GAP Análisis para ver el nivel de cumplimiento y evaluar el esfuerzo para adecuarse al nivel exigible por el ENS (conforme GUIA 806) : 0 20 40 60 80 100 Marco Organizativo Marco Operacional Medidas de Protección CUMPLIMIENTO ACTUAL EXIGIBLE ENS
23 Descripción de los trabajos Fase III - Elaboración del Plan de Adecuación al ENS El citado plan de adecuación debe ser elaborado conforme la Guía CCN- STIC-806, con las medidas de seguridad por subsistema considerado (Anexo II) y contiene la siguiente información: • La política de seguridad. • Información que se maneja, con su valoración. • Servicios que se prestan, con su valoración. • Datos de carácter personal. • Categoría del sistema. • Declaración de aplicabilidad de las medidas del Anexo II del ENS. • Análisis de riesgos. • Insuficiencias del sistema. • Plan de mejora de seguridad, incluyendo plazos estimados de ejecución.
24 Descripción de los trabajos Fase III - Elaboración del Plan de Adecuación al ENS Al finalizar la Fase III se debe disponer del preceptivo Plan de Adecuación al Esquema Nacional de Seguridad.
25 Descripción de los trabajos •Implantación de medidas Marco Organizativo, Marco Operacional, Medidas de Protección (conforme Guía CCN-STIC-804) • La clave de una correcta ejecución de las líneas de actuación pasa por una adecuada gestión del seguimiento de las acciones •Para ello se creará necesariamente para el mantenimiento del sistema un comité de gestión del SGSI •Se realizará un seguimiento exhaustivo de las tareas a implantar: •Elaboración de un cuadro tecnológico •Redes •Apache •Servidores •AIX •… Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Fase IV - Implantación de las normas de actuación
26 Descripción de los trabajos  Como consecuencia de la implantación del ENS, y con la intención de completar la puesta en marcha de los cambios introducidos por el ENS en la dinámica de la Entidad Pública, se presenta la puesta en marcha de distintos proyectos:  Ejecución de los test de vulnerabilidades requeridos (proporcionamos Máquina Virtual con todo el entorno necesario)  Implantación del Procedimiento de Gestión y Registro de incidencias (posible requisito herramienta de Ticketing).  Plan de continuidad del servicio.  Implantación de medidas de supervisión y monitorización del sistema (posible requisitos de herramienta de monitorización).  Etc. • Como resultado del plan de Adecuación, pueden ser necesarios otros proyectos que requieran herramientas no incluidas dentro de este presupuesto (p.e., Firewall, Antivirus, backups, adquisición de equipos, etc.) Fase IV - Implantación de las normas de actuación
27 Descripción de los trabajos •Se diseña a partir de la documentación existente (Doc. Seguridad LOPD, Políticas existentes en la Entidad Pública…) un documento que cumpla todos los requisitos de la Guía CCN-STIC-805 Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Fase IV - Implantación de las normas de actuación
28 Descripción de los trabajos • Conjugar Formación Online (continua con tutorización online)/ Presencial • Sesiones de formación a técnicos •Evaluación de la formación Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información MÓDULO DENOMINACIÓN I Teoría – Origen del Esquema Nacional de Seguridad. Ley de Acceso Electrónico a los Servicios Públicos. Cuestionario Módulo I II Teoría – Esquema Nacional de Seguridad (ENS) Cuestionario Módulo II III Teoría – Auditoría de Seguridad y Análisis diferencial con respecto al ENS Prácticas Módulo III Cuestionario Módulo III IV Teoría – Procedimientos obligatorios en el ENS Prácticas Módulo IV Cuestionario Módulo IV V Teoría – Plan de Adecuación al Esquema Nacional de Seguridad Prácticas Módulo V Cuestionario Módulo V Fase IV - Implantación de las normas de actuación
29 Descripción de los trabajos Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información •Publicación de la declaración de conformidad •Informe técnico que la corrobore Fase IV - Implantación de las normas de actuación
30 Descripción de los trabajos • Ruta de seguimiento reiterativa Ejecución de las líneas de actuación del Plan de Adecuación Política de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Análisis de Riesgos Inventario de Activos Aprobar política de seguridad y aceptación del Riesgo Aplicar Controles de Seguridad Difundir e Implantar Gestión del Riesgo Monitorización Seguridad Revisión de la Evaluación del Riesgo Acciones del Plan de Seguridad Gestión de Seguridad de la Información Plan de Tratamiento del Riesgo Gestión incidencias de Seguridad Fase IV - Implantación de las normas de actuación
31 Descripción de los trabajos Fase IV - Implantación de las normas de actuación Durante esta fase se realizan sesiones de control para analizar:  Grado de implantación de los procedimientos de copias de seguridad, recuperación de datos, identificación de los usuario, accesos a datos, trabajos fuera de los puestos de trabajo…  Grado de implantación de la Normativa de Seguridad, Procedimiento de Autorización, Procedimiento de Gestión y Registro de incidencias, Plan de continuidad del servicio…  Grado de implantación del Plan de Mejoras de la Seguridad.  Comités de Seguridad para asegurar la gestión continua de la Seguridad
32 Descripción de los trabajos Fase Mantenimiento
33 Descripción de los trabajos Fase Mantenimiento En esta fase se realiza un mantenimiento anual con objeto de velar por el correcto cumplimiento del Esquema Nacional de Seguridad Entre las actividades a realizar se encuentra:  Implantación y Gestión de un SGSI (Sistema de Gestión de Seguridad de la Información) según el ENS  Aplicación y acompañamiento en la implantación de medidas de Seguridad emanadas del Plan de Adecuación  Celebración de los Comités de Seguridad o seguimiento  Gestión de indicadores y revisión de procedimientos  Auditoría Bienal conforme exigencia del ENS para sistemas de categoría Media y Alta  Autoevaluación conforme exigencia del ENS para sistemas de categoría Baja
34 Descripción de los trabajos Servicios comunes
35 GConsulting Compliance (herramienta de desarrollo propio) proporciona una solución integral para implementar y gestionar la implantación del ENS con un mínimo esfuerzo. Una sencilla consultoría de apoyo le puede permitir adecuarse fácilmente a las obligaciones que marca el ENS. Descripción de los trabajos Herramienta de Gestión
36 Cubre todo el ciclo, desde el análisis inicial, Análisis y Gestión de Riesgos, plan de adecuación, hasta el soporte para la auditoría bienal obligatoria. Descripción de los trabajos Herramienta de Gestión
37 Planificación Primer año de Trabajos Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad y Análisis de Riesgos Fase III – Elaboración Plan de Adecuación ENS Fase IV - Implantación de las normas de actuación Asesoramiento continuo a la implantación + Gestión incidencias Herramientas de apoyo para implantación del ENS (opcionales) Herramientas gestión de incidencias, vulnerabilidades, AGR, varios
38 Planificación Segundo año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información) Tercer año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Auditoría bienal (ENS) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información)
39 ¿Qué pasa si no cumplo a tiempo?
40 CAPITULO VI Estado de seguridad de los sistemas Artículo 35. Informe del estado de la seguridad. El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas. Artículo 40. Mecanismos de control. Cada órgano de la Administración pública o Entidad de Derecho Público establecerá sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad. Qué pasa si no cumplo el ENS
41 •Mecanismos de control •Proyectos de innovación •Programas de investigación de aplicabilidad de medidas Función delegada en dos instituciones: •INTECO •Centro Criptológico Nacional •Actualmente no existe organismo sancionador o regulador. •Se espera se ponga en marcha a lo largo del 2014 Qué pasa si no cumplo el ENS
42 Qué pasa si no cumplo el ENS Ninguno 35% Plan Adecuación 50% Implantaci ón 10% Gestión del SGSI 5% Grados de Cumplimiento
43 Grados de cumplimiento: •No cumplo nada del ENS La organización no es consciente de la importancia de la seguridad para los trámites con los ciudadanos, no conoce sus riesgos. •Tengo el plan de adecuación •La organización es consciente de sus riesgos, de sus sistemas de información, y ha analizado el cumplimiento de cada control, estableciendo un plazo para aplicar aquellos menos críticos. •Tengo el ENS implantado con todas sus medidas La organización ha hecho el esfuerzo de securizar sus Sistemas en un momento dado, pero el sistema está vivo y requiere un pequeño esfuerzo constante. •Tengo un Sistema de Gestión de Seguridad de la Información La organización tiene organizada la gestión de la seguridad, adaptándose fácilmente a cualquier cambio tecnológico Qué pasa si no cumplo el ENS
44 Rafael Vidal Iniesta Director Nunsys Consultoría +34 610297346 Rafael.vidal@nunsys.com www.nunsys.com Gustave Eiffel, 3. Parc Tecnológic 46980 Paterna T+34 902 88 16 26 Contacto

Recommended

Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
Introducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaIntroducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaDiana Vega Hernandez
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Aspectos legales de la transf digital
Aspectos legales de la transf digital Aspectos legales de la transf digital
Aspectos legales de la transf digital Club eadaBnT
 
LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"Sage España
 
Artículo auditoría en protección de datos
Artículo auditoría en protección de datosArtículo auditoría en protección de datos
Artículo auditoría en protección de datosCristina Villavicencio
 
Dpo virtual
Dpo virtualDpo virtual
Dpo virtualSIA Group
 

Recommended

Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysNunsys S.L.
 
Introducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaIntroducción al nuevo RGPD Conversia
Introducción al nuevo RGPD ConversiaDiana Vega Hernandez
 
¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPD¿Qué hay de nuevo, viejo? RGPD vs LOPD
¿Qué hay de nuevo, viejo? RGPD vs LOPDSage España
 
Comparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales NovedadesComparativa LOPD - RGPD. Principales Novedades
Comparativa LOPD - RGPD. Principales Novedadescarlos_2009
 
Aspectos legales de la transf digital
Aspectos legales de la transf digital Aspectos legales de la transf digital
Aspectos legales de la transf digital Club eadaBnT
 
LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"LOPDGDD: las nuevas reglas del "juego"
LOPDGDD: las nuevas reglas del "juego"Sage España
 
Artículo auditoría en protección de datos
Artículo auditoría en protección de datosArtículo auditoría en protección de datos
Artículo auditoría en protección de datosCristina Villavicencio
 
Dpo virtual
Dpo virtualDpo virtual
Dpo virtualSIA Group
 
Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3EDGARLOZANO28
 
Assessment gdpr
Assessment gdprAssessment gdpr
Assessment gdprCristina Arqued
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciadoNilsonCesar3
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasAlcatraz Solutions
 
Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)Andrés Romero
 
Tramitacion electronica primera parte
Tramitacion electronica primera parteTramitacion electronica primera parte
Tramitacion electronica primera parteDelamano SpA
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionPereiraveruska
 
Lpdp
LpdpLpdp
LpdpArturo Huerta Olivares
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPPJorge A. Gomez P.
 
Protección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoProtección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoEnrique Pampliega Higueras
 
Ley federal de protección
Ley federal de protecciónLey federal de protección
Ley federal de protecciónCecytem Nezahualcoyotl II
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datosjulan gonzalez
 
Bases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industriaBases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industriaDIANA LORENA SIERRA
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdAnna Forastier
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Anna Forastier
 
Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)JDA SFAI
 
Decreto protección de datos
Decreto protección de datosDecreto protección de datos
Decreto protección de datosFenalco Antioquia
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...DCD - Destrucción Confidencial de Documentación S.A.
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadSIA Group
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 

More Related Content

What's hot

Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3EDGARLOZANO28
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPDatSistemas
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasAlcatraz Solutions
 
Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)Andrés Romero
 
Tramitacion electronica primera parte
Tramitacion electronica primera parteTramitacion electronica primera parte
Tramitacion electronica primera parteDelamano SpA
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionPereiraveruska
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datosjulan gonzalez
 
Bases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industriaBases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industriaDIANA LORENA SIERRA
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdAnna Forastier
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Anna Forastier
 
Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)JDA SFAI
 
Decreto protección de datos
Decreto protección de datosDecreto protección de datos
Decreto protección de datosFenalco Antioquia
 

What's hot (20)

Caso practico-clase-7-und-3
Caso practico-clase-7-und-3Caso practico-clase-7-und-3
Caso practico-clase-7-und-3
 
Assessment gdpr
Assessment gdprAssessment gdpr
Assessment gdpr
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciado
 
GDPR. La nueva LOPD
GDPR. La nueva LOPDGDPR. La nueva LOPD
GDPR. La nueva LOPD
 
LOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresasLOPD-GDD: Guía de obligaciones para las empresas
LOPD-GDD: Guía de obligaciones para las empresas
 
Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)Curso Lopd Turismo 09 (Sin Anexos)
Curso Lopd Turismo 09 (Sin Anexos)
 
Tramitacion electronica primera parte
Tramitacion electronica primera parteTramitacion electronica primera parte
Tramitacion electronica primera parte
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
 
Lpdp
LpdpLpdp
Lpdp
 
LFPDPPP
LFPDPPPLFPDPPP
LFPDPPP
 
Protección de datos en un Ayuntamiento
Protección de datos en un AyuntamientoProtección de datos en un Ayuntamiento
Protección de datos en un Ayuntamiento
 
Ley federal de protección
Ley federal de protecciónLey federal de protección
Ley federal de protección
 
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
Conversia - ¿Qué opina nuestro experto sobre las obligaciones en materia de P...
 
Ley 1581 base de datos
Ley 1581 base de datosLey 1581 base de datos
Ley 1581 base de datos
 
Bases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industriaBases de datos para la superintendencia de industria
Bases de datos para la superintendencia de industria
 
Breves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopdBreves regulación digital noviembre (2) proyecto lopd
Breves regulación digital noviembre (2) proyecto lopd
 
Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017Breves regulacion digital noviembre 2017
Breves regulacion digital noviembre 2017
 
Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)Nuevo Reglamento General de Protección de Datos (RGPD)
Nuevo Reglamento General de Protección de Datos (RGPD)
 
Decreto protección de datos
Decreto protección de datosDecreto protección de datos
Decreto protección de datos
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
 

Similar to Cumplir ENS en plazo

Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadSIA Group
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
El Esquema Nacional de Seguridad, 5 retos próximos.
El Esquema Nacional de Seguridad, 5 retos próximos.El Esquema Nacional de Seguridad, 5 retos próximos.
El Esquema Nacional de Seguridad, 5 retos próximos.Miguel A. Amutio
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadMiguel A. Amutio
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 

Similar to Cumplir ENS en plazo (20)

Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
El Esquema Nacional de Seguridad, 5 retos próximos.
El Esquema Nacional de Seguridad, 5 retos próximos.El Esquema Nacional de Seguridad, 5 retos próximos.
El Esquema Nacional de Seguridad, 5 retos próximos.
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Documentacion
DocumentacionDocumentacion
Documentacion
 
Teleinformatica
TeleinformaticaTeleinformatica
Teleinformatica
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Modulo
ModuloModulo
Modulo
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria Informatica
 

More from Nunsys S.L.

Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube!
Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube! Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube!
Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube! Nunsys S.L.
 
Scripting para Mikrotik - Presentación Nunsys en MUM
Scripting para Mikrotik - Presentación Nunsys en MUMScripting para Mikrotik - Presentación Nunsys en MUM
Scripting para Mikrotik - Presentación Nunsys en MUMNunsys S.L.
 
Curso de Microsoft Navision-Dynamics Nav para administrativos en Valencia
Curso de Microsoft Navision-Dynamics Nav para administrativos en ValenciaCurso de Microsoft Navision-Dynamics Nav para administrativos en Valencia
Curso de Microsoft Navision-Dynamics Nav para administrativos en ValenciaNunsys S.L.
 
Nunsys HP Day - Un nuevo estilo de IT
Nunsys HP Day - Un nuevo estilo de ITNunsys HP Day - Un nuevo estilo de IT
Nunsys HP Day - Un nuevo estilo de ITNunsys S.L.
 
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day Nunsys S.L.
 
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day'
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day' Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day'
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day' Nunsys S.L.
 
Ponencia Sharepoint Microsoft Day
Ponencia Sharepoint Microsoft DayPonencia Sharepoint Microsoft Day
Ponencia Sharepoint Microsoft DayNunsys S.L.
 
Caso de éxito de Nunsys con Juguettos - Solución Cisco
Caso de éxito de Nunsys con Juguettos - Solución CiscoCaso de éxito de Nunsys con Juguettos - Solución Cisco
Caso de éxito de Nunsys con Juguettos - Solución CiscoNunsys S.L.
 
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de NunsysNunsys S.L.
 
Resumen-tweets de las 9ª Jornadas TMT Valencia
Resumen-tweets de las 9ª Jornadas TMT ValenciaResumen-tweets de las 9ª Jornadas TMT Valencia
Resumen-tweets de las 9ª Jornadas TMT ValenciaNunsys S.L.
 

More from Nunsys S.L. (10)

Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube!
Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube! Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube!
Guía de ayuda para Subvenciones Cloud ¡Súbete a la Nube!
 
Scripting para Mikrotik - Presentación Nunsys en MUM
Scripting para Mikrotik - Presentación Nunsys en MUMScripting para Mikrotik - Presentación Nunsys en MUM
Scripting para Mikrotik - Presentación Nunsys en MUM
 
Curso de Microsoft Navision-Dynamics Nav para administrativos en Valencia
Curso de Microsoft Navision-Dynamics Nav para administrativos en ValenciaCurso de Microsoft Navision-Dynamics Nav para administrativos en Valencia
Curso de Microsoft Navision-Dynamics Nav para administrativos en Valencia
 
Nunsys HP Day - Un nuevo estilo de IT
Nunsys HP Day - Un nuevo estilo de ITNunsys HP Day - Un nuevo estilo de IT
Nunsys HP Day - Un nuevo estilo de IT
 
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day
Microsoft Azure en empresa - Ponencia Nunsys Microsoft Day
 
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day'
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day' Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day'
Migración de Windows XP a Windows 8 - Ponencia Nunsys 'Microsoft Day'
 
Ponencia Sharepoint Microsoft Day
Ponencia Sharepoint Microsoft DayPonencia Sharepoint Microsoft Day
Ponencia Sharepoint Microsoft Day
 
Caso de éxito de Nunsys con Juguettos - Solución Cisco
Caso de éxito de Nunsys con Juguettos - Solución CiscoCaso de éxito de Nunsys con Juguettos - Solución Cisco
Caso de éxito de Nunsys con Juguettos - Solución Cisco
 
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys
"Juntos hacia la Nube". Antonio Reinón Director de Sistemas de Nunsys
 
Resumen-tweets de las 9ª Jornadas TMT Valencia
Resumen-tweets de las 9ª Jornadas TMT ValenciaResumen-tweets de las 9ª Jornadas TMT Valencia
Resumen-tweets de las 9ª Jornadas TMT Valencia
 

Recently uploaded

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Recently uploaded (13)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Cumplir ENS en plazo

  • 1. 1 ¿Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? ¿Qué puedo hacer si el plazo ya se ha pasado?
  • 3. 3 El objetivo de la presentación es explicar en qué consiste un plan de adecuación al RD 3/2010 del Esquema Nacional de Seguridad, y la implantación de las medidas derivadas de las obligaciones derivadas del mismo. También se explicará el mantenimiento que exige la ley. Los trabajos que se describirán más adelante permiten el cumplimiento a las exigencias y requerimientos que el Plan de Adecuación al ENS, tanto para su desarrollo inicial (Fase I a Fase IV) cómo para el posterior mantenimiento del Documento de Seguridad y la Ejecución de las líneas de actuación del Plan de Adecuación (Fase Mantenimiento). Introducción
  • 4. 4 A fin de impulsar el avance de la Sociedad de la Información en el ámbito de las Administraciones Publicas (AAPP), se aprobó la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), cuya finalidad es garantizar la provisión de servicios de las AAPP hacia los ciudadanos por medios telemáticos y electrónicos, manteniendo y mejorando las condiciones actuales en la prestación de esos mismos servicios en su modalidad presencial. Introducción: Origen del ENS ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI) • Establece los criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones informáticas. ESQUEMA NACIONAL DE SEGURIDAD (ENS) • Establece la política de seguridad en la utilización de medios electrónicos, así como los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
  • 5. 5 Introducción: Origen del ENS En este sentido, el concepto de seguridad de la información ya aparece en el artículo 1.2., dedicado al objeto de la norma, donde se establece que: Las AAPP emplearán las TIC asegurando: •La disponibilidad •el acceso •la integridad •la autenticidad •la confidencialidad •la conservación De: •Datos •Informaciones •Servicios Que gestionen en el ejercicio de sus competencias Esquema Nacional de Seguridad Desarrollado en
  • 6. 6 La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las AAPP, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Introducción: Origen del ENS Una organización (p.e. Ayuntamiento) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados. Aplicación efectiva para Sistemas Existentes: Enero 2011(12 meses de la entrada en vigor). En ningún caso 48 meses después si las circunstancias impiden su plena aplicación (contar con un plan de adecuación): Enero 2014 A nuevos Sistemas les aplicará desde su concepción REQUISITOS
  • 7. 7 La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Introducción: ¿Qué sistemas deben cumplir el ENS? Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. Por tanto, el ENS se aplica esencialmente a los sistemas de información que soportan la actividad administrativa, la actividad interadministrativa y las relaciones con los ciudadanos.
  • 9. ¿Qué tengo que hacer para cumplir el ENS?
  • 11. 11 Descripción de los trabajos Primer año de trabajo Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III – Elaboración/modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación Segundo y tercer año de trabajo: Fase de Mantenimiento A continuación, pasamos a describir los trabajos que deben realizarse: Plan de Adecuación
  • 12. 12 Las tareas para lograr los objetivos se dividen en las siguientes fases. Primer año de trabajos Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III - Elaboración/ modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación Descripción de los trabajos
  • 13. 13 Descripción de los trabajos 1. Identificación de las personas de las diferentes áreas 2. Concreción del alcance Fase I - Análisis del estado inicial Registro electrónico Sede electrónica Comunicación electrónicaCarpeta ciudadana Interoperatividad Pago telemático
  • 14. 14 Descripción de los trabajos Fase I - Análisis del estado inicial •Esquema Nacional de Seguridad (ENS): En este diagnóstico se utiliza el cuestionario de la guía CCN-STIC- 808 de cumplimiento de aplicación de los controles correspondientes, previstos en el Anexo II del ENS. El objetivo del cuestionario es doble, por un lado, interpretar cada control aplicable personalizado en la organización y por otro, cuantificar cuál es el grado de madurez de la organización en cuanto al cumplimiento de las buenas prácticas recomendadas para la implantación del Real Decreto 3/2010. La guía CCN que detalla las medidas a implantar es CCN-STIC-804
  • 15. 15 Descripción de los trabajos Fase I - Análisis del estado inicial Esta primera evaluación del estado de cumplimiento del ENS por parte de la Organización sobre los sistemas de información que dan soporte a su Sede Electrónica; https://sede.ORGANIZACION.com La plataforma de eAdmin (Administración Electrónica) puede ser de desarrollo propio, o basada en la plataforma de diversos proveedores, o delegada en un organismo superior como diputación o una Mancomunidad. El cumplimiento de las medidas técnicas y organizativas es responsabilidad de la organización, aunque la plataforma sea de un tercero.
  • 16. 16 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información •Que esté basada en Servicios Actuales y Futuros •Trámites administrativos a implementar •Selección de Subsistemas según procesos más críticos a segregar •Proceso iterativo para esta identificación basándonos en •Segregación de los procesos (subsistemas) más críticos en virtud del Análisis de Riesgos •Determinación de las medidas a implantar según categoría del Sistema y Análisis de Riesgo Fase II - Establecimiento del sistema de seguridad
  • 17. 17 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información • Establecer correlaciones entre procesos principales y secundarios • Previsión de servicios futuros Modelo de dependencias a emplear en ENS Sistemas de Información Fase II - Establecimiento del sistema de seguridad
  • 18. 18 – La metodología para establecer las dependencias entre activos se basa normalmente en Magerit, se realizarán iteraciones a lo largo del proceso de implantación en función de la evolución de la plataforma de eAdmin del la organización. – PILAR – GConsulting SERVICIO DATOS APLICACION EQUIPO INSTALACIÓN PROVEEDOR SW 10-20% Máximo SERVICIO INTERNO PROVEEDOR EXTERNO PERSONA A su vez dependen de el Datos, Equipos, etc. No es muy aconsejable introducir personas salvo que sean realmente críticas Hay que intentar realizar esta conexión a través de la capa de datos siempre que sea posible Hay que intentar realizar esta conexión a través de las demás capas siempre que sea posible, a no ser que sean activos móviles (p.ej un coche) Descripción de los trabajos Fase II - Establecimiento del sistema de seguridad
  • 19. 19 Descripción de los trabajos Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información • Realizar una efectiva Categorización de Sistemas de Información • Conveniencia de extraer Subsistemas para mejorar las granularidad Ej. Pasarela de pago Fase II - Establecimiento del sistema de seguridad
  • 20. 20 Descripción de los trabajos 1. Categorización de Sistemas de Información • Algunos puede que aún no existan, por tanto es necesario mantenerlo actualizado 2. Elección de la metodología para categorizar sistemas y subsistemas (Guía CCN-STIC-803) Anexo II-2: Cuando en un Sistema de Información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados. Fase II - Establecimiento del sistema de seguridad
  • 21. 21 Descripción de los trabajos Declaración de Aplicabilidad •Partiendo del análisis de riesgos realizado y de la valoración de los distintos activos (información y servicios) •Análisis para la determinación de las amenazas/riesgos básicos •Contraste del mapa de las amenazas consideradas •Establecer un consenso en la elección del nivel aceptable de riesgo Declaración de Aplicabilidad Fase II - Establecimiento del sistema de seguridad
  • 22. 22 Descripción de los trabajos Fase II - Establecimiento del sistema de seguridad Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. (4 controles)  (4/4) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. (33 controles) Nivel bajo:  (15/16) Nivel alto:  (27/33) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. (38 controles) Nivel bajo:  (20/23) Nivel alto:  (28/38) •Para cada Sistema de Información, se elabora un GAP Análisis para ver el nivel de cumplimiento y evaluar el esfuerzo para adecuarse al nivel exigible por el ENS (conforme GUIA 806) : 0 20 40 60 80 100 Marco Organizativo Marco Operacional Medidas de Protección CUMPLIMIENTO ACTUAL EXIGIBLE ENS
  • 23. 23 Descripción de los trabajos Fase III - Elaboración del Plan de Adecuación al ENS El citado plan de adecuación debe ser elaborado conforme la Guía CCN- STIC-806, con las medidas de seguridad por subsistema considerado (Anexo II) y contiene la siguiente información: • La política de seguridad. • Información que se maneja, con su valoración. • Servicios que se prestan, con su valoración. • Datos de carácter personal. • Categoría del sistema. • Declaración de aplicabilidad de las medidas del Anexo II del ENS. • Análisis de riesgos. • Insuficiencias del sistema. • Plan de mejora de seguridad, incluyendo plazos estimados de ejecución.
  • 24. 24 Descripción de los trabajos Fase III - Elaboración del Plan de Adecuación al ENS Al finalizar la Fase III se debe disponer del preceptivo Plan de Adecuación al Esquema Nacional de Seguridad.
  • 25. 25 Descripción de los trabajos •Implantación de medidas Marco Organizativo, Marco Operacional, Medidas de Protección (conforme Guía CCN-STIC-804) • La clave de una correcta ejecución de las líneas de actuación pasa por una adecuada gestión del seguimiento de las acciones •Para ello se creará necesariamente para el mantenimiento del sistema un comité de gestión del SGSI •Se realizará un seguimiento exhaustivo de las tareas a implantar: •Elaboración de un cuadro tecnológico •Redes •Apache •Servidores •AIX •… Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Fase IV - Implantación de las normas de actuación
  • 26. 26 Descripción de los trabajos  Como consecuencia de la implantación del ENS, y con la intención de completar la puesta en marcha de los cambios introducidos por el ENS en la dinámica de la Entidad Pública, se presenta la puesta en marcha de distintos proyectos:  Ejecución de los test de vulnerabilidades requeridos (proporcionamos Máquina Virtual con todo el entorno necesario)  Implantación del Procedimiento de Gestión y Registro de incidencias (posible requisito herramienta de Ticketing).  Plan de continuidad del servicio.  Implantación de medidas de supervisión y monitorización del sistema (posible requisitos de herramienta de monitorización).  Etc. • Como resultado del plan de Adecuación, pueden ser necesarios otros proyectos que requieran herramientas no incluidas dentro de este presupuesto (p.e., Firewall, Antivirus, backups, adquisición de equipos, etc.) Fase IV - Implantación de las normas de actuación
  • 27. 27 Descripción de los trabajos •Se diseña a partir de la documentación existente (Doc. Seguridad LOPD, Políticas existentes en la Entidad Pública…) un documento que cumpla todos los requisitos de la Guía CCN-STIC-805 Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Fase IV - Implantación de las normas de actuación
  • 28. 28 Descripción de los trabajos • Conjugar Formación Online (continua con tutorización online)/ Presencial • Sesiones de formación a técnicos •Evaluación de la formación Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información MÓDULO DENOMINACIÓN I Teoría – Origen del Esquema Nacional de Seguridad. Ley de Acceso Electrónico a los Servicios Públicos. Cuestionario Módulo I II Teoría – Esquema Nacional de Seguridad (ENS) Cuestionario Módulo II III Teoría – Auditoría de Seguridad y Análisis diferencial con respecto al ENS Prácticas Módulo III Cuestionario Módulo III IV Teoría – Procedimientos obligatorios en el ENS Prácticas Módulo IV Cuestionario Módulo IV V Teoría – Plan de Adecuación al Esquema Nacional de Seguridad Prácticas Módulo V Cuestionario Módulo V Fase IV - Implantación de las normas de actuación
  • 29. 29 Descripción de los trabajos Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información •Publicación de la declaración de conformidad •Informe técnico que la corrobore Fase IV - Implantación de las normas de actuación
  • 30. 30 Descripción de los trabajos • Ruta de seguimiento reiterativa Ejecución de las líneas de actuación del Plan de Adecuación Política de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Análisis de Riesgos Inventario de Activos Aprobar política de seguridad y aceptación del Riesgo Aplicar Controles de Seguridad Difundir e Implantar Gestión del Riesgo Monitorización Seguridad Revisión de la Evaluación del Riesgo Acciones del Plan de Seguridad Gestión de Seguridad de la Información Plan de Tratamiento del Riesgo Gestión incidencias de Seguridad Fase IV - Implantación de las normas de actuación
  • 31. 31 Descripción de los trabajos Fase IV - Implantación de las normas de actuación Durante esta fase se realizan sesiones de control para analizar:  Grado de implantación de los procedimientos de copias de seguridad, recuperación de datos, identificación de los usuario, accesos a datos, trabajos fuera de los puestos de trabajo…  Grado de implantación de la Normativa de Seguridad, Procedimiento de Autorización, Procedimiento de Gestión y Registro de incidencias, Plan de continuidad del servicio…  Grado de implantación del Plan de Mejoras de la Seguridad.  Comités de Seguridad para asegurar la gestión continua de la Seguridad
  • 32. 32 Descripción de los trabajos Fase Mantenimiento
  • 33. 33 Descripción de los trabajos Fase Mantenimiento En esta fase se realiza un mantenimiento anual con objeto de velar por el correcto cumplimiento del Esquema Nacional de Seguridad Entre las actividades a realizar se encuentra:  Implantación y Gestión de un SGSI (Sistema de Gestión de Seguridad de la Información) según el ENS  Aplicación y acompañamiento en la implantación de medidas de Seguridad emanadas del Plan de Adecuación  Celebración de los Comités de Seguridad o seguimiento  Gestión de indicadores y revisión de procedimientos  Auditoría Bienal conforme exigencia del ENS para sistemas de categoría Media y Alta  Autoevaluación conforme exigencia del ENS para sistemas de categoría Baja
  • 34. 34 Descripción de los trabajos Servicios comunes
  • 35. 35 GConsulting Compliance (herramienta de desarrollo propio) proporciona una solución integral para implementar y gestionar la implantación del ENS con un mínimo esfuerzo. Una sencilla consultoría de apoyo le puede permitir adecuarse fácilmente a las obligaciones que marca el ENS. Descripción de los trabajos Herramienta de Gestión
  • 36. 36 Cubre todo el ciclo, desde el análisis inicial, Análisis y Gestión de Riesgos, plan de adecuación, hasta el soporte para la auditoría bienal obligatoria. Descripción de los trabajos Herramienta de Gestión
  • 37. 37 Planificación Primer año de Trabajos Fase I –Análisis del estado actual Fase II - Establecimiento del sistema de seguridad y Análisis de Riesgos Fase III – Elaboración Plan de Adecuación ENS Fase IV - Implantación de las normas de actuación Asesoramiento continuo a la implantación + Gestión incidencias Herramientas de apoyo para implantación del ENS (opcionales) Herramientas gestión de incidencias, vulnerabilidades, AGR, varios
  • 38. 38 Planificación Segundo año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información) Tercer año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Auditoría bienal (ENS) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información)
  • 39. 39 ¿Qué pasa si no cumplo a tiempo?
  • 40. 40 CAPITULO VI Estado de seguridad de los sistemas Artículo 35. Informe del estado de la seguridad. El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas. Artículo 40. Mecanismos de control. Cada órgano de la Administración pública o Entidad de Derecho Público establecerá sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad. Qué pasa si no cumplo el ENS
  • 41. 41 •Mecanismos de control •Proyectos de innovación •Programas de investigación de aplicabilidad de medidas Función delegada en dos instituciones: •INTECO •Centro Criptológico Nacional •Actualmente no existe organismo sancionador o regulador. •Se espera se ponga en marcha a lo largo del 2014 Qué pasa si no cumplo el ENS
  • 42. 42 Qué pasa si no cumplo el ENS Ninguno 35% Plan Adecuación 50% Implantaci ón 10% Gestión del SGSI 5% Grados de Cumplimiento
  • 43. 43 Grados de cumplimiento: •No cumplo nada del ENS La organización no es consciente de la importancia de la seguridad para los trámites con los ciudadanos, no conoce sus riesgos. •Tengo el plan de adecuación •La organización es consciente de sus riesgos, de sus sistemas de información, y ha analizado el cumplimiento de cada control, estableciendo un plazo para aplicar aquellos menos críticos. •Tengo el ENS implantado con todas sus medidas La organización ha hecho el esfuerzo de securizar sus Sistemas en un momento dado, pero el sistema está vivo y requiere un pequeño esfuerzo constante. •Tengo un Sistema de Gestión de Seguridad de la Información La organización tiene organizada la gestión de la seguridad, adaptándose fácilmente a cualquier cambio tecnológico Qué pasa si no cumplo el ENS
  • 44. 44 Rafael Vidal Iniesta Director Nunsys Consultoría +34 610297346 Rafael.vidal@nunsys.com www.nunsys.com Gustave Eiffel, 3. Parc Tecnológic 46980 Paterna T+34 902 88 16 26 Contacto