Seminario sobre el Esquema Nacional de Seguridad (ENS)

23,030 views
22,913 views

Published on

Seminario impartido por Víctor Salgado sobre el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica derivado de la de la
Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) impartido en el Curso de Seguridad Telemática de la Universidad de Vigo el 29 de junio de 2011.

Published in: Business, Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
23,030
On SlideShare
0
From Embeds
0
Number of Embeds
21,446
Actions
Shares
0
Downloads
3
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Seminario sobre el Esquema Nacional de Seguridad (ENS)

  1. 1. Víctor Salgado Seguín Pintos & Salgado Abogados ESQUEMA NACIONAL DE SEGURIDAD Copyright © Pintos & Salgado, 2011
  2. 2. ¿Es posible acabar con el papel? Copyright © Pintos & Salgado, 2011
  3. 3. e-Documentos ya legales <ul><li>1- Todo tipo de contratos , incluso los que se exijan en “forma escrita”, a excepción de los de familia, sucesiones y escrituras públicas. (artículo 23 LSSICE). </li></ul><ul><li>2- Las facturas , siempre que se cumplan los requisitos establecidos en la Ley 56/2007 (LMISI) y normativa concordante. </li></ul><ul><li>3- Documentos para Administraciones Públicas , Ley 11/2007 (LAECSP). </li></ul><ul><li>4- Otros documentos no formales . </li></ul>Copyright © Pintos & Salgado, 2011
  4. 4. ¡e-Administración ya! Copyright © Pintos & Salgado, 2011
  5. 5. LA CLAVE ES LA SEGURIDAD = CONFIANZA Copyright © Pintos & Salgado, 2011
  6. 6. Antecedentes: LOPD <ul><li>Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de Datos de Carácter Personal. (LOPD) </li></ul><ul><li>Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. (Derogado) </li></ul><ul><li>Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento desarrollo de la Ley Orgánica 15/1999, de 13 de junio de protección de datos de carácter personal. (RLOPD) </li></ul>Copyright © Pintos & Salgado, 2011
  7. 7. Niveles de seguridad RLOPD I <ul><li>Nivel Básico (81.1): Datos personales en general. </li></ul><ul><li>Nivel Medio (81.2) </li></ul><ul><ul><li>Comisión de infracciones administrativas o penales, </li></ul></ul><ul><ul><li>Administraciones tributarias, </li></ul></ul><ul><ul><li>Entidades financieras, </li></ul></ul><ul><ul><li>Entidades gestoras y Servicios de Seguridad Social </li></ul></ul><ul><ul><li>Solvencia patrimonial y crédito, </li></ul></ul><ul><ul><li>Suficiencia para evaluación de la personalidad. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  8. 8. <ul><li>Nivel Alto (81.3) </li></ul><ul><ul><li>Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. </li></ul></ul><ul><ul><li>Datos policiales recabados sin consentimiento. </li></ul></ul><ul><ul><li>Datos derivados de actos de violencia de genero. </li></ul></ul><ul><ul><li>Datos de trafico y localización por prestadores servicios de comunicaciones electrónicas. </li></ul></ul>Niveles de seguridad RLOPD II Copyright © Pintos & Salgado, 2011
  9. 9. Medidas de seguridad RLOPD Copyright © Pintos & Salgado, 2011
  10. 10. Base Legal del ENS <ul><li>Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) </li></ul><ul><li>Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. (en vigor: 30 de enero 2010) </li></ul>Copyright © Pintos & Salgado, 2011
  11. 11. Ámbito de Aplicación <ul><li>Todas las Administraciones Públicas (AAPP): </li></ul><ul><ul><li>Estado, Comunidades Autónomas, Administración Local, y entidades de derecho público. </li></ul></ul><ul><li>Ciudadanos en sus relaciones con las AAPP. </li></ul><ul><li>Relaciones entre las distintas AAPP. </li></ul><ul><li>Se excluyen : </li></ul><ul><ul><li>Actividades de AAPP en régimen de derecho privado. </li></ul></ul><ul><ul><li>Sistemas que tratan información clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de desarrollo </li></ul></ul>Copyright © Pintos & Salgado, 2011
  12. 12. LAECSP <ul><li>Artículo 42.2: </li></ul><ul><ul><li>“ El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información .” </li></ul></ul>Copyright © Pintos & Salgado, 2011
  13. 13. Principios Básicos Copyright © Pintos & Salgado, 2011
  14. 14. Requisitos Mínimos Copyright © Pintos & Salgado, 2011
  15. 15. Organización e implantación del proceso de seguridad <ul><li>La seguridad deberá comprometer a todos los miembros de la organización. </li></ul><ul><li>La Política de Seguridad deberá: </li></ul><ul><ul><li>Identificar unos claros responsables de velar por su cumplimiento y </li></ul></ul><ul><ul><li>Ser conocida por todos los miembros de la organización administrativa. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  16. 16. Análisis y gestión de los riesgos <ul><li>Se empleará alguna metodología reconocida internacionalmente. </li></ul><ul><li>Medidas adoptadas para mitigar o suprimir los riesgos deberán: </li></ul><ul><ul><li>Estar justificadas y </li></ul></ul><ul><ul><li>Existir una proporcionalidad entre ellas y los riesgos </li></ul></ul>Copyright © Pintos & Salgado, 2011
  17. 17. Gestión de personal <ul><li>Se deberá formar, informar y supervisar a todo el personal en cumplimiento de “normas de seguridad” </li></ul><ul><li>Cada usuario debe: </li></ul><ul><ul><li>Estar identificado de forma única en el acceso al sistema, </li></ul></ul><ul><ul><li>Ser monitorizable sobre: </li></ul></ul><ul><ul><ul><li>Sus derechos de acceso concedidos, </li></ul></ul></ul><ul><ul><ul><li>De qué tipo son éstos, y </li></ul></ul></ul><ul><ul><ul><li>La realización de determinada actividad en el sistema. </li></ul></ul></ul>Copyright © Pintos & Salgado, 2011
  18. 18. Profesionalidad <ul><li>La seguridad estará atendida, revisada y auditada por personal especialmente cualificado . </li></ul><ul><li>Las AAPP exigirán, de manera objetiva y no discriminatoria, que sus proveedores de seguridad cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados. </li></ul>Copyright © Pintos & Salgado, 2011
  19. 19. Autorización y control de los accesos <ul><li>Acceso a los sistemas de información: </li></ul><ul><ul><li>Controlado y limitado a los usuarios, procesos y dispositivos autorizados, </li></ul></ul><ul><ul><li>Restringiéndolo a las funciones permitidas </li></ul></ul>Copyright © Pintos & Salgado, 2011
  20. 20. Protección de las instalaciones <ul><li>Los sistemas se instalarán en áreas separadas (CPD), dotadas de un procedimiento de control de acceso: </li></ul><ul><li>Como mínimo, las salas deben estar cerradas y disponer de un control de llaves. </li></ul>Copyright © Pintos & Salgado, 2011
  21. 21. Adquisición de productos de seguridad <ul><li>Se valorarán positivamente los que tengan certificada su funcionalidad de seguridad. </li></ul><ul><li>Según normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional. </li></ul><ul><li>Organismo de Certificación OC-ENECSTI: http://www.oc.ccn.cni.es/ </li></ul><ul><ul><li>Real Decreto 421/2004, de 12 de marzo, Centro Criptológico Nacional. </li></ul></ul><ul><ul><li>Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  22. 22. Seguridad por defecto <ul><li>Mínima funcionalidad imprescindible para objetivos. </li></ul><ul><li>Operación, administración y registros mínimos y sólo accesibles por autorizados y, e.s.c., restringidos. </li></ul><ul><li>El uso ordinario ha de ser sencillo y seguro: </li></ul><ul><ul><li>Sólo uso inseguro por acto consciente del usuario. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  23. 23. Integridad y actualización del sistema <ul><li>Toda instalación en el sistema requerirá autorización formal previa. </li></ul><ul><li>Se deberá conocer en todo momento el estado de seguridad de los sistemas: </li></ul><ul><ul><li>Especificaciones de los fabricantes, </li></ul></ul><ul><ul><li>Vulnerabilidades y actualizaciones aplicables, </li></ul></ul><ul><ul><li>Reaccionando con diligencia para gestionar el riesgo. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  24. 24. Protección de información almacenada y en tránsito <ul><li>Especial atención a entornos inseguros: </li></ul><ul><ul><li>Equipos portátiles, </li></ul></ul><ul><ul><li>Asistentes personales (PDA), </li></ul></ul><ul><ul><li>Dispositivos periféricos, y </li></ul></ul><ul><ul><li>Sistemas con redes abiertas o cifrado débil. </li></ul></ul><ul><li>Procedimientos de recuperación y conservación a LP de documentos electrónicos. </li></ul><ul><li>Soportes no electrónicos: grado seguridad por analogía. </li></ul>Copyright © Pintos & Salgado, 2011
  25. 25. Prevención ante otros sistemas de información interconectados <ul><li>Perímetro protegido si conecta a redes públicas (LGT) </li></ul><ul><li>Para interconexión del sistema con otros por redes: </li></ul><ul><ul><li>Se analizarán sus riesgos derivados, y </li></ul></ul><ul><ul><li>Se controlará su punto de unión . </li></ul></ul>Copyright © Pintos & Salgado, 2011
  26. 26. Registro de actividad <ul><li>De los usuarios, reteniendo información sólo para: </li></ul><ul><ul><li>monitorizar, </li></ul></ul><ul><ul><li>analizar, </li></ul></ul><ul><ul><li>investigar y </li></ul></ul><ul><ul><li>documentar actividades indebidas o no autorizadas. </li></ul></ul><ul><li>Respetando derecho al honor, intimidad y propia imagen </li></ul><ul><li>Según normativa: LOPD, función pública o laboral, etc. </li></ul>Copyright © Pintos & Salgado, 2011
  27. 27. Incidentes de seguridad <ul><li>Es todo suceso inesperado o no deseado con consecuencias en merma de la seguridad del sistema </li></ul><ul><li>Se registrarán: </li></ul><ul><ul><li>los incidentes de seguridad que se produzcan y </li></ul></ul><ul><ul><li>las acciones de tratamiento </li></ul></ul><ul><ul><li>para la mejora continua de la seguridad del sistema. </li></ul></ul><ul><li>Sistema de detección y reacción frente código dañino </li></ul>Copyright © Pintos & Salgado, 2011
  28. 28. Continuidad de la actividad <ul><li>Los sistemas dispondrán de: </li></ul><ul><ul><li>Copias de seguridad y </li></ul></ul><ul><ul><li>Mecanismos para garantizar continuidad de operaciones, en caso de pérdida de los medios habituales de trabajo </li></ul></ul>Copyright © Pintos & Salgado, 2011
  29. 29. Mejora continua del proceso de seguridad <ul><li>El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. </li></ul><ul><li>Aplicando: </li></ul><ul><ul><li>Criterios y métodos de gestión TIC </li></ul></ul><ul><ul><li>Reconocidos en práctica nacional e internacional </li></ul></ul>Copyright © Pintos & Salgado, 2011
  30. 30. Cumplimiento de requisitos mínimos <ul><li>Para dar cumplimiento a los requisitos mínimos, las AAPP aplicarán las medidas de seguridad, según: </li></ul><ul><ul><li>a) Los activos que constituyen el sistema, </li></ul></ul><ul><ul><li>b) La categoría del sistema y </li></ul></ul><ul><ul><li>c) Las decisiones para gestiona riesgos identificados. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  31. 31. Activo <ul><li>Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. </li></ul><ul><li>Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. </li></ul>Copyright © Pintos & Salgado, 2011
  32. 32. Dimensiones de la Seguridad Copyright © Pintos & Salgado, 2011
  33. 33. Categorías de Seguridad de Sistemas <ul><li>Se basan en la valoración del impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas para: </li></ul><ul><ul><li>a) Alcanzar sus objetivos. </li></ul></ul><ul><ul><li>b) Proteger los activos a su cargo. </li></ul></ul><ul><ul><li>c) Cumplir sus obligaciones diarias de servicio. </li></ul></ul><ul><ul><li>d) Respetar la legalidad vigente. </li></ul></ul><ul><ul><li>e) Respetar los derechos de las personas. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  34. 34. Niveles de Categorías Dimensiones-SI Copyright © Pintos & Salgado, 2011
  35. 35. Medidas de Seguridad: Grupos Copyright © Pintos & Salgado, 2011
  36. 36. Comunicaciones Electrónicas <ul><li>Exigencias técnicas notificaciones y publicaciones: </li></ul><ul><ul><li>Autenticidad del organismo que lo publique. </li></ul></ul><ul><ul><li>Integridad de la información publicada. </li></ul></ul><ul><ul><li>Constancia de fecha y hora de puesta a disposición y acceso a su contenido. </li></ul></ul><ul><ul><li>Autenticidad del destinatario. </li></ul></ul><ul><li>Uso de Firma Electrónica: LFE, ENI y Anexo II. </li></ul>Copyright © Pintos & Salgado, 2011
  37. 37. Auditoría de la Seguridad <ul><li>Objetivo: verificar el cumplimiento de los requerimientos del Esquema Nacional de Seguridad </li></ul><ul><li>Tipos: </li></ul><ul><ul><li>Ordinaria: cada 2 años. </li></ul></ul><ul><ul><li>Extraordinaria: cuando se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. </li></ul></ul>Copyright © Pintos & Salgado, 2011
  38. 38. Informe de Auditoría <ul><li>Deberá: </li></ul><ul><ul><li>Dictaminar sobre el grado de cumplimiento del RD, </li></ul></ul><ul><ul><li>Identificar sus deficiencias y </li></ul></ul><ul><ul><li>Sugerir medidas correctoras o complementarias necesarias, y recomendaciones oportunas. </li></ul></ul><ul><li>Incluirá: </li></ul><ul><ul><li>Criterios metodológicos utilizados, </li></ul></ul><ul><ul><li>Alcance y objetivo de la auditoría, y </li></ul></ul><ul><ul><li>datos, hechos y observaciones en que se basen las conclusiones </li></ul></ul>Copyright © Pintos & Salgado, 2011
  39. 39. Respuesta a Incidentes de Seguridad <ul><li>CCN-CERT (Centro Criptológico Nacional-Computer Emergency Reaction Team) sirve a AAPP: </li></ul><ul><ul><li>Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad </li></ul></ul><ul><ul><li>Investigación y divulgación de las mejores prácticas sobre seguridad </li></ul></ul><ul><ul><li>Formación destinada al personal de la Administración especialista en el campo de la seguridad </li></ul></ul><ul><ul><li>Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas </li></ul></ul><ul><li>https://www.ccn-cert.cni.es/ </li></ul>Copyright © Pintos & Salgado, 2011
  40. 40. Normas de conformidad Copyright © Pintos & Salgado, 2011
  41. 41. Actualización Permanente <ul><li>El ENS se deberá actualizar permanentemente </li></ul><ul><li>Se irá desarrollando y perfeccionando con: </li></ul><ul><ul><li>Los servicios de Administración electrónica, </li></ul></ul><ul><ul><li>La evolución tecnológica, </li></ul></ul><ul><ul><li>Estándares internacionales sobre seguridad y auditoría y </li></ul></ul><ul><ul><li>Consolidación de infraestructuras que le apoyan </li></ul></ul>Copyright © Pintos & Salgado, 2011
  42. 42. Adecuación y plazos <ul><li>Nuevos sistemas : adecuación inmediata desde concepción. </li></ul><ul><li>Sistemas preexistentes al 30-1-2010 : </li></ul><ul><ul><li>Plazo general de 12 meses : venció el 30-1-2011 </li></ul></ul><ul><ul><li>Plazo excepcional de máx. 48 meses: vence el 30-1-2014 si concurren “circunstancias que impidan la plena aplicación”: deberá aprobarse plan de adecuación con plazos de ejecución . </li></ul></ul>Copyright © Pintos & Salgado, 2011
  43. 43. Gracias por la Atención <ul><li>Víctor Salgado </li></ul><ul><li>Pintos & Salgado Abogados </li></ul><ul><li>Juan Flórez, 8 - 6º (A Coruña) </li></ul><ul><li>Tlfno: 981 227076 </li></ul><ul><li>Fax: 981 211713 </li></ul><ul><li>[email_address] </li></ul><ul><li>@abonauta </li></ul>Copyright © Pintos & Salgado, 2011

×