El Esquema Nacional de Seguridad (ENS) determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.
2. ¿Que es el ENS?
Establece la política de seguridad en la utilización de los medios
electrónicos de las administraciones públicas y está constituido
por principios básicos y requisitos mínimos que permitan una
protección adecuada de la información
Creado por el Ministerio de la Presidencia con el apoyo del
CCN, administraciones públicas, universidades públicas y otras
entidades (AEPD, etc)
3. Administración General del Estado, incluyendo universidades
públicas
Administración de las CCAA
Administración Local
Relaciones entre administraciones
Relaciones ciudadanos con administraciones
Plazo de adecuación:
12 meses
Excepcionalmente, 48 meses
Hasta 30/01/2011
¿Quién debe cumplir el ENS?
4. Requisitos de aplicación
Hay que aplicar unas medidas de seguridad basadas en
un análisis de riesgos sobre activos y sobre los SI
relacionados con la administración electrónica.
75 controles categorizados.
Niveles básico, medio o alto según impacto en la
organización (tipo ISO 27001).
El RD determina la auditoría del propio Esquema, uniendo
en estos aspectos la posibilidad de realizar un enfoque
práctico y global junto con la normativa de protección de
datos personales e incluso con la certificación de un SGSI
sobre ISO 27001.
Es como un SGSI con sus buenas prácticas y auditable.
5. ¿Qué hay de nuevo?
Seguridad entendida como proceso integral con
elementos técnicos, humanos, materiales y
organizativos.
Análisis y gestión de riesgos: con actualización
continuada y planes de continuidad.
Prevención, reacción y recuperación de los
sistemas.
Auditoría bianual (a partir de nivel medio).
6. ¿Cómo se organizan las medidas?
3 MARCO ORGANIZATIVO
3.1 POLÍTICA DE SEGURIDAD
3.2 NORMATIVA DE SEGURIDAD
3.3 PROCEDIMIENTOS DE SEGURIDAD
3.4 PROCESO DE AUTORIZACIÓN
3.5 AUDITORÍAS DE SEGURIDAD
4 MARCO OPERACIONAL
4.1 PLANIFICACIÓN
4.2 CONTROL DE ACCESO.
4.3 EXPLOTACIÓN
4.4 SERVICIOS EXTERNOS
4.5 CONTINUIDAD DEL SERVICIO
4.6 MONITORIZACIÓN DEL SISTEMA
5 MEDIDAS DE PROTECCIÓN
5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
5.2 GESTIÓN DEL PERSONAL
5.3 PROTECCIÓN DE LOS EQUIPOS
5.4 PROTECCIÓN DE LAS COMUNICACIONES
5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
5.7 PROTECCIÓN DE LA INFORMACIÓN
5.8 PROTECCIÓN DE LOS SERVICIOS
7. Servicios ENS (I)
Seguridad Perimetral:
Mejora continua: actualización normas y estándares y
adecuación reglas (Mantenimiento dispositivos perimetrales).
Identificación de vulnerabilidades (Test de Intrusión).
Alertas y monitorización de la seguridad.
Formación interna (usuario y organización).
Ámbitos:
Perímetro Internet.
WiFi.
Celular (UMTS, 3G, etc).
Ubicación física de los dispositivos.
8. Servicios ENS(II)
Seguridad Interna:
Basada en estándares domésticos e internacionales.
Definición Plan de Seguridad integrado en
recomendaciones actuales y adaptación LOPD.
Auditorías de seguridad. Recomendaciones.
Creación de departamento específico.
Monitorización interna optimizada
(correlación de eventos).
Formación al usuario.
9. Servicios ENS(y III)
Integración con otras administraciones:
Auditar coexistencia.
Homologar planes.
Estandarizar monitorización.
10. Requisitos del RD 3/2010
Definición de responsables (Art. 10):
Información
Servicio
Seguridad
Normas de Seguridad en 15 áreas (Cap. 3)
Organización e implantación del proceso de seguridad
Análisis y gestión de los riesgos
Gestión de personal
Profesionalidad
Autorización y control de accesos
Protección de las instalaciones
Adquisición de productos
Seguridad por defecto
Integridad y actualización del sistema
Protección de la información almacenada y en tránsito
Prevención ante otros sistemas de información interconectados
Registro de actividad
Incidentes de seguridad
Continuidad de la actividad
Mejora continua en el proceso de seguridad
Declaración de Aplicabilidad en las medidas (Anexo II)
11. ¿Por qué Aronte?
Dedicados SOLO
a la seguridad informática:
Consultoría
Tecnología
Formada por profesionales con mas de 15 años de
experiencia en la consultoría
Múltiples referencias de diversos sectores:
Administración pública
Industria
PYMES
Compromiso con el cliente