El Esquema Nacional de Seguridad (ENS) determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos. El ENS está constituido por los principios básicos y requisitos mínimos para una protección adecuada de la información. Será aplicado por las AA.PP. para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestiones en el ejercicio de sus competencias.

1. ESQUEMA NACIONAL DE SEGURIDAD (ENS)

2. ¿Que es el ENS?
 Establece la política de seguridad en la utilización de los medios
electrónicos de las administraciones públicas y está constituido
por principios básicos y requisitos mínimos que permitan una
protección adecuada de la información
 Creado por el Ministerio de la Presidencia con el apoyo del
CCN, administraciones públicas, universidades públicas y otras
entidades (AEPD, etc)

3.  Administración General del Estado, incluyendo universidades
públicas
 Administración de las CCAA
 Administración Local
 Relaciones entre administraciones
 Relaciones ciudadanos con administraciones
 Plazo de adecuación:
 12 meses
 Excepcionalmente, 48 meses
 Hasta 30/01/2011
¿Quién debe cumplir el ENS?

4. Requisitos de aplicación
 Hay que aplicar unas medidas de seguridad basadas en
un análisis de riesgos sobre activos y sobre los SI
relacionados con la administración electrónica.
 75 controles categorizados.
 Niveles básico, medio o alto según impacto en la
organización (tipo ISO 27001).
 El RD determina la auditoría del propio Esquema, uniendo
en estos aspectos la posibilidad de realizar un enfoque
práctico y global junto con la normativa de protección de
datos personales e incluso con la certificación de un SGSI
sobre ISO 27001.
Es como un SGSI con sus buenas prácticas y auditable.

5. ¿Qué hay de nuevo?
 Seguridad entendida como proceso integral con
elementos técnicos, humanos, materiales y
organizativos.
 Análisis y gestión de riesgos: con actualización
continuada y planes de continuidad.
 Prevención, reacción y recuperación de los
sistemas.
 Auditoría bianual (a partir de nivel medio).

6. ¿Cómo se organizan las medidas?
 3 MARCO ORGANIZATIVO
 3.1 POLÍTICA DE SEGURIDAD
 3.2 NORMATIVA DE SEGURIDAD
 3.3 PROCEDIMIENTOS DE SEGURIDAD
 3.4 PROCESO DE AUTORIZACIÓN
 3.5 AUDITORÍAS DE SEGURIDAD
 4 MARCO OPERACIONAL
 4.1 PLANIFICACIÓN
 4.2 CONTROL DE ACCESO.
 4.3 EXPLOTACIÓN
 4.4 SERVICIOS EXTERNOS
 4.5 CONTINUIDAD DEL SERVICIO
 4.6 MONITORIZACIÓN DEL SISTEMA
 5 MEDIDAS DE PROTECCIÓN
 5.1 PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
 5.2 GESTIÓN DEL PERSONAL
 5.3 PROTECCIÓN DE LOS EQUIPOS
 5.4 PROTECCIÓN DE LAS COMUNICACIONES
 5.5 PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
 5.6 PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
 5.7 PROTECCIÓN DE LA INFORMACIÓN
 5.8 PROTECCIÓN DE LOS SERVICIOS

7. Servicios ENS (I)
 Seguridad Perimetral:
 Mejora continua: actualización normas y estándares y
adecuación reglas (Mantenimiento dispositivos perimetrales).
 Identificación de vulnerabilidades (Test de Intrusión).
 Alertas y monitorización de la seguridad.
 Formación interna (usuario y organización).
 Ámbitos:
 Perímetro Internet.
 WiFi.
 Celular (UMTS, 3G, etc).
 Ubicación física de los dispositivos.

8. Servicios ENS(II)
 Seguridad Interna:
 Basada en estándares domésticos e internacionales.
 Definición Plan de Seguridad integrado en
recomendaciones actuales y adaptación LOPD.
 Auditorías de seguridad. Recomendaciones.
 Creación de departamento específico.
 Monitorización interna optimizada
(correlación de eventos).
 Formación al usuario.

9. Servicios ENS(y III)
 Integración con otras administraciones:
 Auditar coexistencia.
 Homologar planes.
 Estandarizar monitorización.

10. Requisitos del RD 3/2010
 Definición de responsables (Art. 10):
 Información
 Servicio
 Seguridad
 Normas de Seguridad en 15 áreas (Cap. 3)
 Organización e implantación del proceso de seguridad
 Análisis y gestión de los riesgos
 Gestión de personal
 Profesionalidad
 Autorización y control de accesos
 Protección de las instalaciones
 Adquisición de productos
 Seguridad por defecto
 Integridad y actualización del sistema
 Protección de la información almacenada y en tránsito
 Prevención ante otros sistemas de información interconectados
 Registro de actividad
 Incidentes de seguridad
 Continuidad de la actividad
 Mejora continua en el proceso de seguridad
 Declaración de Aplicabilidad en las medidas (Anexo II)

11. ¿Por qué Aronte?
 Dedicados SOLO
a la seguridad informática:
 Consultoría
 Tecnología
 Formada por profesionales con mas de 15 años de
experiencia en la consultoría
 Múltiples referencias de diversos sectores:
 Administración pública
 Industria
 PYMES
 Compromiso con el cliente

12. Calvet, 30 4º - 08021 Barcelona
info@aronte.com
902 947 305
www.aronte.com
Preguntas