Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Requerimientos Técnicos Del Esquema Nacional  De Seguridad (ENS)  D S      id d        www.seguridadinformacion.com     ww...
CONTENIDO  1. INTRODUCCIÓN                          3  2. GENERALIDADES                         4  3. A QUIÉN APLICA      ...
1.1 INTRODUCCIÓN                 El ENS es un Sistema de                 Gestión de Seguridad de la                       ...
2.2 GENERALIDADES  Es el marco, obligatorio para                     g     p  las administraciones públicas,  para la prot...
3.3 A QUIEN APLICA           La Administración General                  del Estado           Las Administraciones de las  ...
4.4 A QUIENES AFECTA           Proveedores de Servicios TI          Productos de Seguridad de la                  informac...
5.5 CORRESPONDENCIA ENS ISO 27001 (PARTE 1)                  ENS-ISO        ENS               REQUISITO            ISO 270...
5.5 CORRESPONDENCIA ENS ISO 27001 (PARTE 2)                  ENS-ISO    ENS                  REQUISITO                    ...
6.6 CONCEPTOS BÁSICOS                       La gestión de la seguridad debe ser un proceso Seguridad integral    integral....
7.7 ELEMENTOS SUJETOS AL ENS  Todos    los  elementos     técnicos,    humanos,  materiales y organizativos, relacionados ...
8.8 PROYECTO DE IMPLANTACIÓN1. Planificar la implantación      Organizar el Comité de      Seguridad      Realizar plan de...
9.9 TAREA 1: PLANIFICAR LA IMPLANTACIÓN Asignar formalmente los cargos de Responsable          de       Seguridad, Respons...
10.10 TAREA 2 – DESARROLLO (PARTE 1)               Definir y aprobar formalmente la               Política de Seguridad. D...
10.10 CATEGORIZACIÓN DE SISTEMAS        ACTIVOS        SERVICIOS       INFORMACIÓN                                        ...
10 TAREA 2 – DESARROLLO (PARTE 2)10. Determinar     las   medidas      de seguridad del Anexo 1 que aplican a los sistemas...
10.10 NORMATIVAS DE SEGURIDAD (PARTE 1)                     Marco                   organizativo              ESQUEMA NACI...
10.10 NORMATIVAS DE SEGURIDAD (PARTE 2)                                Política de seguridad           Marco              ...
10.10 NORMATIVAS DE SEGURIDAD (PARTE 3)                                  Planificación:     Análisis de                   ...
10.10 NORMATIVAS DE SEGURIDAD (PARTE 4)                                Protección de instalaciones                        ...
11.11 TAREA 3 – REVISAR Y MANTENER Formar a todo el personal sobre la política, normativa y procedimientos de seguridad. E...
12.12 CONCLUSIONES La correcta implantación del ENS aportará:   Confianza en la relación de los ciudadanos con   la Admini...
13.NUESTRA13 NUESTRA EXPERIENCIA NOS RESPALDA  Start Up, ha asesorado a más de 200 organizaciones que han logrado la certi...
14.14 ALGUNOS DE NUESTROS CLIENTES                                                               AYUNTAMIENTO             ...
14.14 ALGUNOS DE NUESTROS CLIENTES                                  24
Gracias por su atención     Dudas y preguntas       START-UP S.L.www.seguridadinformacion.comwww seguridadinformacion comi...
Upcoming SlideShare
Loading in …5
×

Requerimientos Técnicos del Esquema Nacional de Seguridad - ENS

2,140 views

Published on

Ponencia "Requerimientos Técnicos del Esquema Nacional de Seguridad - ENS-" START-UP
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Requerimientos Técnicos del Esquema Nacional de Seguridad - ENS

  1. 1. Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) D S id d www.seguridadinformacion.com www.esquemanacionaldeseguridad.com www.esquemanacionaldeseguridad.es 1
  2. 2. CONTENIDO 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES AFECTA 6 5. CORRESPONDENCIA ENS-ISO 27001 7 6. CONCEPTOS BÁSICOS 9 7. ELEMENTOS SUJETOS AL ENS 10 8. 8 PROYECTO DE IMPLANTACIÓN 11 9. TAREA 1: PLANIFICAR LA IMPLANTACIÓN 12 10.TAREA 2: DESARROLLO 13 11 TAREA 3 REVISAR Y MANTENER 11.TAREA 3: 20 12.CONCLUSIONES 21 13.NUESTRA EXPERIENCIA NOS RESPALDA 22 14.ALGUNOS 14 ALGUNOS DE NUESTROS CLIENTES 23 2
  3. 3. 1.1 INTRODUCCIÓN El ENS es un Sistema de Gestión de Seguridad de la g Información para las Administraciones Publicas. El ENS se desarrolla sobre las recomendaciones de la UE y los estándares internacionales en materia de seguridad de la información, especialmente la ISO 27001. 3
  4. 4. 2.2 GENERALIDADES Es el marco, obligatorio para g p las administraciones públicas, para la protección de la Ley 11/2007 información y su gestión a Ley LAECSP Ley través de los medios 37/2007 59/2003 Reutiliza Firma-e electrónicos. Info. ESQUEMA NACIONAL DE Su creación se contempla en la Ley SEGURIDAD Ley 30/1992 LEY 11/2007, de 22 de junio, Reg.Jur. 56/2007 LISI d de acceso electrónico d l l t ó i de los AA.PP Ley L 15/1999 ciudadanos a los Servicios LOPD g Públicos y se regula a través de Real Decreto del Gobierno de España 3/2010, de 8 de enero. 4
  5. 5. 3.3 A QUIEN APLICA La Administración General del Estado Las Administraciones de las Comunidades Autónomas Las Entidades que integran la Administración Local Las entidades de derecho público vinculadas o dependientes de las mismas i 5
  6. 6. 4.4 A QUIENES AFECTA Proveedores de Servicios TI Productos de Seguridad de la información Debido a: Que en el ENS se precisa que los proveedores de servicios TI de las administraciones públicas p deberán contar con una gestión y un nivel de madurez de seguridad equivalente al que tiene implantado la entidad. Se valorará aquellos que tengan certificados relevantes de gestión o de productos. 6
  7. 7. 5.5 CORRESPONDENCIA ENS ISO 27001 (PARTE 1) ENS-ISO ENS REQUISITO ISO 27001 11 Política de Seguridad 4.2.1.b) Compromiso de la dirección 12 5.1.c) d) 13.1 Evaluación de riesgos 4.2.1.c) d) e) 13.2 13.3 13 3 Gestión de riesgos 4.2.1.f) 4 2 1 f) g) Documento de Aplicabilidad 27.1 4.2.1.g) Formación F ió 14 - 15 5.2.2 34.1 Auditorías 4.2.3.e) - 6 26 Mejora continua 8.1 7
  8. 8. 5.5 CORRESPONDENCIA ENS ISO 27001 (PARTE 2) ENS-ISO ENS REQUISITO ISO 27001 14.3 Uso aceptable de los activos A7.1.3 Gestión de privilegios de los usuarios 14.4 A10.10.1 A11.2 Controlar los riesgos de terceros 15.3 A6.2 Gestión de altas y bajas de usuarios 16 A11.2.1 17 Control de acceso A9.1 Copias de seguridad 25 A10.5.1 - 14.1 Política de prevención de malware 24.1 A10.4 24.2 Gestión de incidentes A13.1 - A13.2 27.2 LOPD A15.1.4 Firma electrónica 33.2 A12.3 A15.1.6 8
  9. 9. 6.6 CONCEPTOS BÁSICOS La gestión de la seguridad debe ser un proceso Seguridad integral integral. i t l Un programa de seguridad debe responder a las Gestión de riesgos necesidades de reducción de riesgos de la entidad. entidadPrevención, reacción La utilización de estos tipos de medidas permitirá y recuperación un enfoque integral de la seguridad. El sistema debe contar con sucesivas capas de Líneas de defensa protección para que si ocurre un incidente, no desarrolle todo su potencial dañino dañino. El programa de seguridad debe ajustarse a los Reevaluación cambios que se vayan produciendo. periódica Las funciones de responsable de la información, responsable del servicio y responsable de laFunción diferenciada seguridad deben estar separadas. 9
  10. 10. 7.7 ELEMENTOS SUJETOS AL ENS Todos los elementos técnicos, humanos, materiales y organizativos, relacionados con la Administración Electrónica, y en particular: 10
  11. 11. 8.8 PROYECTO DE IMPLANTACIÓN1. Planificar la implantación Organizar el Comité de Seguridad Realizar plan de acción Establecer objetivos E bl bj i Recopilar información2. Desarrollar Política de Seguridad Inventario de activos Categorización de sistemas Análisis de riesgos g Documento de aplicabilidad Normativa de seguridad3. Revisar y actualizar Verificar y validar objetivos Formación Planes de auditorías 11
  12. 12. 9.9 TAREA 1: PLANIFICAR LA IMPLANTACIÓN Asignar formalmente los cargos de Responsable de Seguridad, Responsable del Servicio y Responsable de la Información. Crear y definir el/los Comité/s de Seguridad, Seguridad responsable de velar por el cumplimiento de la política de seguridad de la organización y establecer l objetivos. bl los bj i Recopilar los servicios electrónicos e infomación que componen el/los sistemas de la entidad. 12
  13. 13. 10.10 TAREA 2 – DESARROLLO (PARTE 1) Definir y aprobar formalmente la Política de Seguridad. Deberá ser aprobada por el titular responsable d l acción d gobierno. de la ió de bi Definir el conjunto de activos sujetos al ENS identificando los sistemas ENS, existentes en la organización y valorándolos de acuerdo a las dimensiones de seguridad especificadas en el esquema. Determinar la categoría del sistema o sistemas identificados. 13
  14. 14. 10.10 CATEGORIZACIÓN DE SISTEMAS ACTIVOS SERVICIOS INFORMACIÓN Información SISTEMA Portal Gestión de Información de web Expedientes web Expediente DIMENSIONES s Sin Confidencialidad M B M M valorar Integridad B M B M M Autenticidad B M B M M Trazabilidad B M B M M Disponibilidad Di ibilid d M B M A A 14
  15. 15. 10 TAREA 2 – DESARROLLO (PARTE 2)10. Determinar las medidas de seguridad del Anexo 1 que aplican a los sistemas según su nivel. Llevar a cabo el Análisis de Riesgos. Riesgos Documentar la Declaración de Aplicabilidad. D fi i l N Definir la Normativa d S i id d de Seguridad, detallando cómo y quien hace las distintas tareas. 15
  16. 16. 10.10 NORMATIVAS DE SEGURIDAD (PARTE 1) Marco organizativo ESQUEMA NACIONAL DE SEGURIDAD (ENS) Marco Medidas de p operacional p protección 16
  17. 17. 10.10 NORMATIVAS DE SEGURIDAD (PARTE 2) Política de seguridad Marco Normativa de seguridad organizativo Procedimientos de seguridad Procesos d autorización P de i ióESQUEMA NACIONAL DE SEGURIDAD (ENS) Órganos de gestión Auditorías A ditorías de seg ridad seguridad: Cumplimiento legal y cumplimiento técnico 17
  18. 18. 10.10 NORMATIVAS DE SEGURIDAD (PARTE 3) Planificación: Análisis de riesgos, arquitecturas de seguridad, componentes, etc. Control de accesos Explotación: Inventario de activos, gestión de procesos, registros, registros sistemas de ESQUEMA NACIONAL DE SEGURIDAD protección (ENS) Servicios externos Marco Continuidad del servicio operacional Monitorización del sistema Acreditación de conocimientos en la vida laboral 18
  19. 19. 10.10 NORMATIVAS DE SEGURIDAD (PARTE 4) Protección de instalaciones e infraestructuras Gestión del personal Protección de equipos Protección de las comunicaciones i iESQUEMA NACIONAL DE SEGURIDAD (ENS) Protección de soportes de información Protección de aplicaciones Medidas de Protección de la protección información Protección de los servicios 19
  20. 20. 11.11 TAREA 3 – REVISAR Y MANTENER Formar a todo el personal sobre la política, normativa y procedimientos de seguridad. Evaluar los objetivos midiendo la eficacia de las medidas adoptadas. Revisar el sistema de gestión de la seguridad y mantenerlo actualizado. id d t l t li d Realización de una Auditoría bienal de Seguridad que revise la política de g q p seguridad y su cumplimiento, así como el conjunto de riesgos, normativas, procedimientos y controles establecidos, realizada bajo estándares normalizados (p.ej ISO/IEC 27007). 20
  21. 21. 12.12 CONCLUSIONES La correcta implantación del ENS aportará: Confianza en la relación de los ciudadanos con la Administración. Aumento de la satisfacción de los usuarios. Mejorar la Gestión de Seguridad de la Información, f I f ió favoreciendo el d i d l desarrollo d l ll de la propia Administración:  Mejorando la gestión de recursos y costes costes.  Aumentando la eficiencia y productividad.  Buscando la mejora continua continua. 21
  22. 22. 13.NUESTRA13 NUESTRA EXPERIENCIA NOS RESPALDA Start Up, ha asesorado a más de 200 organizaciones que han logrado la certificación en ISO 27001 Sistema de Gestión de Seguridad de la Información. Organizaciones de todos los sectores, tamaño y ámbitos geográficos. Nuestros consultores poseen certificaciones reconocidas internacionalmente, como CISA, CISM, CRISC e ITIL entre otras, que avalan su profesionalidad en el ámbito de la seguridad de la información. i f ió Cabe resaltar que Start Up, ha elaborado una guía práctica sobre el ENS que ha sido aprobada por el Centro Criptológico Nacional (CCN) y publicada a través de la página de AMETIC. http://www.ametic.es/Events/EventDetail.aspx?ID=258&sp=doc s 22
  23. 23. 14.14 ALGUNOS DE NUESTROS CLIENTES AYUNTAMIENTO BREÑA BAJA AYUNTAMIENTO DE POLANCO AYUNTAMIENTO DE FUENCALIENTE AYUNTAMIENTO DE AYUNTAMIENTO DE BARLOVENTO PUNTALLANA AYUNTAMIENTO BREÑA BAJA AYUNTAMIENTO VILLA DE MAZO AYUNTAMIENTO DE AYUNTAMIENTO EL RAMALES AYUNTAMIENTO AYUNTAMIENTO DE SAN PASO PUNTAGORDA ANDRES Y SAUCES 23
  24. 24. 14.14 ALGUNOS DE NUESTROS CLIENTES 24
  25. 25. Gracias por su atención Dudas y preguntas START-UP S.L.www.seguridadinformacion.comwww seguridadinformacion cominfo@seguridadinformacion.com 25

×