Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"

48 views

Published on

Valentín Faura | Director | Risk Advisory Services
Roger Pérez | Sènior Manager | Risk Advisory Services

  • Be the first to comment

  • Be the first to like this

CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"

  1. 1. Com mitigar els riscos de Ciberseguretat? L'Esquema Nacional de Seguretat. Valentí Faura Roger Pérez #GovernDigital
  2. 2. Ciberseguretat, Ciberiscos, ciberamenaces, res de nou o no? Seguretat de la Informació Ciberseguretat A ast Li itat Bunker Món Interconnectat Atacant solitari i oportunista Atacant organitzat, finançat i dirigit Estratègia global de protecció d'actius Prioritat als actius crítics Protegir el perímetre. Reactiu Monitorització. Preventiu Aquí no ha passat res Comunicació i Col·laboració
  3. 3. Ciberamenaces ¿Què ens depararà l'any 2018? Parlant de ciberseguretat i atacs informàtics, no és fàcil predir-ho.
  4. 4. Quin model de prevenció podem establir enfront als ciberatacs? Basant-nos en els principis de la seguretat, vigilància i resiliència: Polítiques i Procediments de Seguretat actualitzats, divulgats i seguits. Analitzar i Gestionar els Riscos de Ciberseguretat. Establir un Framework de control de Seguretat. Formar i Conscienciar als empleats. Realitzar Auditories de Seguretat. Realitza la Dete ió i Gestió d’esdeve i e ts de Segu etat. Disposa d’u e uip de Resposta dava t I id ies. Realitza u Segui e t i avalua ió o tí ua d’a e a es i vulnerabilitats.
  5. 5. És la Certificació ENS una solució davant dels ciberiscos? Marc de Control que cobreix tots els àmbits de ciberseguretat. Guies i Instruccions tècniques de seguretat del CCN adaptades a les ciberamenaces. Framework de seguretat fet per l'Administració publica per a l'administració publica. I per cert no oblidar que la Certificació és obligatòria.
  6. 6. ENS: Antecedents ¿Desde cuando? El ENS es aplicable:  A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración local, así como las entidades de derecho público vinculadas o dependientes de éstas.  Proveedores que prestan servicios tecnológicos a las Administraciones Públicas.  A los ciudadanos en sus relaciones con las administraciones públicas  En las relaciones entre las diferentes administraciones públicas. 22 Junio de 2007: Ley 11/2007 8 Enero de 2010: RD 3 2010 2010 2011 2012 2013 2014 8 Enero de 2011. Requisito obligatorio: Plan de adecuación al ENS 23 Octubre de 2017. Requisito obligatorio: Adecuación al RD 951/2015 2015 2016 2017 8 Enero de 2014. Requisito obligatorio: Plena implantación del ENS 23 Octubre de 2015: RD 951/2015 ¿A quién va dirigido?  El 31 de Diciembre del 2009 se hace pública la ley.  Entrando en vigor el 8 de Enero de 2010 mediante el Real Decreto 3 2010.  Los sistemas existentes a la entrada en vigor de este Real Decreto, dispondrán de 12 meses para adecuarse a los requerimientos de seguridad.  Los nuevos sistemas aplicarán lo establecido en este real decreto desde la concepción.  Si a los 12 meses de la entrada en vigor hay circunstancias que impidan la plena aplicación de lo que exigen, se dispondrá de un plan de adecuación que marque los plazos de adecuación, los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.  El 23 de Octubre de 2017 será obligatorio el cumplimiento de las modificaciones establecidas por el RD 951/2015
  7. 7. Mesures de Seguretat de l’ENS MESURES DE SEGURETAT Marc Organitzatiu  Política de seguretat  Normativa de seguretat  Procediments de seguretat  Procés d'autorització Marc Operacional  Planificació  Control d'accés  Explotació serveis externs  Continuïtat del servei  Monitorització del sistema Marc de Protecció  Protecció d’instal·lacions  Gestió del personal  Protecció dels equips  Protecció de comunicacions  Protecció de suports  Protecció d'aplicacions  Protecció de la informació  Protecció dels serveis 4 31 40 75 TOTAL MESURES Les mesures de seguretat a implementar es classifiquen en els següents 3 grups diferenciats:
  8. 8. Guies i Instruccions Tècniques de seguretat Guies: la Sèrie CCN-STIC-800 estableix les polítiques i procediments adequats per a la implementació de les mesures contemplades en l'ENS. • CCN-STIC-817 Gestión de Ciberincidentes. • CCN-STIC-823 Seguridad en entornos Cloud. • CCN-STIC-820 Protección contra DoS. Instruccions tècniques de seguretat: instruccions d'obligat compliment, essencials per aconseguir una adequada i homogènia implantació dels requisits i mesures recollides en l'ENS. • Informe del Estado de la Seguridad • Conformidad con el Esquema Nacional de Seguridad • Auditoría de la seguridad de los sistemas de información . • Notificación de incidentes de seguridad • CCN-STIC-831 Registro de la actividad de los usuarios. • CCN-STIC-807 Criptología de empleo en el ENS. • CCN-STIC-812 Seguridad en servicios web.
  9. 9. Controls de l'ENS en la pràctica Accessos Seguretat Protecció Perímetre Xifrat • Gestió usuaris privilegiats • Logs (SIEM) • Doble Factor d’ Autenticació • Firewall en cascada i de diferents proveïdors • Segmentació xarxa • IDS/IPS • Comunicacions • Dispositius • Dades Govern • Política i procediments • Formació i conscienciació • Indicadors de Seguretat • Bastionat • Desenvolupament segur • Test d’intrusió/ anàlisi de vulnerabilitats • Incidents de Seguretat • Prevenció Malware • Components certificats • Correu electrònic • Serveis Webs
  10. 10. Procés de certificació
  11. 11. Beneficis de la Certificació de l’ENS Beneficis certificació Administració Pública Beneficis certificació Proveïdors de serveis IT • Complir amb el RD 3/2010. • Donar confiança a les administracions públiques • Poder optar a concursos públics. • Avantatge competitiu respecte a altres proveïdors. • Complir amb altres disposicions legals. • Complir amb el RD 3/2010. • Satisfer requeriments i donar confiança a usuaris i altres organismes. • Complir amb altres disposicions legals. • Permetre millorar de forma contínua la seguretat dels seus sistemes.
  12. 12. Conclusions i reptes El epte de l’ENS s i pulsa la gestió o ti uada i el t a ta e t homogeni dels riscos de ciberseguretat. L'AEPD ha publicat que les mesures de seguretat a establir per complir el RGPD -en el cas de les AAPP- estaran marcades pels criteris establerts en l'Esquema Nacional de Seguretat. La Certificació ENS es el camí per la ciberseguretat.
  13. 13. Agafa l’o ada del canvi ORGANITZA COL·LABORA #GovernDigital Gràcies, ;-) governdigital.cat Valentín Faura Director RAS BDO +34 639 337 722 valentin.faura@bdo.es @GovernDigital valentin.faura@bdo.es roger.perez@bdo.es

×