El documento presenta una actualización del Esquema Nacional de Seguridad para mejorar la ciberseguridad en España. La actualización tiene como objetivos alinear el esquema con el nuevo marco legal, introducir la capacidad de ajustar los requisitos de forma eficaz y eficiente, y revisar principios, requisitos y medidas de seguridad. El documento también describe las principales novedades de la actualización como la codificación de requisitos, la categorización de sistemas, y un enfoque mejorado para la respuesta a incidentes de ciberseg
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
Este documento describe el Esquema Nacional de Seguridad (ENS) en España. El ENS establece la política de seguridad para el uso de medios electrónicos en el sector público español y consta de principios básicos, requisitos mínimos, categorización de sistemas, auditorías de seguridad, uso de infraestructuras comunes, productos certificados, y respuesta a incidentes de seguridad. El documento explica los elementos clave del ENS y el proceso de adecuación que deben seguir las entidades públicas para cumplir con sus está
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
El documento resume una presentación sobre el Esquema Nacional de Seguridad en España. El ENS establece políticas de seguridad para las administraciones públicas españolas y requisitos mínimos para proteger la información. Se explican los objetivos del ENS, su situación actual y formas en que las agencias pueden adecuarse a él, incluyendo el uso de infraestructuras comunes, guías, comunicación de incidentes y certificación de productos.
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
Este documento describe el Esquema Nacional de Seguridad (ENS) en España. El ENS establece la política de seguridad para el uso de medios electrónicos en el sector público español y consta de principios básicos, requisitos mínimos, categorización de sistemas, auditorías de seguridad, uso de infraestructuras comunes, productos certificados, y respuesta a incidentes de seguridad. El documento explica los elementos clave del ENS y el proceso de adecuación que deben seguir las entidades públicas para cumplir con sus está
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
El documento resume una presentación sobre el Esquema Nacional de Seguridad en España. El ENS establece políticas de seguridad para las administraciones públicas españolas y requisitos mínimos para proteger la información. Se explican los objetivos del ENS, su situación actual y formas en que las agencias pueden adecuarse a él, incluyendo el uso de infraestructuras comunes, guías, comunicación de incidentes y certificación de productos.
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
El documento resume el progreso de la adecuación al Esquema Nacional de Seguridad en España. Señala que los aspectos más avanzados son las políticas de seguridad y la protección de infraestructuras e instalaciones, mientras que los responsables de seguridad y la protección de servicios requieren más atención. También describe las herramientas disponibles como guías CCN-STIC y el Centro CERT para la respuesta a incidentes de seguridad. Los próximos pasos incluyen la actualización del marco legal y la mejora del seguimiento
Este documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad en España. Se explica que se está revisando el Esquema a la luz de la experiencia adquirida y los cambios tecnológicos y regulatorios. Algunas de las actualizaciones incluyen enfatizar la gestión continua de la seguridad, introducir medidas compensatorias y mejorar los mecanismos para conocer el estado de la seguridad. También se introducen instrucciones técnicas de seguridad y se refuerza la capacidad de respuesta
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
El documento describe la reciente aprobación del nuevo Esquema Nacional de Seguridad en España, que actualiza el marco regulatorio para la ciberseguridad del sector público. El nuevo Esquema introduce varias novedades como perfiles de cumplimiento específicos, un tratamiento más detallado de los incidentes de seguridad, y una revisión de los principios, requisitos y medidas de seguridad. El Centro Criptológico Nacional jugará un papel clave en la coordinación de la respuesta a incidentes y en impulsar la formación y herramientas
Nuevos retos en ciberseguridad para la administración digitalMiguel A. Amutio
El documento describe los nuevos retos en ciberseguridad para la administración digital en España. Se están intensificando las ciberamenazas y ciberincidentes a medida que avanza la transformación digital. El gobierno está trabajando para mejorar la ciberseguridad mediante la actualización del Marco Estratégico Nacional de Ciberseguridad, la implementación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y el fortalecimiento de las herramientas del Centro Criptológico Nacional.
Este documento proporciona una introducción a los principios y recomendaciones básicas en ciberseguridad. Explica que el CCN-CERT es la capacidad de respuesta a incidentes de seguridad de la información del Centro Criptológico Nacional. También describe los factores de amenaza como ataques dirigidos, ciberespionaje y guerra híbrida, e introduce conceptos como análisis de riesgos, gestión de riesgos y gobernanza como elementos clave para la implementación de seguridad. Además, resalta que
Situación de la implantación del Esquema Nacional de SeguridadMiguel A. Amutio
El documento resume la situación actual de la implantación del Esquema Nacional de Seguridad (ENS) en España. Explica que aunque el plazo de adecuación al ENS ha finalizado, el progreso ha sido limitado debido a la falta de recursos. Propone actualizar el ENS para mejorar la armonización, supervisión y respuesta a incidentes, así como reforzar la capacitación de profesionales de seguridad. El próximo paso es conocer el estado actual de seguridad tras el plazo y continuar mejorando las herramientas de apoyo a
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
Este documento presenta el Esquema Nacional de Seguridad (ENS) en España. Explica que el ENS es un instrumento legal que establece los principios básicos y requisitos mínimos de seguridad para proteger la información en las administraciones públicas. También describe los pasos que deben seguir las agencias para adecuarse al ENS, como elaborar una política de seguridad, categorizar sistemas, analizar riesgos y auditar la seguridad. Además, explica la relación entre el ENS y los estándares ISO/IEC 27001
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
El documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad, incluyendo una mayor énfasis en la gestión continua de la seguridad, la introducción de profesionales cualificados, y mejoras en la gestión de incidentes y auditorías de seguridad. También discute cómo la norma ISO/IEC 27001 puede servir como soporte para el cumplimiento del ENS y los retos continuo de mejorar la ciberseguridad de las administraciones públicas.
Este documento describe la importancia creciente de la ciberseguridad debido al aumento de la conectividad y las conexiones transfronterizas. Detalla varias iniciativas internacionales para abordar la ciberseguridad y las acciones tomadas por Colombia entre 2007 y 2009, incluida la publicación de documentos, encuestas y proyectos para desarrollar una estrategia nacional de ciberseguridad. El objetivo final era establecer normas y responsabilidades claras para proteger la infraestructura nacional y los datos frente a las crecientes amen
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
El documento resume una presentación sobre la situación actual de la seguridad y la evolución del Esquema Nacional de Seguridad en España. Se discute el progreso en la adaptación al Esquema, señalando que el grado de avance debería ser mayor. También se proponen mejoras futuras como establecer normas técnicas de seguridad obligatorias, mecanismos para monitorear periódicamente el estado de seguridad de las agencias gubernamentales, y esquemas de certificación para profesionales de seguridad.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
Esquema Nacional de Seguridad, actualización y temas pendientesMiguel A. Amutio
1) El documento resume el estado actual de la ciberseguridad en España y la conformidad con el Esquema Nacional de Seguridad. 2) Se analizan los resultados del INES 2018 y se concluye que los organismos autonómicos y las entidades locales necesitan mejorar su adecuación con el ENS. 3) Se recomienda emplear mayores recursos en la concienciación, el análisis de riesgos, la continuidad operativa y el cifrado.
Mejora de la adecuación de los sistemas de la Administración General del Esta...Miguel A. Amutio
Este documento describe un proyecto para mejorar la adecuación de los sistemas de información de la Administración General del Estado al Esquema Nacional de Seguridad. El proyecto ayudará a más de 100 entidades a alcanzar la certificación de conformidad mediante diagnósticos, planes de adecuación, formación y acompañamiento en la auditoría. El proyecto también establece una gobernanza para coordinar el proceso y garantizar el cumplimiento continuo de los requisitos de seguridad.
More Related Content
Similar to El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
El documento resume el progreso de la adecuación al Esquema Nacional de Seguridad en España. Señala que los aspectos más avanzados son las políticas de seguridad y la protección de infraestructuras e instalaciones, mientras que los responsables de seguridad y la protección de servicios requieren más atención. También describe las herramientas disponibles como guías CCN-STIC y el Centro CERT para la respuesta a incidentes de seguridad. Los próximos pasos incluyen la actualización del marco legal y la mejora del seguimiento
Este documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad en España. Se explica que se está revisando el Esquema a la luz de la experiencia adquirida y los cambios tecnológicos y regulatorios. Algunas de las actualizaciones incluyen enfatizar la gestión continua de la seguridad, introducir medidas compensatorias y mejorar los mecanismos para conocer el estado de la seguridad. También se introducen instrucciones técnicas de seguridad y se refuerza la capacidad de respuesta
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
El documento describe la reciente aprobación del nuevo Esquema Nacional de Seguridad en España, que actualiza el marco regulatorio para la ciberseguridad del sector público. El nuevo Esquema introduce varias novedades como perfiles de cumplimiento específicos, un tratamiento más detallado de los incidentes de seguridad, y una revisión de los principios, requisitos y medidas de seguridad. El Centro Criptológico Nacional jugará un papel clave en la coordinación de la respuesta a incidentes y en impulsar la formación y herramientas
Nuevos retos en ciberseguridad para la administración digitalMiguel A. Amutio
El documento describe los nuevos retos en ciberseguridad para la administración digital en España. Se están intensificando las ciberamenazas y ciberincidentes a medida que avanza la transformación digital. El gobierno está trabajando para mejorar la ciberseguridad mediante la actualización del Marco Estratégico Nacional de Ciberseguridad, la implementación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y el fortalecimiento de las herramientas del Centro Criptológico Nacional.
Este documento proporciona una introducción a los principios y recomendaciones básicas en ciberseguridad. Explica que el CCN-CERT es la capacidad de respuesta a incidentes de seguridad de la información del Centro Criptológico Nacional. También describe los factores de amenaza como ataques dirigidos, ciberespionaje y guerra híbrida, e introduce conceptos como análisis de riesgos, gestión de riesgos y gobernanza como elementos clave para la implementación de seguridad. Además, resalta que
Situación de la implantación del Esquema Nacional de SeguridadMiguel A. Amutio
El documento resume la situación actual de la implantación del Esquema Nacional de Seguridad (ENS) en España. Explica que aunque el plazo de adecuación al ENS ha finalizado, el progreso ha sido limitado debido a la falta de recursos. Propone actualizar el ENS para mejorar la armonización, supervisión y respuesta a incidentes, así como reforzar la capacitación de profesionales de seguridad. El próximo paso es conocer el estado actual de seguridad tras el plazo y continuar mejorando las herramientas de apoyo a
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
Este documento presenta el Esquema Nacional de Seguridad (ENS) en España. Explica que el ENS es un instrumento legal que establece los principios básicos y requisitos mínimos de seguridad para proteger la información en las administraciones públicas. También describe los pasos que deben seguir las agencias para adecuarse al ENS, como elaborar una política de seguridad, categorizar sistemas, analizar riesgos y auditar la seguridad. Además, explica la relación entre el ENS y los estándares ISO/IEC 27001
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
El documento resume las principales novedades en la actualización del Esquema Nacional de Seguridad, incluyendo una mayor énfasis en la gestión continua de la seguridad, la introducción de profesionales cualificados, y mejoras en la gestión de incidentes y auditorías de seguridad. También discute cómo la norma ISO/IEC 27001 puede servir como soporte para el cumplimiento del ENS y los retos continuo de mejorar la ciberseguridad de las administraciones públicas.
Este documento describe la importancia creciente de la ciberseguridad debido al aumento de la conectividad y las conexiones transfronterizas. Detalla varias iniciativas internacionales para abordar la ciberseguridad y las acciones tomadas por Colombia entre 2007 y 2009, incluida la publicación de documentos, encuestas y proyectos para desarrollar una estrategia nacional de ciberseguridad. El objetivo final era establecer normas y responsabilidades claras para proteger la infraestructura nacional y los datos frente a las crecientes amen
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
El documento resume una presentación sobre la situación actual de la seguridad y la evolución del Esquema Nacional de Seguridad en España. Se discute el progreso en la adaptación al Esquema, señalando que el grado de avance debería ser mayor. También se proponen mejoras futuras como establecer normas técnicas de seguridad obligatorias, mecanismos para monitorear periódicamente el estado de seguridad de las agencias gubernamentales, y esquemas de certificación para profesionales de seguridad.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
Esquema Nacional de Seguridad, actualización y temas pendientesMiguel A. Amutio
1) El documento resume el estado actual de la ciberseguridad en España y la conformidad con el Esquema Nacional de Seguridad. 2) Se analizan los resultados del INES 2018 y se concluye que los organismos autonómicos y las entidades locales necesitan mejorar su adecuación con el ENS. 3) Se recomienda emplear mayores recursos en la concienciación, el análisis de riesgos, la continuidad operativa y el cifrado.
Similar to El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna (20)
Mejora de la adecuación de los sistemas de la Administración General del Esta...Miguel A. Amutio
Este documento describe un proyecto para mejorar la adecuación de los sistemas de información de la Administración General del Estado al Esquema Nacional de Seguridad. El proyecto ayudará a más de 100 entidades a alcanzar la certificación de conformidad mediante diagnósticos, planes de adecuación, formación y acompañamiento en la auditoría. El proyecto también establece una gobernanza para coordinar el proceso y garantizar el cumplimiento continuo de los requisitos de seguridad.
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
Este documento presenta una introducción al concepto de interoperabilidad y su importancia para la administración pública en España. Explica que la interoperabilidad ha sido un esfuerzo colectivo que ha requerido la elaboración del Esquema Nacional de Interoperabilidad y otras normas para garantizar que los sistemas y aplicaciones de las administraciones públicas puedan compartir y transferir datos e información. También resume brevemente la evolución del marco normativo de la interoperabilidad en España.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
1. El documento describe las principales amenazas cibernéticas que se esperan entre 2022 y 2030, como ransomware, malware, ingeniería social, ataques a los datos y servicios, y desinformación. 2. También analiza el contexto normativo europeo de ciberseguridad y las capacidades que se están reforzando, como la certificación de productos, la protección de la cadena de suministro y la cooperación entre los estados miembros. 3. Finalmente, resume las medidas que España está adoptando para gestionar los riesgos cibernéticos,
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesMiguel A. Amutio
El documento resume los principales puntos del Esquema Nacional de Seguridad para principiantes. Explica que el Esquema Nacional de Seguridad establece la política de seguridad para garantizar la protección de la información tratada electrónicamente y crear confianza en el uso de medios digitales. También promueve la gestión continua de la seguridad, la prevención de ciberamenazas y la cooperación entre administraciones.
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMiguel A. Amutio
El documento describe las medidas del Estado español para garantizar la seguridad en la Administración Pública a través de la transformación digital. Se destaca la importancia de la ciberseguridad en el contexto de la mayor dependencia de la tecnología y el aumento de ciberamenazas. También se resumen los instrumentos clave de la estrategia española de digitalización como España Digital 2025 y el Plan de Recuperación, Transformación y Resiliencia.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
Here are some key aspects to consider for the long-term preservation of databases:
- Migration - Database formats and software change over time, so the database may need to be migrated to new formats periodically to ensure future accessibility and usability.
- Backup and redundancy - Multiple copies of the database should be kept in different locations and formats (e.g. physical and cloud backups) to guard against data loss from hardware/software failures or natural disasters.
- Documentation - Comprehensive documentation about the database structure, fields, relationships, software/hardware used, and any other contextual information is critical for future users to understand and use the data properly over time.
- Access controls - Permissions and security measures need to be
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
Implementation of the European Interoperability framework in SpainMiguel A. Amutio
1. Spain has made considerable efforts to implement interoperability across its complex administrative system involving multiple levels of government.
2. Spain's approach to interoperability involves developing a strong legal framework, cooperation and governance structures between administrations, and shared digital services.
3. Spain closely aligned its National Interoperability Framework with successive versions of the European Interoperability Framework, reusing many European solutions and participating in pilots to further interoperability goals.
La desinformación es información falsa o engañosa creada deliberadamente para engañar al público. Se facilita por las redes sociales y se usa para erosionar la confianza pública, influir en debates y comportamientos. La UE y las plataformas han tomado medidas como códigos de buenas prácticas, pero son insuficientes. Se necesitan mayores esfuerzos de las plataformas y aplicar tecnologías emergentes para hacer frente a este problema complejo.
The document discusses Spain's use of the TESTA network to connect its national administrative network RedSARA to the networks of European Union institutions and other member states. Some key points:
- RedSARA connects Spanish public administrations, and its connection to TESTA allows integration with EU services and other member state administrations.
- Connecting to TESTA helped Spain overcome challenges and participate in pilot experiences and migrations of the TESTA platform.
- The connection allows Spain to integrate into at least 21 cross-border services across 18 sectors like interior, justice, and social security.
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoMiguel A. Amutio
El documento presenta el discurso de apertura de la sesión sobre el Esquema Nacional de Seguridad y el cumplimiento normativo en las XIV Jornadas CCN-CERT. El orador destaca que la ciberseguridad requiere un enfoque integral que combine medidas normativas, organizativas, técnicas y de cooperación. También resalta que el ENS ha sentado las bases de la seguridad en el sector público español en los últimos 10 años, pero que es necesario actualizarlo para hacer frente a los nuevos retos como la transformación digital, la
El documento discute la actualización del Esquema Nacional de Seguridad (ENS) después de 10 años de su implementación. Explica que la actualización alineará el ENS con el marco legal actualizado, precisará su ámbito de aplicación, introducirá perfiles de cumplimiento específicos, y actualizará las medidas de seguridad para mejorar la respuesta a las tendencias emergentes de ciberseguridad. La conclusión es que la actualización permitirá que el ENS continúe proporcionando un enfoque común para la protección de la información y
Implementation of the European Interoperability Framework in SpainMiguel A. Amutio
The document summarizes Spain's implementation of the European Interoperability Framework (EIF). It discusses how interoperability is an enabler for ensuring rights and providing digital public services. Spain has taken a global approach aligned with the EIF, including legal frameworks, common rules, engagement of stakeholders, and governance led by Chief Information Officers. An ecosystem has been established with 12 interoperability agreements, standards, and solutions. Spain continuously aligns with updates to the EIF, participates in EU initiatives, and monitors interoperability as an ongoing effort.
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
1. El nuevo Esquema Nacional
de Seguridad
20 de mayo de 2022
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
2. Transformación digital
Perspectiva global - Dinámica permanente
+ Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las
leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
Mayor dependencia de la tecnología:
complejidad
interdependencia
se incrementa la superficie de
exposición a ciberamenazas.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con la robustez en
ciberseguridad.
Digitalización acelerada…
con ciberseguridad
3. La información y los datos
en el punto de mira de los ciberataques
Orientados a la información
Con sustracción (con o sin revelación)
Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
Con quiebra de la disponibilidad de los servicios, ( y de acceso a la información)
Combinación de los anteriores
Impacto
Ejercicio de derechos y libertades; cumplimiento de deberes.
Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía.
Esfuerzo de recuperación ante incidentes.
Reputacional. Photo by Philipp Katzenberger on Unsplash
4. La seguridad, el largo camino…
Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
Fuente: Miguel A.Amutio
5. CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Catálogo CPSTIC
Administración Digital
Órganos de Gobernanza
y cooperación en la
AGE de las AA.PP.
Enfoque global
Liderazgo conjunto:
Contexto de
Gobernanza
Ciberseguridad
Nacional
Fuente: Miguel A. Amutio
6. Desarrollo
Conformidad Monitorización Informe INES
-
Soporte
Base legal Ámbito de aplicación
Sector Público
Información
clasificada
4 ITS publicadas
Real Decreto 3/2010
Actualizado en 2015
Real Decreto 311/2022
Anclado en leyes
40/2015 y 39/2015
Informe estado de
a seguridad
Conformidad con el ENS
Auditoría
Notificación de incidentes
Acreditación con ENAC
Certificadores
acreditados por ENAC
Entidades certificadas
(públicas/privadas)
Consejo de
Certificación del ENS
(CoCENS)
>90 guías CCN-STIC Serie 800
-
23 Soluciones de
ciberseguridad
Referente
8 ediciones del informe INES
Ley Orgánica 3/2018
Real Decreto 43/2021
+ Instrucciones
Técnicas de Seguridad
Proveedores
Esfuerzo colectivo, multidisciplinar,
sostenido en el tiempo + liderazgo conjunto de
7. Por qué era necesaria
la actualización
Photo by Annie Spratt on Unsplash Fuente: Infografías ENS
8. Impulso tractor de la actualización
ACM sobre medidas urgentes
en materia de ciberseguridad
(25.05.2021)
LA 2 – Medida 3 Reformas
normativas – 9.3
9. Cuáles son los objetivos
de la actualización
Photo by Annie Spratt on Unsplash
1. Mejorar y alinear el ENS con el nuevo marco legal y
estratégico para facilitar la seguridad de la
administración digital
2. Introducir la capacidad de ajustar los requisitos del ENS
para una aplicación más eficaz y eficiente
3. Revisar de forma pormenorizada principios, requisitos y
medidas para facilitar la adaptación a tendencias y
necesidades en ciberseguridad
4. Aplicar un nuevo sistema de codificación de los
requisitos de las medidas de seguridad y de sus
refuerzos para facilitar su aplicación y la conformidad
10. 1. Principios básicos, que sirven de guía. (arts. 5 – 11)
2. Requisitos mínimos, de obligado cumplimiento. (arts. 12 – 27)
3. Categorización de los sistemas para la adopción de medidas de
seguridad proporcionadas. (arts. 28, 40, 41,A-I y A-II)
4. Uso de productos certificados. Papel del Organismo de Certificación (OC-
CCN) (art. 19 y A-II)
5. Uso de infraestructuras y servicios comunes (art. 29)
6. Los perfiles de cumplimiento específicos (art. 30)
7. La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31)
8. Informe del estado de la seguridad (art. 32)
9. Respuesta a incidentes de seguridad (arts. 33 y 34)
10. La conformidad con el ENS (art. 38)
11. La formación (D.a. 1ª)
12. Las instrucciones técnicas de seguridad (D.a. 2ª)
13. Las guías de seguridad (D.a. 2ª)
RD 311/2022 - Panorámica
Fuente: Infografías ENS
Disposición transitoria única:
Adecuación de sistemas -> 24 meses
11. Todo el sector público según artículo 2 de la Ley 40/2015.
Sistemas que tratan información clasificada.
Entidades del sector privado cuando presten servicios o
provean soluciones.
Referencia a que los pliegos de prescripciones recojan los
requisitos de conformidad con el ENS.
Referencia a los sistemas que traten datos personales.
Referencia a la instalación, despliegue, explotación de redes 5G
o prestación de servicios 5G por entidades del sector público.
Grandes novedades
El ámbito de aplicación
Photo by Marvin Meyer on Unsplash
12. Comprenderán aquel conjunto de medidas de
seguridad que resultando del preceptivo análisis de
riesgos, resulten idóneas para una concreta categoría de
seguridad.
Persiguen introducir la capacidad de ajustar los
requisitos del ENS a necesidades específicas de
determinados
Colectivos: Entidades Locales, Universidades, Organismos
Pagadores, …
Ámbitos tecnológicos: servicios en la nube, …
Photo by Alex Perez on Unsplash
Grandes novedades
Perfiles de cumplimiento específico
Photo bClaudio Schwarz | @purzlbaum on Unsplash
13. Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad.
Las organizaciones del sector privado que presten servicios a las entidades
públicas notificarán al INCIBE-CERT quien lo pondrá inmediatamente en
conocimiento del CCN-CERT.
El CCN-CERT determinará técnicamente el riesgo de reconexión de
sistemas afectados, indicando procedimientos a seguir y salvaguardas a
implementar.
La SGAD autorizará la reconexión a los medios y servicios comunes
comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o
transversales, si un informe de superficie de exposición del CCN-CERT
hubiere determinado que el riesgo es asumible.
Papel de otros actores: Coordinación con el Ministerio del Interior a través de
la OCC (RD-l 12/2018); ESPDEF-CERT; IGAE.
Grandes novedades
Respuesta a incidentes de ciberseguridad
Photo by Hack Capital on Unsplash
14. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de principios y requisitos
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
15. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
16. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash
17. Photo by Alex Perez on Unsplash
Grandes novedades
Codificación de requisitos y refuerzos
Más adecuado, para facilitar de manera proporcionada la seguridad de
los sistemas de información, su implantación y su auditoría.
Se han codificado los requisitos de las medidas
• Requisitos base
• Posibles refuerzos de seguridad (R), alineados con el nivel de
seguridad perseguido, que se suman (+) a los requisitos base de la
medida, pero que no siempre son incrementales entre sí; de
forma que, en ciertos casos, se puede elegir entre aplicar un
refuerzo u otro.
Photo by You X Ventures on Unsplash
19. Deficiencias detectadas en Informe INES y por CCN-CERT:
Mecanismos de autenticación [op.acc.5 / op.acc.6] sin uso de doble factor.
Protección frente a código dañino [op.exp.6] no implantada.
Mantenimiento [op.exp.4]: sistemas obsoletos, sin actualizaciones de seguridad.
Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]
con insuficiencias.
Protección de servicios y aplicaciones web [mp.s.2] insuficiente.
Perímetro seguro [mp.com.1] no aplicado.
Segregación de redes [mp.com.4] no aplicado.
Detección de intrusión [op.mon.1] no aplicado.
Copias de seguridad [mp.info.9], especialmente fuera de línea no aplicado.
Concienciación [mp.per.3] y formación [mp.per.4] insuficientes.
+ Insuficiencias en protocolos de actuación ante ciberincidentes.
Qué encuentran los equipos del CCN-CERT
en la investigación de incidentes
Photo by You X Ventures on Unsplash
20. 1. Que seáis partícipes y agentes de la
ciberseguridad, para llevarla a la realidad práctica.
2. Si trabajáis para el Sector Público (directa o
indirectamente), vuestra colaboración para la
plena aplicación del ENS.
3. En cualquier caso, que tengáis presente en
vuestros proyectos el caudal de recursos
que os aporta el ENS.
Photo by Paul Rysz on Unsplash
Qué esperamos
por vuestra parte
21.
22. Muchas gracias
20 de mayo de 2022
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad