INTECO - Implantación del ENS.pdf

12
1 Implantación del Esquema Nacional de Seguridad Alberto López Responsable de Proyectos Dirección de Operaciones

Transcript of INTECO - Implantación del ENS.pdf

  • 1

    Implantacin del Esquema Nacional de Seguridad

    Alberto Lpez

    Responsable de Proyectos

    Direccin de Operaciones

  • 2

    1. Qu es el Esquema Nacional de Seguridad?

    2. mbito de Aplicacin e Impacto.

    3. Visin General del Esquema.

    4. Implantacin del Esquema.

    ndice

  • 3

    1 Que es el ENS?

    La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrnicos, a travs de

    medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y

    los servicios electrnicos, que permita el ejercicio de derechos y el cumplimiento de

    deberes a travs de estos medios.

    El Esquema Nacional de Seguridad introduce los elementos comunes que han de guiar la actuacin de las Administraciones Pblicas en materia de seguridad de las

    tecnologas de la informacin y aporta un lenguaje comn para facilitar la

    interaccin de las Administraciones Pblicas, as como la comunicacin de los

    requisitos de seguridad de la informacin de las mismas a la industria.

    El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de

    Seguridad en el mbito de la Administracin Electrnica, regula el citado Esquema previsto

    en el artculo 42 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a

    los Servicios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de

    medios electrnicos y est constituido por principios bsicos y requisitos mnimos que

    permitan una proteccin adecuada de la informacin.

  • 4

    2 mbito de Aplicacin e Impacto

    El mbito de aplicacin del Esquema Nacional de Seguridad es el establecido en el

    artculo 2 de la Ley 11/2007:

    A la Administracin General del Estado, Administraciones de las Comunidades Autnomas y las Entidades que integran la Administracin Local, as como las

    entidades de derecho pblico vinculadas o dependientes de las mismas.

    A los ciudadanos en sus relaciones con las Administraciones Pblicas. A las relaciones entre las distintas Administraciones Pblicas.

    Todos los sistemas existentes deben adecuarse al ENS en un plazo de 12 meses desde su aprobacin, aunque si hubiera circunstancias que impidieran la plena

    aplicacin, se dispondr de un plan de adecuacin que marque los plazos de

    ejecucin, en ningn caso superior a 48 meses desde la entrada en vigor del

    esquema.

  • 5

    3 - Visin General del Esquema

    Cinco dimensiones de seguridad: Disponibilidad, Autenticidad ,

    Integridad , Confidencialidad y

    Trazabilidad.

    Gestin de la seguridad basada en los riesgos, debiendo realizarse un

    anlisis y gestin de los mismos con el

    objetivo de minimizarlos hasta unos

    niveles aceptables. Categorizacin de los activos: BSICO. MEDIO Y

    ALTO.

    Necesidad de realizar reevaluaciones peridicas. Mejora Continua.

  • 6

    3 - Visin General del Esquema

    Poltica de Seguridad. Normativa de Seguridad. Procedimientos de Seguridad. Proceso de Autorizacin.

    Marco Organizativo

    Planificacin. Control de Acceso. Explotacin. Servicios Externos. Continuidad del servicio. Monitorizacin del sistema.

    Marco Operacional

    Proteccin de las instalaciones e infraestructuras. Gestin del Personal. Proteccin de los equipos. Proteccin de las comunicaciones. Proteccin de los soportes de informacin. Proteccin de las aplicaciones informticas. Proteccin de la informacin. Proteccin de los servicios.

    Medidas de Proteccin

    ANEXO II

  • 7

    4 - Implantacin

    Ejecucin

    Implantar el Plan de Mejora

    Implementar los Controles

    Formacin y Concienciacin Seguimiento

    Plan de auditora (articulo 34)

    Planificacin

    Alcance (articulo 2 11/2007)

    Organizacin y Responsabilidades

    Poltica de Seguridad

    Valoracin de Informacin y Servicios

    Categora del sistema y aplicabilidad.

    Anlisis y Evaluacin de Riesgos.

    Identificacin de Insuficiencias.

    Plan de Mejora

    Mejora Continua

    Acciones Correctivas

    Acciones Preventivas

    Seguridad de la Informacin = Modelo en CONTINUA Evolucin

  • 8

    4 - Implantacin

    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011

    1. Definicin del Alcance.

    2. Organizacin y Responsabilidades.

    3. Poltica de Seguridad de la entidad.

    Objetivos o misin de la organizacin. Marco legal y regulatorio en el que se desarrollarn las actividades. Roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, as como el procedimiento para su designacin y renovacin.

    Estructura del comit o los comits para la gestin y coordinacin de la seguridad, detallando su mbito de responsabilidad, los miembros y la relacin con otros elementos de la

    organizacin.

    Directrices para la estructuracin de la documentacin de seguridad del sistema, su gestin y acceso.

    RETOS:

    No tengo organizadas las responsabilidades .

    No tenemos poltica de seguridad.

    La poltica de seguridad de mi organizacin no cumple con dicha estructura.

    Responsables de Seguridad, de la Informacin y de los Servicios

  • 9

    4 - Implantacin

    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011

    4. Valoracin de Informacin y Servicios.

    5. Categora del Sistema y Aplicabilidad.

    6. Anlisis de Riesgos.

    7. Insuficiencias del Sistema.

    Dudas:

    Quin valora? Formalmente el Responsable del Servicio y de la Informacin.

    Quin acepta el riesgo residual? Formalmente los Responsables del Servicio y la Informacin

    Anexo I RD 3/2010.

    En funcin de la categora del sistema.

    Incumplimiento formal de las medidas de seguridad exigidas en el Anexo II para la valoracin del sistema.

    Incumplimiento formal de las medidas de seguridad exigidas por el RD 1720/1997 para los datos de carcter personal tratados por el sistema.

    Existencia de riesgos no asumibles por el organismo.

  • 10

    4 - Implantacin

    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011

    8. Plan de Mejora.

    Prximos pasos:

    Implantacin de controles derivados del Plan de Mejora.

    Formacin y concienciacin.

    Plan de Auditora.

    Mejoras derivadas de Plan de Auditora.

    Insuficiencias que subsanan. Plazo previsto de ejecucin, indicando fecha de inicio y fecha de terminacin, as como los principales hitos intermedios.

    Estimacin del coste que supondr.

  • 11

    Conclusiones

    Apoyo: desde arriba hacia abajo Definir desde el inicio un Responsable de Seguridad, encargado de llevar a cabo la adecuacin.

    Establecer fases progresivas para la adecuacin a travs del plan de adecuacin (tenemos 3 aos ms, pero luego seguimos).

    Reutilizar lo que ya tenemos. Entender el cumplimiento como un medio y no como un fin.

  • 12

    Muchas gracias


Guia inteco youtube

Guia inteco youtube

Seguridad en dispositivos m³viles - Inteco-CERT

Seguridad en dispositivos m³viles - Inteco-CERT

INTECO - Estudio sobre Seguridad Inalámbrica (MMBB)

INTECO - Estudio sobre Seguridad Inalámbrica (MMBB)

SERVICIO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE … · TC2 . Mensualmente . Sí ... Información (INTECO-CERT) y la Oficina de Seguridad del Internauta. INTECO, como actor fundamental

SERVICIO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD DE … · TC2 . Mensualmente . Sí ... Información (INTECO-CERT) y la Oficina de Seguridad del Internauta. INTECO, como actor fundamental

Guia inteco twitter

Guia inteco twitter

Guia Inteco

Guia Inteco

Estudio Phishing Observatorio Inteco

Estudio Phishing Observatorio Inteco

GUÍA DE SEGURIDAD DE MAGENTO .(Publicada por INTECO junio 2014)

GUÍA DE SEGURIDAD DE MAGENTO .(Publicada por INTECO junio 2014)

Inteco Guia Lopd

Inteco Guia Lopd

Guía de INTECO para usuarios: identidad digital y reputación online

Guía de INTECO para usuarios: identidad digital y reputación online

Cursos Programados 2019 Sin precios Actualizado1 · INTECO El Instituto de Normas Técnicas de Costa Rica (INTECO) es una asociación privada sin ˜nes de lucro, con personería jurídica

Cursos Programados 2019 Sin precios Actualizado1 · INTECO El Instituto de Normas Técnicas de Costa Rica (INTECO) es una asociación privada sin ˜nes de lucro, con personería jurídica

Estudio Inteco Cloud Computing en Sector Publico

Estudio Inteco Cloud Computing en Sector Publico

Guia Apoyo Sgsi-Inteco

Guia Apoyo Sgsi-Inteco

Taller33 E Health It Governance INTECO

Taller33 E Health It Governance INTECO

Presentacion Inteco

Presentacion Inteco

Catálgo Inteco Perú

Catálgo Inteco Perú

Actuaciones en e-CONFIANZAdintel.org/web/Eventos/CongresosEspana/Observatorio/2008/...3 Actuaciones en e-Confianza de INTECO 1. ¿Qué es INTECO? Instituto Nacional de Tecnologías

Actuaciones en e-CONFIANZAdintel.org/web/Eventos/CongresosEspana/Observatorio/2008/...3 Actuaciones en e-Confianza de INTECO 1. ¿Qué es INTECO? Instituto Nacional de Tecnologías

Guia inteco tuenti

Guia inteco tuenti

Guía para usuarios: identidad digital y reputación online (INTECO)

Guía para usuarios: identidad digital y reputación online (INTECO)

Manual sobre ciberbullying para padres (Inteco)

Manual sobre ciberbullying para padres (Inteco)