"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"

1

Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas

“Novedades legislativas. Evolución del Esquema Nacional de Seguridad”

Madrid, 27 de febrero de 2014

2

<Fuente: CCN-CERT>

Incremento notable de incidentes

<Fuente: Estrategia de Ciberseguridad Nacional>

3

1. ¿Qué es el Esquema Nacional de

Seguridad?

2. Adecuación al ENS, ¿dónde estamos?

3. ¿Cuáles son los próximos pasos?

4

El Esquema Nacional de Seguridad (I/II)

Responde a principios y derechos relativos a la seguridad

establecidos en la Ley 11/2007.

Se instrumenta en el Real Decreto 3/2010.

Establece la política de seguridad en los servicios de

administración-e, constituida por principios básicos y requisitos mínimos que

permitan una protección adecuada de la información.

Es de aplicación a todas las AA.PP.

Entró en vigor el 30 de enero de 2010.

Estableció un mecanismo de adecuación para sistemas existentes

de 48 meses que venció el 30 de enero de 2014.

Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.(FEMP),

ámbito de Justicia (EJIS), CRUE + Opinión Industria TIC.

Adecuado a las condiciones y requisitos de las AA.PP.

5

El Esquema Nacional de Seguridad (II/II)

Crea las condiciones necesarias de seguridad, que permita a los

ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Promueve la gestión continuada de la seguridad, al margen de

impulsos puntuales, o de su ausencia.

Promueve un tratamiento homogéneo de la seguridad que facilite

la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.

Proporciona un lenguaje y unos elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la

información.

– Para facilitar la interacción y la cooperación de las AA.PP.

– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.

Proporciona liderazgo en materia de buenas practicas.

6

Disponer de una política de seguridad

Las AA.PP. deberán disponer de una política de

seguridad en base a los principios básicos y aplicando los

requisitos mínimos para una protección adecuada de la información.

Para dar cumplimiento de los requisitos mínimos, se seleccionarán las

medidas de seguridad proporcionadas, atendiendo a:

La categoría del sistema. Básica, Media y Alta, según valoración de

dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad,

Confidencialidad, Trazabilidad).

Lo dispuesto en la Ley Orgánica 15/1999, y normativa de

desarrollo.

Las decisiones que se adopten para gestionar los riesgos

identificados.

7

Elementos principales del ENS

Los principios básicos, que sirven de guía.

Los requisitos mínimos, de obligado

cumplimiento.

La categorización de los sistemas para la

adopción de medidas de seguridad

proporcionadas.

La auditoría de la seguridad que verifique el

cumplimiento del Esquema Nacional de Seguridad.

La respuesta a incidentes de seguridad.

Papel de CCN- CERT.

El uso de productos certificados. La

certificación, como aspecto a considerar al adquirir los

productos de seguridad. Papel del Organismo de

Certificación (CCN).

La formación y concienciación.

8

Para adecuarse al ENS

Elaborar y aprobar formalmente una política de seguridad (art. 11)

Identificar Responsables y asignar personas. Responsable de seguridad.

(art. 10)

Realizar la categorización de los sistemas

(art. 27)

Analizar los riesgos (art. 27)

Seleccionar las medidas y elaborar la declaración de aplicabilidad (anexo II)

Preparar y aprobar un plan de adecuación

/ de mejora (d.t)

Implantar las medidas de seguridad

(anexo II)

Publicitar la conformidad en la sede

electrónica (art. 41)

9

Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación.

Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables.

Según los siguientes términos: La política de seguridad define roles y funciones.

Existen procedimientos para resolución de conflictos.

Se aplica el principio de segregación de funciones.

Se ha realizado el análisis de riesgos, con revisión y aprobación anual.

Existe un sistema de gestión de seguridad de la información documentado.

Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las

medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es

Auditar la seguridad

10

Guías CCN-STIC publicadas: 800 - Glosario de Términos y Abreviaturas del ENS 801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS 803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS 805 - Política de Seguridad de la Información 806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS 808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS 810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS 812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS 814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS 817 - Criterios comunes para la Gestión de Incidentes de Seguridad 818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad 822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS 824 - Informe del Estado de Seguridad 825 – ENS & 27001 MAGERIT v3 Programas de apoyo: Pilar y µPILAR

+

Servicios de respuesta ante incidentes CCN-CERT

Formación STIC: presencial / en-línea

Esquema Nacional de Evaluación y Certificación

En elaboración: 819 – Contratación en el ENS

Guías y herramientas

11

ENS y 27001

El ENS es una regulación legal, perteneciente al

ordenamiento jurídico español, de cumplimiento obligatorio para los

S.I. comprendidos en el ámbito de aplicación de la Ley 11/2007, al

servicio de la realización de derechos de los ciudadanos.

El ENS trata la protección de la información y los

servicios; contempla y exige la gestión continuada de la

seguridad.

El ENS añade un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la

implantación de las medidas.

El ENS contempla aspectos de especial interés para la

protección de información y servicios de administración-e.

La norma 27001 es una norma internacional, de gestión,

de cumplimiento voluntario y certificable. Contiene los requisitos

para la construcción (y ulterior certificación, en su caso) de un

Sistema de Gestión de Seguridad de la Información.

La Guía 825 explica la relación entre el ENS y la 27001.

12

MINISTERIO

DE HACIENDA

Y ADMINISTRACIONES PÚBLICAS

1. ¿Qué es el Esquema Nacional de Seguridad?

2. Adecuación al ENS, ¿dónde

estamos?


13

MINISTERIO

DE HACIENDA


Una reflexión sobre

el antes del ENS y el ahora

1 RD, 24 Guías CCN-STIC, herramientas,

servicios…

Pero sobre todo:

Esfuerzo colectivo de todas las AA.PP.

+ Industria sector seguridad TIC

Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes.

14

MINISTERIO

DE HACIENDA


Adecuación al ENS, ¿dónde estamos?

El esfuerzo de adecuación al ENS se ha venido realizando

en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades.

Venció el plazo de 48 meses para la adecuación al ENS.

15

MINISTERIO

DE HACIENDA


¿Dónde estamos? Seguimiento

Seguimiento en las AA.PP.:

Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.

Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.

Participación de carácter voluntario.

Herramienta disponible en el Portal de CCN-CERT.

Cuestionarios recibidos del ENS en las 4 oleadas de 2013:

16

MINISTERIO

DE HACIENDA


¿Dónde estamos? Seguimiento

Parece que el grado de avance debería ser mayor.

Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.

Situación comparativa para una muestra de medidas de seguridad consideradas

particularmente significativas:

17

MINISTERIO

DE HACIENDA


¿Qué podemos hacer? (recomendaciones)

Es esencial que haya:

un plan de adecuación;

un responsable de seguridad nombrado; necesidad de equipo de seguridad.

una categorización de los sistemas;

que se realice el análisis de riesgos.

Recomendaciones:

Abordar aspectos que tienen una componente mayor de gobernanza y documentación:

Proceso de autorización y Arquitectura de seguridad.

Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de

aplicaciones web.

Impulsar

• Configuración de seguridad.

• Gestión de la configuración.

• Mantenimiento y Gestión de cambios.

• Los Registros de uso del sistema y Registro de la actividad de los usuarios.

• Las medidas de monitorización: Detección de intrusión y Sistema de métricas.

• Las actividades de Concienciación y Formación.

18

MINISTERIO

DE HACIENDA


1. ¿Qué es el Esquema Nacional de Seguridad?

2. Adecuación al ENS, ¿dónde estamos?


19

MINISTERIO

DE HACIENDA


20

MINISTERIO

DE HACIENDA


21

MINISTERIO

DE HACIENDA


Captación de feedback

ENS , art. 42: ‘Actualización permanente’

Experiencia obtenida de implantación del

ENS.

Comentarios recibidos por diversas

vías: formales e informales.

Evolución:

de la tecnología y las ciberamenazas

del contexto regulatorio europeo.

22

MINISTERIO

DE HACIENDA


Evolución del ENS

¿Cómo avanzar en la armonización del modo

común de actuar en ciertas cuestiones?

¿Cómo conocer periódicamente el estado de

la seguridad en las AA.PP. de forma fácil para todos?

¿Cómo reforzar la capacidad de respuesta

frente a los incidentes de seguridad?

¿Qué medidas de seguridad deben

mejorarse?

¿Cómo reforzar la capacitación de los

profesionales?

23

MINISTERIO

DE HACIENDA


Conviene armonizar el modo común de actuar en

relación con ciertas cuestiones.

Esta armonización se podría hacer mediante la figura de

las ‘Normas Técnicas de Seguridad’.

Se aplicarían los procedimientos consolidados en las

Normas Técnicas de Interoperabilidad.

Las guías CCN-STIC tienen naturaleza de

recomendaciones, por tanto, su efecto es limitado.

¿Cómo avanzar en la armonización del modo

común de actuar en ciertas cuestiones?

24

MINISTERIO

DE HACIENDA


¿Cómo conocer periódicamente el estado de

la seguridad en las AA.PP. de forma fácil (art. 35)?

Conviene asentar un mecanismo periódico que permita

recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.

Son necesarios procedimientos para recogida y consolidación de

información y organismos responsables de su realización.

25

MINISTERIO

DE HACIENDA


Conviene consolidar información que los incidentes serios: notificación

de ciertos incidentes. La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de

la UE.

Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también evidencias necesarias para la

investigación como: registros de auditoría, configuraciones, soportes y otra información

relevante. Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999.

Extender: Sistemas de Alerta Temprana (SAT).

Herramientas de detección de anomalías (CARMEN).

Gestión de incidentes común (LUCIA).

¿Cómo reforzar la capacidad de respuesta

frente a los incidentes de seguridad?

<Fuente: CCN-CERT>

26

MINISTERIO

DE HACIENDA


3.4 Proceso de autorización [org.4]

4.1.2. Arquitectura de seguridad [op.pl.2]

4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas

4.2.5. Mecanismo de autenticación [op.acc.5]

4.3.8. Registro de la actividad de los usuarios [op.exp.8]

4.6.1. Detección de intrusión [op.mon.1]

4.6.2. Sistema de métricas [op.mon.2]

5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]

5.5.5. Borrado y destrucción [mp.si.5]

5.7.4. Firma electrónica [mp.info.4]

5.7.7. Copias de seguridad [mp.info.9]

¿Qué medidas de seguridad

deben mejorarse y cómo?

<No exhaustivo. Sometido a cambios>

27

MINISTERIO

DE HACIENDA


¿Cómo reforzar la capacitación de

profesionales?

Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y

auditada por personal cualificado…”

Hay escasez de profesionales con conocimientos avanzados para

hacer frente a las crecientes amenazas.

Es necesario asegurar unos conocimientos y habilidades de

los profesionales, con rigor y profesionalidad.

Mediante una Norma Técnica de Seguridad se regularía el Esquema

de Certificación de Personas, que establecerá el currículo exigible

en relación con los posibles perfiles profesionales y, en su caso, el

reconocimiento de certificaciones internacionales.

Artículo afectado: 15

28

MINISTERIO

DE HACIENDA


Conocer el estado de situación tras el vencimiento del plazo de los 48 meses. Siguiente seguimiento: marzo de 2014.

Poner en marcha de los mecanismos que permiten conocer e informar regularmente

del estado de la seguridad de las AA.PP. (Informe del artículo 35)

Evolucionar el ENS, a la luz de la

experiencia, del feedback y de los emergentes en

materia de ciberseguridad.

Continuar el esfuerzo de desarrollo de

instrumentos de apoyo a la adecuación al ENS: guías y herramientas.

Extender el ENS a todos los sistemas de información de las AA.PP.

Los próximos partidos

29

MINISTERIO

DE HACIENDA


Muchas gracias

• Correos electrónicos – [email protected]

– [email protected]





• Páginas Web:

– administracionelectronica.gob.es

– www.ccn-cert.cni.es

– www.ccn.cni.es

– www.oc.ccn.cni.es

"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"

Technology

Transcript of "Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"