1
Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas
“Novedades legislativas. Evolución del Esquema Nacional de Seguridad”
Madrid, 27 de febrero de 2014
2
<Fuente: CCN-CERT>
Incremento notable de incidentes
<Fuente: Estrategia de Ciberseguridad Nacional>
3
1. ¿Qué es el Esquema Nacional de
Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
4
El Esquema Nacional de Seguridad (I/II)
Responde a principios y derechos relativos a la seguridad
establecidos en la Ley 11/2007.
Se instrumenta en el Real Decreto 3/2010.
Establece la política de seguridad en los servicios de
administración-e, constituida por principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
Es de aplicación a todas las AA.PP.
Entró en vigor el 30 de enero de 2010.
Estableció un mecanismo de adecuación para sistemas existentes
de 48 meses que venció el 30 de enero de 2014.
Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.(FEMP),
ámbito de Justicia (EJIS), CRUE + Opinión Industria TIC.
Adecuado a las condiciones y requisitos de las AA.PP.
5
El Esquema Nacional de Seguridad (II/II)
Crea las condiciones necesarias de seguridad, que permita a los
ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Promueve la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
Promueve un tratamiento homogéneo de la seguridad que facilite
la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
Proporciona un lenguaje y unos elementos comunes: – Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la
información.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
Proporciona liderazgo en materia de buenas practicas.
6
Disponer de una política de seguridad
Las AA.PP. deberán disponer de una política de
seguridad en base a los principios básicos y aplicando los
requisitos mínimos para una protección adecuada de la información.
Para dar cumplimiento de los requisitos mínimos, se seleccionarán las
medidas de seguridad proporcionadas, atendiendo a:
La categoría del sistema. Básica, Media y Alta, según valoración de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad).
Lo dispuesto en la Ley Orgánica 15/1999, y normativa de
desarrollo.
Las decisiones que se adopten para gestionar los riesgos
identificados.
7
Elementos principales del ENS
Los principios básicos, que sirven de guía.
Los requisitos mínimos, de obligado
cumplimiento.
La categorización de los sistemas para la
adopción de medidas de seguridad
proporcionadas.
La auditoría de la seguridad que verifique el
cumplimiento del Esquema Nacional de Seguridad.
La respuesta a incidentes de seguridad.
Papel de CCN- CERT.
El uso de productos certificados. La
certificación, como aspecto a considerar al adquirir los
productos de seguridad. Papel del Organismo de
Certificación (CCN).
La formación y concienciación.
8
Para adecuarse al ENS
Elaborar y aprobar formalmente una política de seguridad (art. 11)
Identificar Responsables y asignar personas. Responsable de seguridad.
(art. 10)
Realizar la categorización de los sistemas
(art. 27)
Analizar los riesgos (art. 27)
Seleccionar las medidas y elaborar la declaración de aplicabilidad (anexo II)
Preparar y aprobar un plan de adecuación
/ de mejora (d.t)
Implantar las medidas de seguridad
(anexo II)
Publicitar la conformidad en la sede
electrónica (art. 41)
9
Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación.
Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables.
Según los siguientes términos: La política de seguridad define roles y funciones.
Existen procedimientos para resolución de conflictos.
Se aplica el principio de segregación de funciones.
Se ha realizado el análisis de riesgos, con revisión y aprobación anual.
Existe un sistema de gestión de seguridad de la información documentado.
Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las
medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es
Auditar la seguridad
10
Guías CCN-STIC publicadas: 800 - Glosario de Términos y Abreviaturas del ENS 801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS 803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS 805 - Política de Seguridad de la Información 806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS 808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS 810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS 812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS 814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS 817 - Criterios comunes para la Gestión de Incidentes de Seguridad 818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad 822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS 824 - Informe del Estado de Seguridad 825 – ENS & 27001 MAGERIT v3 Programas de apoyo: Pilar y µPILAR
+
Servicios de respuesta ante incidentes CCN-CERT
Formación STIC: presencial / en-línea
Esquema Nacional de Evaluación y Certificación
En elaboración: 819 – Contratación en el ENS
Guías y herramientas
11
ENS y 27001
El ENS es una regulación legal, perteneciente al
ordenamiento jurídico español, de cumplimiento obligatorio para los
S.I. comprendidos en el ámbito de aplicación de la Ley 11/2007, al
servicio de la realización de derechos de los ciudadanos.
El ENS trata la protección de la información y los
servicios; contempla y exige la gestión continuada de la
seguridad.
El ENS añade un sistema de protección proporcionado a la información y servicios a proteger para racionalizar la
implantación de las medidas.
El ENS contempla aspectos de especial interés para la
protección de información y servicios de administración-e.
La norma 27001 es una norma internacional, de gestión,
de cumplimiento voluntario y certificable. Contiene los requisitos
para la construcción (y ulterior certificación, en su caso) de un
Sistema de Gestión de Seguridad de la Información.
La Guía 825 explica la relación entre el ENS y la 27001.
12
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde
estamos?
3. ¿Cuáles son los próximos pasos?
13
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Una reflexión sobre
el antes del ENS y el ahora
1 RD, 24 Guías CCN-STIC, herramientas,
servicios…
Pero sobre todo:
Esfuerzo colectivo de todas las AA.PP.
+ Industria sector seguridad TIC
Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes.
14
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Adecuación al ENS, ¿dónde estamos?
El esfuerzo de adecuación al ENS se ha venido realizando
en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades.
Venció el plazo de 48 meses para la adecuación al ENS.
15
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Seguimiento en las AA.PP.:
Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.
Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.
Participación de carácter voluntario.
Herramienta disponible en el Portal de CCN-CERT.
Cuestionarios recibidos del ENS en las 4 oleadas de 2013:
16
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Parece que el grado de avance debería ser mayor.
Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.
Situación comparativa para una muestra de medidas de seguridad consideradas
particularmente significativas:
17
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué podemos hacer? (recomendaciones)
Es esencial que haya:
un plan de adecuación;
un responsable de seguridad nombrado; necesidad de equipo de seguridad.
una categorización de los sistemas;
que se realice el análisis de riesgos.
Recomendaciones:
Abordar aspectos que tienen una componente mayor de gobernanza y documentación:
Proceso de autorización y Arquitectura de seguridad.
Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de
aplicaciones web.
Impulsar
• Configuración de seguridad.
• Gestión de la configuración.
• Mantenimiento y Gestión de cambios.
• Los Registros de uso del sistema y Registro de la actividad de los usuarios.
• Las medidas de monitorización: Detección de intrusión y Sistema de métricas.
• Las actividades de Concienciación y Formación.
18
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
19
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
20
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
21
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Captación de feedback
ENS , art. 42: ‘Actualización permanente’
Experiencia obtenida de implantación del
ENS.
Comentarios recibidos por diversas
vías: formales e informales.
Evolución:
de la tecnología y las ciberamenazas
del contexto regulatorio europeo.
22
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Evolución del ENS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil para todos?
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
¿Qué medidas de seguridad deben
mejorarse?
¿Cómo reforzar la capacitación de los
profesionales?
23
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Conviene armonizar el modo común de actuar en
relación con ciertas cuestiones.
Esta armonización se podría hacer mediante la figura de
las ‘Normas Técnicas de Seguridad’.
Se aplicarían los procedimientos consolidados en las
Normas Técnicas de Interoperabilidad.
Las guías CCN-STIC tienen naturaleza de
recomendaciones, por tanto, su efecto es limitado.
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
24
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil (art. 35)?
Conviene asentar un mecanismo periódico que permita
recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.
Son necesarios procedimientos para recogida y consolidación de
información y organismos responsables de su realización.
25
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Conviene consolidar información que los incidentes serios: notificación
de ciertos incidentes. La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de
la UE.
Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también evidencias necesarias para la
investigación como: registros de auditoría, configuraciones, soportes y otra información
relevante. Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999.
Extender: Sistemas de Alerta Temprana (SAT).
Herramientas de detección de anomalías (CARMEN).
Gestión de incidentes común (LUCIA).
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
<Fuente: CCN-CERT>
26
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
3.4 Proceso de autorización [org.4]
4.1.2. Arquitectura de seguridad [op.pl.2]
4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas
4.2.5. Mecanismo de autenticación [op.acc.5]
4.3.8. Registro de la actividad de los usuarios [op.exp.8]
4.6.1. Detección de intrusión [op.mon.1]
4.6.2. Sistema de métricas [op.mon.2]
5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]
5.5.5. Borrado y destrucción [mp.si.5]
5.7.4. Firma electrónica [mp.info.4]
5.7.7. Copias de seguridad [mp.info.9]
¿Qué medidas de seguridad
deben mejorarse y cómo?
<No exhaustivo. Sometido a cambios>
27
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacitación de
profesionales?
Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y
auditada por personal cualificado…”
Hay escasez de profesionales con conocimientos avanzados para
hacer frente a las crecientes amenazas.
Es necesario asegurar unos conocimientos y habilidades de
los profesionales, con rigor y profesionalidad.
Mediante una Norma Técnica de Seguridad se regularía el Esquema
de Certificación de Personas, que establecerá el currículo exigible
en relación con los posibles perfiles profesionales y, en su caso, el
reconocimiento de certificaciones internacionales.
Artículo afectado: 15
28
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Conocer el estado de situación tras el vencimiento del plazo de los 48 meses. Siguiente seguimiento: marzo de 2014.
Poner en marcha de los mecanismos que permiten conocer e informar regularmente
del estado de la seguridad de las AA.PP. (Informe del artículo 35)
Evolucionar el ENS, a la luz de la
experiencia, del feedback y de los emergentes en
materia de ciberseguridad.
Continuar el esfuerzo de desarrollo de
instrumentos de apoyo a la adecuación al ENS: guías y herramientas.
Extender el ENS a todos los sistemas de información de las AA.PP.
Los próximos partidos
29
MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Muchas gracias
• Correos electrónicos – [email protected]
• Páginas Web:
– administracionelectronica.gob.es
– www.ccn-cert.cni.es
– www.ccn.cni.es
– www.oc.ccn.cni.es
Top Related