SlideShare uma empresa Scribd logo

SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS

Miguel A. Amutio
Miguel A. Amutio
Tecnologia
1 de 23
Baixar para ler offline
9:45 a 10:15h “SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS” SESIONES PLENARIAS - AUDITORIO PRINCIPAL: SEGURIDAD Madrid, 20 de febrero de 2014 Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas 1
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. Adecuación al ENS, ¿dónde estamos? 2. Evolución del ENS, ¿hacia dónde vamos? 3. ¿Cuáles son los próximos pasos? 2
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. Adecuación al ENS, ¿dónde estamos? 3
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Una reflexión sobre el antes del ENS y el ahora  1 RD, servicios… 24 Guías CCN-STIC, herramientas, Pero sobre todo:  Esfuerzo colectivo de todas las AA.PP.  + Industria sector seguridad TIC  Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes. 4
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS El Esquema Nacional de Seguridad La Ley 11/2007 reconoce principios y derechos relativos a la seguridad:     El principio de derecho a la protección de los datos de carácter personal. El principio de seguridad en la implantación y utilización de los medios electrónicos. El principio de proporcionalidad → medidas adecuadas a la naturaleza y circunstancias de los trámites. Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP.  Es un instrumento legal – Real Decreto 3/2010que desarrolla lo previsto sobre seguridad en la Ley 11/2007.  Establece la política de seguridad en los servicios de administración-e. Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.  Es de aplicación a todas las AA.PP.  Establece un mecanismo de adecuación escalonado (fecha límite 30.01.2014).  Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC. Agenda Digital para Europa 5
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 6
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Adecuación al ENS, ¿dónde estamos? El esfuerzo de adecuación al ENS se ha venido realizando en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades. 7
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento Seguimiento en las AA.PP.:  Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.  Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.  Participación de carácter voluntario.  Herramienta disponible en el Portal de CCN-CERT. Venció el plazo de 48 meses para la adecuación al ENS. 8
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento  Situación comparativa para una muestra de medidas de seguridad consideradas particularmente significativas:  Parece que el grado de avance debería ser mayor. Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.  9
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué podemos hacer? (recomendaciones) En cualquier caso es esencial que haya: un Plan de adecuación; un responsable de seguridad nombrado; una categorización de los sistemas; que se realice el análisis de riesgos. Recomendaciones: • Abordar aspectos que tienen una componente mayor de gobernanza y documentación: Proceso de autorización y Arquitectura de seguridad. • Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de aplicaciones web. • Impulsar la Configuración de seguridad. • Implantar una mejor Gestión de la configuración. • Impulsar las medidas: Mantenimiento y Gestión de cambios. • Implantar ampliamente los Registros de uso del sistema y Registro de la actividad de los usuarios. • Impulsar las medidas de monitorización del sistema: Detección de intrusión y Sistema de métricas. • Impulsar las actividades de Concienciación y Formación. 10
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Auditar la seguridad Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación. Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables. Según los siguientes términos: La política de seguridad define roles y funciones. Existen procedimientos para resolución de conflictos. Se aplica el principio de segregación de funciones. Se ha realizado el análisis de riesgos, con revisión y aprobación anual. Existe un sistema de gestión de seguridad de la información documentado. Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es 11
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 2. Evolución del ENS, ¿Hacia dónde vamos? 12
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Captación de feedback  ENS , art. 42: ‘Actualización permanente’  Experiencia obtenida de implantación del ENS.  Comentarios recibidos por diversas vías: formales e informales.  Evolución:  de la tecnología y las ciberamenazas  del contexto regulatorio europeo. 13
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Evolución del ENS  ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil para todos?  ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad?  ¿Qué medidas de seguridad deben mejorarse?  ¿Cómo reforzar la capacitación de los profesionales? 14
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  Conviene armonizar el modo común de actuar en relación con ciertas cuestiones.  Esta armonización se podría hacer mediante la figura de las ‘Normas Técnicas de Seguridad’.  Se aplicarían los procedimientos consolidados en las Normas Técnicas de Interoperabilidad.  Las guías CCN-STIC tienen naturaleza recomendaciones, por tanto, su efecto es limitado. de  Artículo afectado: 29 15
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil?  Conviene asentar un mecanismo periódico que permita recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.  Son necesarios procedimientos para recogida y consolidación de información, aspectos metodológicos y organismos responsables de su realización.  Artículo afectado: 35 16
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad? (I/II)  Conviene consolidar información que los incidentes serios: notificación de ciertos incidentes.  Mediante una Norma Técnica de Seguridad se determinarían las características de los incidentes sujetos a notificación y el procedimiento para realizarla.  La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de la UE.  Artículo afectado: 36 17
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad? (II/II)  Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también evidencias necesarias para la investigación como: registros de auditoría, configuraciones, soportes y otra información relevante.  Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, y su normativa de desarrollo.  Artículo afectado: 37 18
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué medidas de seguridad deben mejorarse y cómo?  3.4 Proceso de autorización [org.4]  4.1.2. Arquitectura de seguridad [op.pl.2]  4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas  4.2.5. Mecanismo de autenticación [op.acc.5]  4.3.8. Registro de la actividad de los usuarios [op.exp.8]  4.6.1. Detección de intrusión [op.mon.1]  4.6.2. Sistema de métricas [op.mon.2]  5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]  5.5.5. Borrado y destrucción [mp.si.5]  5.7.4. Firma electrónica [mp.info.4]  5.7.7. Copias de seguridad [mp.info.9] <No exhaustivo. Sometido a cambios> 19
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacitación de profesionales?  Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado…”  Hay escasez de profesionales con conocimientos avanzados para hacer frente a las crecientes amenazas.  Es necesario asegurar unos conocimientos y habilidades de los profesionales, con rigor y profesionalidad.  Mediante una Norma Técnica de Seguridad se regularía el Esquema de Certificación de Personas, que establecerá el currículo exigible en relación con los posibles perfiles profesionales y, en su caso, el reconocimiento de certificaciones internacionales.  Artículo afectado: 15 20
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 3. ¿Cuáles son los próximos pasos? 21
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Los próximos partidos Conocimiento del estado de situación tras el vencimiento del plazo de los 48 meses.  Siguiente seguimiento: marzo de 2014.  Puesta en marcha de los mecanismos que permiten conocer e informar regularmente del estado de la seguridad de las AA.PP. (Informe del artículo 35) Actualización del ENS, a la luz de la experiencia, del feedback y de los emergentes en materia de ciberseguridad.  Continuar el esfuerzo de desarrollo de instrumentos de apoyo a la adecuación al ENS: guías y herramientas.  Extender el ENS a todos los sistemas de información de las AA.PP.  22
MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Muchas gracias • Correos electrónicos – – – – – – ens@ccn-cert.cni.es ens.minhap@correo.gob.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es • Páginas Web: – – – – administracionelectronica.gob.es www.ccn-cert.cni.es www.ccn.cni.es www.oc.ccn.cni.es 23

Recomendados

Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)
Miguel A. Amutio
 
Transformación digital, legislación y normativa relativa al documento-e e imp...
Transformación digital, legislación y normativa relativa al documento-e e imp...Transformación digital, legislación y normativa relativa al documento-e e imp...
Transformación digital, legislación y normativa relativa al documento-e e imp...
Miguel A. Amutio
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Miguel A. Amutio
 
Auditoría y certificación de conformidad con el ENS
Auditoría y certificación de conformidad con el ENSAuditoría y certificación de conformidad con el ENS
Auditoría y certificación de conformidad con el ENS
Miguel A. Amutio
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Miguel A. Amutio
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
Ingeniería e Integración Avanzadas (Ingenia)
 
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
Ingeniería e Integración Avanzadas (Ingenia)
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0 III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
Ingeniería e Integración Avanzadas (Ingenia)
 

Recomendados

Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)
Miguel A. Amutio
 
Transformación digital, legislación y normativa relativa al documento-e e imp...
Transformación digital, legislación y normativa relativa al documento-e e imp...Transformación digital, legislación y normativa relativa al documento-e e imp...
Transformación digital, legislación y normativa relativa al documento-e e imp...
Miguel A. Amutio
 
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Acciones de la DTIC. Actualización del ENS y Nivel de cumplimiento.
Miguel A. Amutio
 
Auditoría y certificación de conformidad con el ENS
Auditoría y certificación de conformidad con el ENSAuditoría y certificación de conformidad con el ENS
Auditoría y certificación de conformidad con el ENS
Miguel A. Amutio
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Miguel A. Amutio
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
Ingeniería e Integración Avanzadas (Ingenia)
 
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
III Jornada de Ciberseguridad en Andalucía: Presentación del informe anual de...
Ingeniería e Integración Avanzadas (Ingenia)
 
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0 III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
Ingeniería e Integración Avanzadas (Ingenia)
 
Valores
ValoresValores
Valores
angieesantaana
 
Ppt anestesia final
Ppt anestesia finalPpt anestesia final
Ppt anestesia final
Flor Alfaro Carranza
 
Paisaje variable
Paisaje variablePaisaje variable
Paisaje variable
Lourdes Portilla
 
Presentaciónp
PresentaciónpPresentaciónp
Presentaciónp
marianagalz
 
4 actividad de asimilacion de tecnologia
4 actividad de asimilacion de tecnologia4 actividad de asimilacion de tecnologia
4 actividad de asimilacion de tecnologia
ValeriaTapiaLema
 
Die entscheidende Session auf den XP Days Germany 2010
Die entscheidende Session auf den XP Days Germany 2010Die entscheidende Session auf den XP Days Germany 2010
Die entscheidende Session auf den XP Days Germany 2010
Bernd Schiffer
 
Pruebaparapreescolares
PruebaparapreescolaresPruebaparapreescolares
Pruebaparapreescolares
juanis03
 
Evidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasugaEvidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasuga
Leidy Johana Pava Velandia
 
Practica 7
Practica 7Practica 7
Practica 7
Cindy Gonzalez
 
Competencias digitales power_point
Competencias digitales power_pointCompetencias digitales power_point
Competencias digitales power_point
lauirakasle
 
Herramientas telematicas III
Herramientas telematicas IIIHerramientas telematicas III
Herramientas telematicas III
daflobel07
 
H4 sem facebook
H4 sem facebookH4 sem facebook
H4 sem facebook
Pulso Internet & Consultoría
 
Observaciones al proyecto de ley antimonopolio
Observaciones al proyecto de ley antimonopolioObservaciones al proyecto de ley antimonopolio
Observaciones al proyecto de ley antimonopolio
Asambleista Viviana Salcedo
 
Curiosidades
CuriosidadesCuriosidades
Curiosidades
julia_artalejo
 
Perseverancia nicole mendoza
Perseverancia nicole mendozaPerseverancia nicole mendoza
Perseverancia nicole mendoza
Nicole Mendoza
 
Axiologia y anomia
Axiologia y anomiaAxiologia y anomia
Axiologia y anomia
Marlio Camacho
 
Aviacion
AviacionAviacion
Aviacion
Diana López
 
Facundo Cabaral
Facundo CabaralFacundo Cabaral
Facundo Cabaral
ThelmaSoledad
 
Actividad de afianzamiento fransica y la muerte
Actividad de afianzamiento fransica y la muerteActividad de afianzamiento fransica y la muerte
Actividad de afianzamiento fransica y la muerte
Jorge Eduardo Torres Miranda
 
Boletín 14
Boletín 14Boletín 14
Boletín 14
Centro Veterinario Bormujos
 
Situación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de SeguridadSituación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de Seguridad
Miguel A. Amutio
 
Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14
Ingeniería e Integración Avanzadas (Ingenia)
 

Mais conteúdo relacionado

Destaque

Pruebaparapreescolares
PruebaparapreescolaresPruebaparapreescolares
Pruebaparapreescolares
juanis03
 
Evidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasugaEvidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasuga
Leidy Johana Pava Velandia
 
Competencias digitales power_point
Competencias digitales power_pointCompetencias digitales power_point
Competencias digitales power_point
lauirakasle
 
Herramientas telematicas III
Herramientas telematicas IIIHerramientas telematicas III
Herramientas telematicas III
daflobel07
 
Perseverancia nicole mendoza
Perseverancia nicole mendozaPerseverancia nicole mendoza
Perseverancia nicole mendoza
Nicole Mendoza
 

Destaque (20)

Valores
ValoresValores
Valores
 
Ppt anestesia final
Ppt anestesia finalPpt anestesia final
Ppt anestesia final
 
Paisaje variable
Paisaje variablePaisaje variable
Paisaje variable
 
Presentaciónp
PresentaciónpPresentaciónp
Presentaciónp
 
4 actividad de asimilacion de tecnologia
4 actividad de asimilacion de tecnologia4 actividad de asimilacion de tecnologia
4 actividad de asimilacion de tecnologia
 
Die entscheidende Session auf den XP Days Germany 2010
Die entscheidende Session auf den XP Days Germany 2010Die entscheidende Session auf den XP Days Germany 2010
Die entscheidende Session auf den XP Days Germany 2010
 
Pruebaparapreescolares
PruebaparapreescolaresPruebaparapreescolares
Pruebaparapreescolares
 
Evidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasugaEvidencia trabajo colaborativo inpec de fusagasuga
Evidencia trabajo colaborativo inpec de fusagasuga
 
Practica 7
Practica 7Practica 7
Practica 7
 
Competencias digitales power_point
Competencias digitales power_pointCompetencias digitales power_point
Competencias digitales power_point
 
Herramientas telematicas III
Herramientas telematicas IIIHerramientas telematicas III
Herramientas telematicas III
 
H4 sem facebook
H4 sem facebookH4 sem facebook
H4 sem facebook
 
Observaciones al proyecto de ley antimonopolio
Observaciones al proyecto de ley antimonopolioObservaciones al proyecto de ley antimonopolio
Observaciones al proyecto de ley antimonopolio
 
Curiosidades
CuriosidadesCuriosidades
Curiosidades
 
Perseverancia nicole mendoza
Perseverancia nicole mendozaPerseverancia nicole mendoza
Perseverancia nicole mendoza
 
Axiologia y anomia
Axiologia y anomiaAxiologia y anomia
Axiologia y anomia
 
Aviacion
AviacionAviacion
Aviacion
 
Facundo Cabaral
Facundo CabaralFacundo Cabaral
Facundo Cabaral
 
Actividad de afianzamiento fransica y la muerte
Actividad de afianzamiento fransica y la muerteActividad de afianzamiento fransica y la muerte
Actividad de afianzamiento fransica y la muerte
 
Boletín 14
Boletín 14Boletín 14
Boletín 14
 

Semelhante a SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS

Situación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de SeguridadSituación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de Seguridad
Miguel A. Amutio
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Miguel A. Amutio
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 

Semelhante a SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS (20)

Situación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de SeguridadSituación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de Seguridad
 
Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14
 
Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad e...
Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad e...Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad e...
Seminario Estrategia de Ciberseguridad Nacional. Mesa redonda "La seguridad e...
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés20140415_Infoday regional H2020_Seguridad_Sofia Bellés
20140415_Infoday regional H2020_Seguridad_Sofia Bellés
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientes
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
 
Estado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de SeguridadEstado e implantación del Esquema Nacional de Seguridad
Estado e implantación del Esquema Nacional de Seguridad
 
20111018 Novedades en el Esquema Nacional de Seguridad (ENS), SOCINFO, octubr...
20111018 Novedades en el Esquema Nacional de Seguridad (ENS), SOCINFO, octubr...20111018 Novedades en el Esquema Nacional de Seguridad (ENS), SOCINFO, octubr...
20111018 Novedades en el Esquema Nacional de Seguridad (ENS), SOCINFO, octubr...
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 

Mais de Miguel A. Amutio

The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
Miguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
Miguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
Miguel A. Amutio
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
Miguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
Miguel A. Amutio
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
Miguel A. Amutio
 

Mais de Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS

  • 1. 9:45 a 10:15h “SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS” SESIONES PLENARIAS - AUDITORIO PRINCIPAL: SEGURIDAD Madrid, 20 de febrero de 2014 Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas 1
  • 2. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. Adecuación al ENS, ¿dónde estamos? 2. Evolución del ENS, ¿hacia dónde vamos? 3. ¿Cuáles son los próximos pasos? 2
  • 3. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 1. Adecuación al ENS, ¿dónde estamos? 3
  • 4. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Una reflexión sobre el antes del ENS y el ahora  1 RD, servicios… 24 Guías CCN-STIC, herramientas, Pero sobre todo:  Esfuerzo colectivo de todas las AA.PP.  + Industria sector seguridad TIC  Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes. 4
  • 5. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS El Esquema Nacional de Seguridad La Ley 11/2007 reconoce principios y derechos relativos a la seguridad:     El principio de derecho a la protección de los datos de carácter personal. El principio de seguridad en la implantación y utilización de los medios electrónicos. El principio de proporcionalidad → medidas adecuadas a la naturaleza y circunstancias de los trámites. Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP.  Es un instrumento legal – Real Decreto 3/2010que desarrolla lo previsto sobre seguridad en la Ley 11/2007.  Establece la política de seguridad en los servicios de administración-e. Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.  Es de aplicación a todas las AA.PP.  Establece un mecanismo de adecuación escalonado (fecha límite 30.01.2014).  Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC. Agenda Digital para Europa 5
  • 7. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Adecuación al ENS, ¿dónde estamos? El esfuerzo de adecuación al ENS se ha venido realizando en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades. 7
  • 8. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento Seguimiento en las AA.PP.:  Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.  Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.  Participación de carácter voluntario.  Herramienta disponible en el Portal de CCN-CERT. Venció el plazo de 48 meses para la adecuación al ENS. 8
  • 9. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Dónde estamos? Seguimiento  Situación comparativa para una muestra de medidas de seguridad consideradas particularmente significativas:  Parece que el grado de avance debería ser mayor. Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.  9
  • 10. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué podemos hacer? (recomendaciones) En cualquier caso es esencial que haya: un Plan de adecuación; un responsable de seguridad nombrado; una categorización de los sistemas; que se realice el análisis de riesgos. Recomendaciones: • Abordar aspectos que tienen una componente mayor de gobernanza y documentación: Proceso de autorización y Arquitectura de seguridad. • Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de aplicaciones web. • Impulsar la Configuración de seguridad. • Implantar una mejor Gestión de la configuración. • Impulsar las medidas: Mantenimiento y Gestión de cambios. • Implantar ampliamente los Registros de uso del sistema y Registro de la actividad de los usuarios. • Impulsar las medidas de monitorización del sistema: Detección de intrusión y Sistema de métricas. • Impulsar las actividades de Concienciación y Formación. 10
  • 11. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Auditar la seguridad Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación. Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables. Según los siguientes términos: La política de seguridad define roles y funciones. Existen procedimientos para resolución de conflictos. Se aplica el principio de segregación de funciones. Se ha realizado el análisis de riesgos, con revisión y aprobación anual. Existe un sistema de gestión de seguridad de la información documentado. Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es 11
  • 12. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 2. Evolución del ENS, ¿Hacia dónde vamos? 12
  • 13. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Captación de feedback  ENS , art. 42: ‘Actualización permanente’  Experiencia obtenida de implantación del ENS.  Comentarios recibidos por diversas vías: formales e informales.  Evolución:  de la tecnología y las ciberamenazas  del contexto regulatorio europeo. 13
  • 14. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Evolución del ENS  ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil para todos?  ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad?  ¿Qué medidas de seguridad deben mejorarse?  ¿Cómo reforzar la capacitación de los profesionales? 14
  • 15. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo avanzar en la armonización del modo común de actuar en ciertas cuestiones?  Conviene armonizar el modo común de actuar en relación con ciertas cuestiones.  Esta armonización se podría hacer mediante la figura de las ‘Normas Técnicas de Seguridad’.  Se aplicarían los procedimientos consolidados en las Normas Técnicas de Interoperabilidad.  Las guías CCN-STIC tienen naturaleza recomendaciones, por tanto, su efecto es limitado. de  Artículo afectado: 29 15
  • 16. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo conocer periódicamente el estado de la seguridad en las AA.PP. de forma fácil?  Conviene asentar un mecanismo periódico que permita recoger información para conocer e informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.  Son necesarios procedimientos para recogida y consolidación de información, aspectos metodológicos y organismos responsables de su realización.  Artículo afectado: 35 16
  • 17. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad? (I/II)  Conviene consolidar información que los incidentes serios: notificación de ciertos incidentes.  Mediante una Norma Técnica de Seguridad se determinarían las características de los incidentes sujetos a notificación y el procedimiento para realizarla.  La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en proyectos normativos de la UE.  Artículo afectado: 36 17
  • 18. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacidad de respuesta frente a los incidentes de seguridad? (II/II)  Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también evidencias necesarias para la investigación como: registros de auditoría, configuraciones, soportes y otra información relevante.  Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, y su normativa de desarrollo.  Artículo afectado: 37 18
  • 19. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Qué medidas de seguridad deben mejorarse y cómo?  3.4 Proceso de autorización [org.4]  4.1.2. Arquitectura de seguridad [op.pl.2]  4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas  4.2.5. Mecanismo de autenticación [op.acc.5]  4.3.8. Registro de la actividad de los usuarios [op.exp.8]  4.6.1. Detección de intrusión [op.mon.1]  4.6.2. Sistema de métricas [op.mon.2]  5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]  5.5.5. Borrado y destrucción [mp.si.5]  5.7.4. Firma electrónica [mp.info.4]  5.7.7. Copias de seguridad [mp.info.9] <No exhaustivo. Sometido a cambios> 19
  • 20. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS ¿Cómo reforzar la capacitación de profesionales?  Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado…”  Hay escasez de profesionales con conocimientos avanzados para hacer frente a las crecientes amenazas.  Es necesario asegurar unos conocimientos y habilidades de los profesionales, con rigor y profesionalidad.  Mediante una Norma Técnica de Seguridad se regularía el Esquema de Certificación de Personas, que establecerá el currículo exigible en relación con los posibles perfiles profesionales y, en su caso, el reconocimiento de certificaciones internacionales.  Artículo afectado: 15 20
  • 21. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 3. ¿Cuáles son los próximos pasos? 21
  • 22. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Los próximos partidos Conocimiento del estado de situación tras el vencimiento del plazo de los 48 meses.  Siguiente seguimiento: marzo de 2014.  Puesta en marcha de los mecanismos que permiten conocer e informar regularmente del estado de la seguridad de las AA.PP. (Informe del artículo 35) Actualización del ENS, a la luz de la experiencia, del feedback y de los emergentes en materia de ciberseguridad.  Continuar el esfuerzo de desarrollo de instrumentos de apoyo a la adecuación al ENS: guías y herramientas.  Extender el ENS a todos los sistemas de información de las AA.PP.  22
  • 23. MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS Muchas gracias • Correos electrónicos – – – – – – ens@ccn-cert.cni.es ens.minhap@correo.gob.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es • Páginas Web: – – – – administracionelectronica.gob.es www.ccn-cert.cni.es www.ccn.cni.es www.oc.ccn.cni.es 23