Análisis de la gobernanza de la seguridad de la información en la Administración General del Estado

1. Agenda Digital Europea
Estrategia Europea de Ciberseguridad
Martes, 24 de mayo de 2016
9:30h. a 14:00h.
#cibereuropa

2. El responsable de seguridad en la
Administración General del Estado
Miguel Ángel Rodríguez Ramos | Ministerio de Industria, Energía yTurismo

3. Who am I
#ASTIC #minetur
@marodriguezz
#podcast
#cybersecurity
#eGov
#BigData
#TIC
#hacking
#pmi
#IoT
#SocialNetworks
#digital
#nba
#nfl
#innova
#changeagent#itil
#kanban

4. El mundo ha cambiado
 Ciberguerra +100 países
 Era post-Snowden
 El atacante es una industria o Estado. APTs
 Leaks - PANAMÁ papers = 1500 xWikiLeaks
 Cibercrimen: Industria de $ 445 billones
 Ransomware $ 325 millones
 Banca Bangladesh $ 80 millones Ecuador $ 10 millones
 Secuestros de HOSPITALES (California).

5. España cambia
 Plan deTransformación Digital (sociedad, industria,AAPP).
 Convergencia del mundo tradicional y el ciberespacio.
 La información como activo de las organizaciones. Big Data.
 Todo conectado. Internet de las cosas, cloud y movilidad.
 El "Gran Hermano" judicial por el que han denunciado a España en
la UE - El Confidencial – Mayo 2016
 Un virus 'ransomware' inutiliza nueve áreas del Ministerio del
Interior una semana – El Confidencial – Mayo 2016.
 La Fiscalía pide prisión para tres miembros del colectivo
Anonymous – El Mundo – Mayo 2016.

6. La industria de la ciberseguridad
 533 empresas que dan empleo a 5.808 personas.
 Facturación de 600 millones de euros.
 En 2019 los 1.000 millones de euros de gasto en ciberseguridad
 Aumento de incidentes en empresas 200%.
 Aumento de incidentes en ciudadanos 80%
CARACTERIZACIÓN DEL SUBSECTORY EL MERCADO DE LA CIBERSEGURIDAD 2015
Evolución
2014-2017
Evolución
2014-2019
UK 38 % 64 %
Europa 32 % 53 %
España 22 % 36 %

7. Cumplimiento normativo: legislación / normativa
Información
Directiva
NIS
Cibersegurid
ad Nacional
Código
penal
Enjuiciamien
to criminal
Leyes
sectoriales
Secretos
Oficiales
… …
Transparencia
PCI-DSS
ISO 27001
ENS
LOPD
DPO

8. Ciberseguridad nacional: roles

9. CORA – Reforma de las AAPP
 Clasificación de activos
 Infraestructuras comunes.
 Herramientas de productividad y puesto de trabajo.
 Aplicaciones comunes.
 Infraestructuras sectoriales.
 Aplicaciones sectoriales.
 Líneas de actuación
 Gobernanza:CIO para laAGE – Agencia de Servicios comunesTIC.
 Consolidación de infraestructuras comunes: comunicaciones y CPDs.
 Consolidación de las herramientas de productividad y puestos de trabajo.
 Consolidación de módulos comunes de administración electrónica.
 Mecanismos de incremento de la eficiencia en los desarrollos sectorialesTIC.

10. PresupuestosTIC AGE 2006-2015
Evolución del presupuesto en millones de euros

11. Plan deTransformación Digital AGE
 EstrategiaTIC 2015-2020
 Modelo de gobernanza (DTIC + CMADs).
 Dirección deTecnologías de Información y Comunicaciones – Servicios compartidos
 Comisiones Ministeriales de Administración Digital – Planes de acción sectoriales.
 Sin incremento de los créditos ya disponibles.
 Objetivo EstratégicoV - Estrategia corporativa de seguridad y usabilidad
 Línea de acción 9 - Garantizar la seguridad de los sistemas
 Leyes 39 y 40
 Cuerpo normativo unificado de loAdministrativo y de lo Digital.
 Ley de Procedimiento AdministrativoComún (Ley 39/2015).
 Ley de Régimen Jurídico (Ley 40/2015).

12. Catálogo de servicios compartidos
 Servicio unificado de telecomunicaciones
 Servicio de seguridad gestionada
 Servicio de alojamiento de infraestructurasTIC
 Servicio de nube híbrida (Nube SARA)
 Servicio de correo electrónico unificado
 Servicio multicanal de atención al ciudadano
 Servicio de gestión del registro
 Servicio de gestión de notificaciones
 Servicio de gestión de nómina
 Servicio integrado de gestión de personal
 Servicio común de gestión económico-
presupuestaria
 Servicio de generación y validación de firmas
electrónicas
 Servicio de gestión de expediente y documento
electrónico
 Servicio de gestión de archivo electrónico

13. Medidas de ciberseguridad
 Servicio de seguridad gestionada
 Seguridad perimetral
 Navegación segura
 Correo seguro
 Acceso remoto
 Auditorías de vulnerabilidades
 Línea de acción 9 - Garantizar la seguridad de los sistemas
 Ampliación del alcance del ENS a todos los Sistemas de Información de lasAA.PP
 Informar sobre la disponibilidad de los servicios
 Desarrollar una Política de Seguridad Común a toda la AGE
 Implantar una plataforma común de seguridad gestionada que permita garantizar unos
niveles mínimos y aceptables de seguridad para todos los organismos

14. Gasto en ciberseguridadAGE (I)
Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros
Inversión en hardware de
seguridad y porcentaje de
variación con respecto al
año anterior, por Ministerios
Gasto en servicios de
seguridad, por
Ministerios

15. Gasto en ciberseguridadAGE (II)
Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros
Porcentajes de gasto en
software, por tipología
Gasto en software de
seguridad, por Ministerios

16. Hacktivismo Cibercrimen
EspionajeCiberyihadismo
ESTETIPO DEATAQUESCONTINUARÁ EN
ASCENSO EN LOS PRÓXIMOSAÑOS, AL
TIEMPO QUE LO HACE SU SOFISTICACIÓN
Y PELIGROSIDAD.
ES DE ESPERARCIBERATAQUES MÁS
NUMEROSOS, MÁS SOFISTICADOSY MÁS
DESTRUCTIVOS EN LOS PRÓXIMOS AÑOS
NO SE PREVÉNALTERACIONES
SUSTANCIALES DELCOMPORTAMIENTO
DE ESTOSACTORES
LOS BENEFICIOSOBTENIDOSY ELACCESO
CADAVEZ MÁS FÁCILA LAS HERRAMIENTAS
DE PERPETRACIÓN DE ESTETIPO DE
ATAQUES PROPICIARÁ EL INCREMENTO DEL
NÚMERO DECIBERDELINCUENTES
Ciberamenazas 2015 y tendencias 2016

17. Gobernanza seguridad AGE (I)
 Se han analizado 16 Políticas de Seguridad de la Información.
 2 Ministerios sin política publicada (pendiente analizar si está
aprobada).
 RD de estructura de los Ministerios:
 1mención a protección de datos (Sanidad).
 31 %contemplan la seguridad o la ciberseguridad.
 1responsable de seguridad noTIC – MCCD en el Ministerio de Defensa.
 La mayoría de las PSIs definen una estructura de comités y grupos de trabajo y,
finalmente, la responsabilidad recae en la unidadTIC.
 Se aprecia especial sensibilidad por la seguridad en Defensa, Exteriores,
AgenciaTributaria y Sanidad.
 El Ministerio de Sanidad asume el cumplimiento de la ISO 27001.

18. Gobernanza seguridad AGE (II)
 Competencias de las unidadesTIC
 TIC
 Administración Electrónica
 Coordinación
 Planes
 Telecomunicaciones, voz y datos
 Portales
 Intranet
 Red
 Desarrollo
 Mantenimiento de contenidos
 Asesoramiento y asistencia
 Telefonía
 Programación
 Conservación de equipos
 Recuperación de los servicios informáticos
 Redes sociales

19. Gobernanza seguridad AGE (III)
 13 Ministerios + 80 Organismos Autónomos,Agencias y otros organismos
DTIC
Servicios
compartidos
MIN
CMAD
SGTIC
OOAA
¿¿¿???

20. Descifrando …

21.  ¿Caracterización del subsector y el mercado de la ciberseguridad
2015 (ONTSI - INCIBE)
 Ciberamenazas 2015 y tendencias 2016 (CCN-CERT)
 Estrategia de Ciberseguridad Nacional
 Informe CORA
 Plan deTransformación Digital de laAdministración General del
Estado (estrategiaTIC)
 Organización e instrumentos operativos de lasTIC en laAGE y sus
Organismos Públicos
 Informe IRIA 2015
 PresupuestosTIC de laAdministración del Estado (2015)
 CyberThreat Alliance
 The Global State of Information Security Survey 2016 (PWC)
 State of Cybersecurity: Implications for 2016 (ISACA - RSA)
Referencias

22. Muchas gracias
@marodriguezz
https://www.linkedin.com/in/miguelangelrodriguezz