III

ENCUENTRO ENS

PresentaciónCCN-CERT / SGAD

Índice

¿Qué está pasando?

Actualización del ENS. Objetivos

Actualización del ENS. Medidas

Retos y conclusiones

Photo by ThisisEngineering RAEng on Unsplash

12

34

Digitalización acelerada con impacto global

Organizaciones, públicas y privadas, en sus

productos, procesos y servicios

Personas, como ciudadanos, profesionales,

estudiantes…

Transforma nuestros medios, hábitos y

expectativas de:

▪ Trabajo

▪ Educación / Formación

▪ Ocio

▪ Entretenimiento

▪ Consumo

▪ Interacción social

Genera hiperconectividad

Se agudiza la dependencia de la tecnología,

mayor:

▪ complejidad

▪ interdependencia

▪ se incrementa la superficie de

exposición a ciberamenazas y a

fallos.

Los ciberincidentes crecen en frecuencia,

alcance, sofisticación y severidad del impacto.

Provocan daño y socavan la confianza en el

uso de las tecnologías.

La transformación digital ha de ir

acompasada con la robustez en

ciberseguridad.

+ Contexto de valores compartidos

y derechos fundamentales de nuestra sociedad

Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose

las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.

Transformación digital. Perspectiva global.

Dinámica permanente

El Sector Público y su cadena de suministro en el

punto de mira de los ciberataques

Orientados a la información

▪ Con sustracción (con o sin revelación)

▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)

▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)

Orientados a los servicios

▪ Con quiebra de la disponibilidad de los servicios, que afectaría al acceso a la información

Combinación de los anteriores

El Sector Público y su cadena de suministro en el

punto de mira de los ciberataques

Fuente: Cyber brief (March 2021) April 6, 2021 - Version: 1.0 TLP:WHITE Disclosure is not limited. Information may be distributed freely.

Claves de la Orden Ejecutiva:

▪ Eliminar las barreras para compartir información sobre amenazas y ciberincidentes entre el gobierno y sus proveedores.

▪ Modernizar y reforzar la ciberseguridad del gobierno para responder a la evolución de las ciberamenazas: adopción de buenas

prácticas, arquitecturas de mínimo privilegio (zero-trust) y de uso de servicios en la nube, adopción de doble factor de

autenticación, cifrado de información en reposo y en tránsito, colaboración en la respuesta ante incidentes.

▪ Mejorar la seguridad de la cadena de suministro de software para garantizar que los productos funcionen de forma segura y según lo

previsto, mediante estándares, procedimientos, criterios, guías, aplicación del concepto de SBOM (Software Bill of Materials) y marcas de

excelencia.

▪ Establecer una comisión de examen de la ciberseguridad compuesta por miembros del gobierno y representantes del sector privado,

para analizar incidentes y extraer lecciones.

▪ Estandarizar el manual de procedimientos de respuesta ante vulnerabilidades e incidentes.

▪ Mejorar la detección temprana de incidentes y vulnerabilidades. Implantación de agentes de punto final (EDR).

▪ Mejorar las capacidades de investigación y remediación de incidentes mediante requisitos acerca de los registros de actividad (logs).

Lectura a la luz de:

▪ ENCS 2019 y gobernanza CNCS-CPCS-FNCS

▪ ENS y su proyecto de actualización

▪ Informe anual INES

▪ Instrucciones Técnicas de seguridad y Guías CCN-STIC

▪ Capacidades CCN-CERT y herramientas

▪ Proyecto Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP

▪ RD-l 12/2018, RD 43/2021 (NIS)

▪ Proyecto de Plataforma Nacional de Notificación y

Seguimiento de Ciberincidentes (RD 43/2021)

Orden ejecutiva para mejorar la seguridad nacional

ACM sobre medidas urgentes en materia de ciberseguridad

Plan de Choque de Ciberseguridad

A destacar:

▪ Protección frente al código malicioso (especialmente del tipo ransomware)

▪ Extensión de los servicios para la detección de ciberamenazas en equipos de usuario

▪ Implantación de la vigilancia de accesos remotos

▪ Refuerzo de las capacidades de búsqueda de amenazas

▪ Ampliación de las capacidades de ciberinteligencia

▪ Extensión de la aplicación del uso del doble factor en autenticación

▪ Despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes

▪ Continuidad de negocio y la recuperación ante desastres, la concienciación y la formación por parte de

proveedores del Sector Público

▪ Revisión de la normativa de ciberseguridad

Actualización del ENS mediante tramitación y aprobación urgente

Promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector

privado (proveedores del Sector Público estatal)

1º

2º3º

Índice

¿Qué está pasando?

Actualización del ENS. Objetivos

Actualización del ENS. Medidas

Retos y conclusiones

Photo by ThisisEngineering RAEng on Unsplash

12

34

La seguridad, el largo camino…Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo

Photo by Perry Grone on UnsplashFuente: Miguel A. Amutio

Pilares de la ciberseguridad

Administración Digital

Órganos de Gobernanza y

cooperación en la AGE de las AA.PP.

RD-L 12/2018 Marco estratégico e

institucional – RD 43/2021

CoCENS

Servicios CCN-CERT

Guías CCN-STIC (Serie 800)

Fuente: Miguel A. Amutio

Desarrollo

Conformidad Monitorización -INES

Soporte

Actualizado en 2015 Ámbito de aplicación

✓Extendido a

todo el Sector

Público

(leyes 39/2015 y

40/2015)

4 ITS publicadas

✓Experiencia de

aplicación

✓Marco europeo

(eIDAS)

✓Escenario de

ciberseguridad

✓ Informe

✓ Conformidad

✓ Auditoría

✓ Notificación de

incidentes

✓Acreditación con ENAC

✓ Certificadores

acreditados por ENAC

✓ Entidades certificadas

(públicas/privadas)

✓ Consejo de

Certificación del ENS

(CoCENS)

✓ > 80 guías CCN-

STIC de la serie

800.

✓ 21 soluciones de

ciberseguridad

Referente de medidas

de seguridad para

otros ámbitos

✓ 7 ediciones del informe

INES

✓ 1194 organismos, 934

incluidos en el informe,

un 3,78% más que en

2019

✓ La campaña permanece

abierta todo el año

✓ Ley Orgánica 3/2018

✓ Real Decreto 43/2021

Elementos para la actualización

Progreso de la

transformación

digital

Intensificación de las

ciberamenazas y

ciberincidentes

Avance de

las

tecnologías

Evolución

del

marco legal

Evolución del marco

estratégico

en ciberseguridad

Extensión de la

implantación

del ENS

Acumulación de

experiencia de

aplicación

del ENS

Mejor conocimiento

de la situación

(Informe INES)

Extensión de

guías CCN-STIC y

servicios

CCN-CERT

+ Todas vuestras aportaciones que nos habéis trasladado por canales

formales e informales

Objetivos: 1. Mejorar y alinear el ENS

Actualizar referencias al marco legal: • Referencias a leyes 39/2015 y 40/2015, RGPD, LO 3/2018, Directiva NIS, RD-l 12/2018, RD 43/2021, RD-l

14/2019, Reglamento de Ciberseguridad,…

Precisar adecuadamente el ámbito de aplicación (art. 2):• Entidades del sector público (Ley 40/2015, arts. 2, 156).

• Entidades del sector privado que les presten servicios o provean soluciones.

• Sistemas de información que permitan los tratamientos de datos personales (LO 3/2018, art. 77.1, D. a. 1ª).

• Sistemas que manejan o tratan información clasificada.

Precisar adecuadamente ‘Prevención, detección y respuesta a incidentes de seguridad’ (art. 33):• Condiciones de notificación de incidentes de seguridad al CCN-CERT por entidades del sector público.

• Actuaciones de respuesta por parte del CCN-CERT y de la SGAD (reconexión a servicios comunes).

• Condiciones de notificación de incidentes de seguridad al INCIBE-CERT por entidades del sector privado que

presten servicios a aquellas.

Introducir mejoras: • Clarificar, precisar, eliminar aspectos no necesarios o excesivos, homogeneizar, simplificar, o actualizar diversos

aspectos del texto, como los procedimientos de determinación de la conformidad con el ENS (art. 38) o el

desarrollo del ENS (D.a. 2ª). (Sometido a cambios)

Objetivos: 2. Capacidad de ajustar requisitos

Introducir la figura del perfil de cumplimiento especifico (art. 30):

Conjunto de medidas de seguridad que resulten de aplicación a necesidades especificas,

determinados sectores, colectivos de entidades (ej. EE.LL), o determinados ámbitos tecnológicos y que

permitan alcanzar una aplicación del ENS más eficaz y eficiente, sin menoscabo de la protección

perseguida y exigible.

▪ Ejemplos: EE.LL., servicios en la nube

▪ Opciones:

Añadir o eliminar medidas

Incluir medidas compensatorias

Incrementar o decrementar el nivel de ciertas medidas

Redefinir ciertas medidas para mejor adaptación a los sistemas y equilibrio de seguridad y operatividad.

+ Esquemas de acreditación de entidades para la implementación de configuraciones seguras

(Sometido a cambios)

Objetivos: 3. Revisar principios, requisitos y medidas

Fuentes: Experiencia, caudal de preguntas, canales formales e informales, INES, auditorías…

Principios:

▪ De ‘prevención, reacción y recuperación’ a ‘prevención, detección, respuesta y conservación’.

▪ Se introduce el principio básico de ‘vigilancia continua’

▪ Se clarifica la redacción del principio ‘diferenciación de responsabilidades’

Requisitos:

✓ El requisito mínimo de ‘seguridad por defecto’ pasa a denominarse ‘mínimo privilegio’

Medidas del Anexo II, mejora de redacción y actualización:

▪ Marco Operacional y Medidas de Protección.

▪ Nueva familia: Servicios en la nube (1 medida).

Nuevo sistema de codificación:

▪ De los requisitos de las medidas.

▪ De refuerzos, no siempre exigidos, que se suman a los requisitos base para fortalecer la

seguridad y que podrán formar parte de los perfiles de cumplimiento.(Sometido a cambios)

Medidas de seguridad. Panorámica de evolución

(Sometido a cambios)

RD 2015

Marco organizativo

4 Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización

Marco operacional

31

Medidas de protección

40

Planificación (5)Control de acceso (7)Explotación (11)Servicios externos (3)Continuidad del servicio (3)Monitorización del sistema (2)

Instalaciones e infraestructuras (8)Gestión del personal (5)Protección de los equipos (4)Protección de las comunicaciones (5)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (7)Protección de los servicios (4)

NUEVO RD

Marco organizativo

4 Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización

Marco operacional

33

Medidas de protección

36

Planificación (5)Control de acceso (6)Explotación (10)Recursos externos (4)Servicio en la nube (1)Continuidad del servicio (4)Monitorización del sistema (3)

Instalaciones e infraestructuras (7)Gestión del personal (4)Protección de los equipos (4)Protección de las comunicaciones (4)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (6)Protección de los servicios (4)

Índice

¿Qué está pasando?

Actualización del ENS. Objetivos

Actualización del ENS. Medidas

Retos y conclusiones

Photo by ThisisEngineering RAEng on Unsplash

12

34

Fuente: CCN-CERT

Evaluar el estado de la seguridad

7ª edición – Informe INES 2020

Incremento del 11% en nº de fichas registradas.

Se registraron 1194 organismos, 934 incluidos en

el informe, aumentando en un 3,78% respecto al

año anterior.

Como conclusión general se determina que el

nivel de cumplimiento global del ENS se sitúa en:

▪ el 64,93% en sistemas de categoría ALTA

▪ el 68,24% en sistemas de categoría MEDIA,

▪ el 84% en sistemas de categoría BÁSICA.

Es necesario mantener el esfuerzo para

cumplir los requisitos especificados en el ENS.

Identificar medidas a reforzar a la luz de la

experiencia con el tratamiento de incidentes

Reforzar ante deficiencias detectadas en Informe INES y por CCN-CERT ante incidentes:

▪ Protección frente a código dañino [op.exp.6]

▪ Mecanismo con autenticación [op.acc.5] (no uso de doble factor)

▪ Detección de intrusión [op.mon.1]

▪ Copias de seguridad [mp.info.9]

▪ Perímetro seguro [mp.com.1]

▪ Segregación de redes [mp.com.4] (Redes NO segregadas)

▪ Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]

▪ Mantenimiento [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad)

▪ Concienciación [mp.per.3] y formación [mp.per.4]

▪ Protección de servicios y aplicaciones web [mp.s.2]

Asentar protocolos de actuación ante ciberincidentes.

Medidas de seguridad. Panorámica de evolución por categoría

(Sometido a cambios)

RD 2015

Categoría básica

45Marco organizativo (4)Marco operacional (16)Medidas de protección (25)

Categoría media

63

Categoría alta

75

Marco organizativo (4)Marco operacional (26)

Medidas de protección (33)

Marco organizativo (4)Marco operacional (31)Medidas de protección (40)

NUEVO RD

Marco organizativo (4)Marco operacional (22)Medidas de protección (27)

Categoría básica

53

Categoría media

68

Categoría alta

73

Marco organizativo (4)Marco operacional (29)

Medidas de protección (35)

Marco organizativo (4)Marco operacional (33)Medidas de protección (36)

Medidas de seguridad. Panorámica de evolución

(Sometido a cambios)

Acceso remoto

Protección de los registros de actividad

Medios alternativos (4)

Instalaciones alternativas

Personal alternativo

Cifrado

SE HAN ELIMINADO (9)

Protección de la cadena de suministro

Interconexión de sistemas

Protección de servicios en la nube

Medios alternativos

Vigilancia

Otros dispositivos conectados a la red

Protección de la navegación web

NUEVAS MEDIDAS (7)

Mecanismo de autenticación (usuarios externos)

Protección de dispositivos portátiles

Perímetro seguro

Aceptación y puesta en servicio

Calificación de la información

Sellos de tiempo

Protección frente a denegación de servicio

SE HAN SIMPLIFICADO (8)

Segregación de funciones y tareas

Dimensionamiento/gestión de la capacidad

AUMENTAN CONSIDERABLEMENTE SU EXIGENCIA (9)

Identificación

Configuración de seguridad

Gestión de la configuración de seguridad

Mantenimiento y actualizaciones de seguridad

Protección frente a código dañino

Registro de la actividad

Detección de intrusión

Sistema de métricas

Componentes certificados

Requisitos de acceso

Protección de gestión de derechos de acceso

Gestión de cambios

Gestión de incidentes

Registro de la gestión de incidentes

Deberes y obligaciones

Protección de la confidencialidad

Protección de la integridad y la autenticidad

Separación de flujos de información en la red

Criptografía

Borrado y destrucción

Datos personales

Copias de seguridad

AUMENTAN LIGERAMENTE SU NIVEL DE EXIGENCIA (14)

RESUMEN DE LAS MODIFICACIONES A LAS MEDIDAS DE SEGURIDAD

Modificaciones de detalle del ANEXO IIMarco operacional (I/IV)

Planificación

Control de

Accesos

▪ PLANIFICACIÓN

▪ Se han reforzado significativamente la exigencia en la arquitectura de

seguridad y en el dimensionamiento/gestión de la capacidad.

▪ CONTROL DE ACCESO: piedra angular de la seguridad por el alto riesgo que

supone un acceso no autorizado

▪ Se incrementan significativamente los requisitos de identificación.

▪ Se refuerzan levemente los requisitos de acceso y la protección de

gestión de derechos de acceso

▪ Se aligeran las exigencias en materia de segregación de tareas

33

Modificaciones de detalle del ANEXO IIMarco operacional (II/IV)

Explotación

de los sistemas

▪ EXPLOTACIÓN

▪ Reforzadas significativamente en la configuración de seguridad y su

gestión, mantenimiento y actualizaciones de seguridad, la protección

frente a código dañino y el registro de la actividad de los usuarios

▪ Aumenta moderadamente su exigencia en gestión de cambios e

incidentes (se exige desde categoría BÁSICA)

▪ Se elimina el control relativo a la protección de los registros de

actividad, ya contemplado en otras medidas.

33

Marco operacional (III/IV)

33▪ RECURSOS EXTERNOS

▪ Se incorporan nuevas medidas destinadas a los recursos externos

provistos, cada vez más frecuentes en la administración digital: protección de

la cadena de suministro, interconexión de sistemas,

▪ CONTINUIDAD DEL SERVICIO

▪ Se incorpora medios alternativos (que engloba todas las referentes a

personal, equipos, instalaciones… alternativas que se han eliminado de las

medidas de protección),

Explotación de

los servicios

Modificaciones de detalle del ANEXO II

Marco operacional (IV/IV)

33▪ SERVICIO EN LA NUBE

▪ Se introduce una nueva medida para la protección de servicios en la nube

▪ MONITORIZACIÓN DEL SISTEMA

▪ Se ha reforzado significativamente la exigencia de las medidas de detección

de intrusión y sistema de métricas

▪ Se ha incorporado una nueva medida de vigilancia, alentada por las más

recientes prácticas internacionales, dirigida a asegurar el mantenimiento de la

monitorización constante de la seguridad del sistema

Monitorización

del sistema

Explotación de

los servicios

Modificaciones de detalle del ANEXO II

Medidas de protección (I/IV)

33▪ PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS

▪ Se han realizado cambios editoriales y eliminado las instalaciones alternativas

▪ GESTIÓN DEL PERSONAL

▪ Se ha incrementado levemente la exigencia en deberes y obligaciones y

eliminado personal alternativo

▪ PROTECCIÓN DE LOS EQUIPOS

▪ Se incorpora nueva medida en relación con los dispositivos conectados a la red

▪ Se elimina la medida referida a medios alternativos

Protección

Instalaciones e

Infraestructuras

Protección de

equipos

Gestión del

personal

Modificaciones de detalle del ANEXO II

Medidas de protección (I/IV)

33▪ PROTECCIÓN DE LAS COMUNICACIONES

▪ Experimentan un leve incremento de exigencia la protección de la

confidencialidad, y la separación de flujos de información en la red.

▪ Se obliga a cifrar las redes privadas virtuales, cuando la comunicación discurra

fuera del propio dominio de seguridad.

▪ Se aligera el perímetro seguro

▪ Se eliminan los medios alternativos

Protección de

comunicaciones

Modificaciones de detalle del ANEXO II

Medidas de protección (III/IV)

33▪ PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN

▪ Se refuerzan levemente el borrado y destrucción

▪ PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS

▪ Se incrementa significativamente la exigencia en aceptación y puesta en

servicio, a la vista de los nuevos vectores de ataque propiciados por importantes

vulnerabilidades en el software

Protección de

los soportes de

información

Protección de

las aplicaciones

informáticas

Modificaciones de detalle del ANEXO II

Medidas de protección (IV/IV)

33▪ PROTECCIÓN DE LA INFORMACIÓN

▪ Se aligera calificación de la información

▪ Se incrementa exigencia en datos de carácter personal y copias de seguridad

▪ PROTECCIÓN DE LOS SERVICIOS

▪ Se añade una nueva medida para la protección de la navegación web

▪ Se aumenta la exigencia de protección frente a denegación de servicio

▪ Se eliminan medios alternativos.

Protección de

la información

Protección de

los servicios

Modificaciones de detalle del ANEXO II

Medidas eliminadas Nuevas medidas

✓ [op.acc.7] acceso remoto se ha incluido en [op.acc.4]

protección de gestión de derechos de acceso.

✓ [op.exp.10] se ha recogido en [op.exp.8] protección de los

registros de actividad.

✓ Las medidas que hacían referencia a medios, instalaciones y

personal alternativo ([op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9]

[mp.com.9], [mp.s.9]), se han aglutinado en la nueva medida

[op.cont.4] medios alternativos.

✓ [mp.info.3] antigua medida de cifrado, se recoge ahora en otras

medidas en las que se hace referencia expresa al cifrado de

dispositivos portátiles, protección de la confidencialidad,

criptografía y transporte ([mp.eq.3], [mp.com.2], [mp.si.2] y

[mp.si.4] respectivamente).

✓ [op.ext.3] Protección de la cadena de suministro para categoría ALTA.

✓ [op.ext.4] Interconexión de sistemas desde categoría MEDIA.

✓ [op.nub] medida para sistemas que suministran servicios en la nube

a los organismos del sector público para todos los niveles y categorías.

✓ [op.cont.4] Medios alternativos. Para nivel ALTO. Aúna todas las

referencias que se hacían a medios, instalaciones y personal alternativo.

✓ [op.mon.3] Vigilancia. Aplica a todas las categorías.

✓ [mp.eq.4] Otros dispositivos conectados a la red. Aplica a todas las

categorías.

✓ [mp.s.3] Protección de la navegación web. Aplica a todas las

categorías y se refuerza incluyendo la monitorización para categoría

ALTA.

9

14

89

7

35

0

5

10

15

20

25

30

35

40

Se incrementa considerablemente laexigencia

Se incrementa levemente la exigencia

Se ha simplificado

Se ha eliminado

Nueva medida

Se mantiene como estaba

Resumen de modificaciones del ANEXO II

Medidas de protección. Nuevo sistema de codificación

▪ Más moderno

▪ Más adecuado, para facilitar de manera proporcionada la

seguridad de los sistemas de información, su implantación

y su auditoría

▪ Medidas del Anexo II

o Se han codificado los requisitos de las medidas

o Se han organizado de la siguiente forma:

❖ Requisitos base

❖ Posibles refuerzos de seguridad (R), alineados con

el nivel de seguridad perseguido, que se suman (+)

a los requisitos base de la medida, pero que no

siempre son incrementales entre sí; de forma que,

en ciertos casos, se puede elegir entre aplicar un

refuerzo u otro.

(Sometido a cambios)

Instalaciones e Infraestructuras (7)Gestión del personal (4)Protección de los equipos (4)Protección de las comunicaciones (4)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (6)Protección de los servicios (4)

Planificación (5)Control de acceso (6)

Explotación (10)Servicios externos (4)

Servicios en la nube (4)Continuidad del servicio (4)

Monitorización del sistema (3)

Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización

Índice

¿Qué está pasando?

Actualización del ENS. Objetivos

Actualización del ENS. Medidas

Retos y conclusiones

Photo by ThisisEngineering RAEng on Unsplash

12

34

Implantar el Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP.

Reforzar las herramientas del CCN-CERT, de interés

para el COCS

Photo by Hack Capital on Unsplash

Qué esperamos por vuestra parte

1. Que seáis partícipes y agentes de la ciberseguridad,

para contribuir a la defensa frente a las ciberamenazas.

2. Si trabajáis para el Sector Público (directa o indirectamente

como proveedor), vuestra colaboración para la plena

aplicación del ENS.

3. Si trabajáis para la AGE, vuestra colaboración en la

implantación del Centro de Operaciones de

Ciberseguridad de la AGE y sus OO.PP.

¿ ?

Más información Correo-e: ens@ccn-cert.cni.es

Muchas gracias