SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS

1

Miguel A. Amutio Jefe de Área Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica Ministerio de Hacienda y Administraciones Públicas

9:45 a 10:15h “SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE

AUDITORIAS”

SESIONES PLENARIAS - AUDITORIO PRINCIPAL: SEGURIDAD

Madrid, 20 de febrero de 2014

2

MINISTERIO

DE HACIENDA

Y ADMINISTRACIONES PÚBLICAS

1. Adecuación al ENS, ¿dónde estamos?

2. Evolución del ENS, ¿hacia dónde vamos?

3. ¿Cuáles son los próximos pasos?

3

MINISTERIO

DE HACIENDA


1. Adecuación al ENS,

¿dónde estamos?

4

MINISTERIO

DE HACIENDA


Una reflexión sobre

el antes del ENS y el ahora

1 RD, 24 Guías CCN-STIC, herramientas,

servicios…

Pero sobre todo:

Esfuerzo colectivo de todas las AA.PP.

+ Industria sector seguridad TIC

Convencimiento: gestión continuada de la seguridad con lenguaje y elementos comunes.

5

MINISTERIO

DE HACIENDA


Es un instrumento legal – Real Decreto 3/2010-

que desarrolla lo previsto sobre seguridad en la Ley 11/2007.

Establece la política de seguridad en los servicios de administración-e. Está constituida por principios básicos y requisitos mínimos que

permitan una protección adecuada de la información.

Es de aplicación a todas las AA.PP.

Establece un mecanismo de adecuación

escalonado (fecha límite 30.01.2014).

Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.

El Esquema Nacional de Seguridad La Ley 11/2007 reconoce principios y derechos relativos a la seguridad:

El principio de derecho a la protección de los datos de carácter personal.

El principio de seguridad en la implantación y utilización de los medios electrónicos.

El principio de proporcionalidad → medidas adecuadas a la naturaleza y circunstancias de los trámites. Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y

aplicaciones de las AA.PP.

Agenda Digital para Europa

6

MINISTERIO

DE HACIENDA


7

MINISTERIO

DE HACIENDA


Adecuación al ENS, ¿dónde estamos?

El esfuerzo de adecuación al ENS se ha venido realizando

en condiciones que suponen un esfuerzo notable por la limitación de recursos económicos y humanos en las que se ha de desenvolver la actividad de las entidades.

8

MINISTERIO

DE HACIENDA


¿Dónde estamos? Seguimiento

Seguimiento en las AA.PP.:

Acuerdos de la Comisión Permanente del Consejo Superior de Administración Electrónica y del Comité de Seguridad de la Información de las AA.PP.

Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y marzo de 2014.

Participación de carácter voluntario.

Herramienta disponible en el Portal de CCN-CERT.

Venció el plazo de 48 meses para la adecuación al ENS.

9

MINISTERIO

DE HACIENDA


¿Dónde estamos? Seguimiento

Parece que el grado de avance debería ser mayor.

Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.

Situación comparativa para una muestra de medidas de seguridad consideradas

particularmente significativas:

10

MINISTERIO

DE HACIENDA


¿Qué podemos hacer? (recomendaciones)

En cualquier caso es esencial que haya: un Plan de adecuación; un

responsable de seguridad nombrado; una categorización de los sistemas;

que se realice el análisis de riesgos.

Recomendaciones:

• Abordar aspectos que tienen una componente mayor de gobernanza y documentación:

Proceso de autorización y Arquitectura de seguridad.

• Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de

aplicaciones web.

• Impulsar la Configuración de seguridad.

• Implantar una mejor Gestión de la configuración.

• Impulsar las medidas: Mantenimiento y Gestión de cambios.

• Implantar ampliamente los Registros de uso del sistema y Registro de la actividad de los

usuarios.

• Impulsar las medidas de monitorización del sistema: Detección de intrusión y Sistema de

métricas.

• Impulsar las actividades de Concienciación y Formación.

11

MINISTERIO

DE HACIENDA


Auditoría periódica para verificar el cumplimiento del ENS. Categoría MEDIA o ALTA Categoría BÁSICA: autoevaluación.

Se utilizarán criterios, métodos de trabajo y de conducta generalmente reconocidos, así como la normalización nacional e internacional aplicables.

Según los siguientes términos: La política de seguridad define roles y funciones.

Existen procedimientos para resolución de conflictos.

Se aplica el principio de segregación de funciones.

Se ha realizado el análisis de riesgos, con revisión y aprobación anual.

Existe un sistema de gestión de seguridad de la información documentado.

Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las

medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es

Auditar la seguridad

12

MINISTERIO

DE HACIENDA


2. Evolución del ENS,

¿Hacia dónde vamos?

13

MINISTERIO

DE HACIENDA


Captación de feedback

ENS , art. 42: ‘Actualización permanente’

Experiencia obtenida de implantación del

ENS.

Comentarios recibidos por diversas

vías: formales e informales.

Evolución:

de la tecnología y las ciberamenazas

del contexto regulatorio europeo.

14

MINISTERIO

DE HACIENDA


Evolución del ENS

¿Cómo avanzar en la armonización del modo

común de actuar en ciertas cuestiones?

¿Cómo conocer periódicamente el estado de

la seguridad en las AA.PP. de forma fácil para todos?

¿Cómo reforzar la capacidad de respuesta

frente a los incidentes de seguridad?

¿Qué medidas de seguridad deben

mejorarse?

¿Cómo reforzar la capacitación de los

profesionales?

15

MINISTERIO

DE HACIENDA


Conviene armonizar el modo común de actuar en

relación con ciertas cuestiones.

Esta armonización se podría hacer mediante la figura de

las ‘Normas Técnicas de Seguridad’.

Se aplicarían los procedimientos consolidados en las

Normas Técnicas de Interoperabilidad.

Las guías CCN-STIC tienen naturaleza de

recomendaciones, por tanto, su efecto es limitado.

Artículo afectado: 29

¿Cómo avanzar en la armonización del modo

común de actuar en ciertas cuestiones?

16

MINISTERIO

DE HACIENDA


Conviene asentar un mecanismo periódico que

permita recoger información para conocer e

informar del estado de seguridad, en adecuadas condiciones de eficacia y eficiencia.

Son necesarios procedimientos para recogida y

consolidación de información, aspectos metodológicos y organismos responsables de su realización.


¿Cómo conocer periódicamente el estado de

la seguridad en las AA.PP. de forma fácil?

17

MINISTERIO

DE HACIENDA


Conviene consolidar información que los incidentes serios: notificación de ciertos incidentes.

Mediante una Norma Técnica de Seguridad se determinarían las características de los incidentes

sujetos a notificación y el procedimiento para

realizarla.

La figura de la notificación de los hechos que tengan un impacto significativo en la seguridad es una tendencia en

proyectos normativos de la UE.



frente a los incidentes de seguridad? (I/II)

18

MINISTERIO

DE HACIENDA


Para una mejor respuesta a incidentes de seguridad, conviene que puedan tenerse en cuenta también

evidencias necesarias para la investigación como: registros de auditoría, configuraciones, soportes y otra información relevante.

Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, y su normativa de desarrollo.



frente a los incidentes de seguridad? (II/II)

19

MINISTERIO

DE HACIENDA


3.4 Proceso de autorización [org.4]

4.1.2. Arquitectura de seguridad [op.pl.2]

4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas

4.2.5. Mecanismo de autenticación [op.acc.5]

4.3.8. Registro de la actividad de los usuarios [op.exp.8]

4.6.1. Detección de intrusión [op.mon.1]

4.6.2. Sistema de métricas [op.mon.2]

5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]

5.5.5. Borrado y destrucción [mp.si.5]

5.7.4. Firma electrónica [mp.info.4]

5.7.7. Copias de seguridad [mp.info.9]

¿Qué medidas de seguridad

deben mejorarse y cómo?

<No exhaustivo. Sometido a cambios>

20

MINISTERIO

DE HACIENDA


¿Cómo reforzar la capacitación de

profesionales?

Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y

auditada por personal cualificado…”

Hay escasez de profesionales con conocimientos avanzados para

hacer frente a las crecientes amenazas.

Es necesario asegurar unos conocimientos y habilidades de

los profesionales, con rigor y profesionalidad.

Mediante una Norma Técnica de Seguridad se regularía el Esquema

de Certificación de Personas, que establecerá el currículo exigible

en relación con los posibles perfiles profesionales y, en su caso, el

reconocimiento de certificaciones internacionales.


21

MINISTERIO

DE HACIENDA


3. ¿Cuáles son los

próximos pasos?

22

MINISTERIO

DE HACIENDA


Conocimiento del estado de situación

tras el vencimiento del plazo de los 48 meses. Siguiente seguimiento: marzo de 2014.

Puesta en marcha de los mecanismos que permiten conocer e informar regularmente

del estado de la seguridad de las AA.PP. (Informe del artículo 35)

Actualización del ENS, a la luz de la

experiencia, del feedback y de los emergentes en

materia de ciberseguridad.

Continuar el esfuerzo de desarrollo de

instrumentos de apoyo a la adecuación al ENS: guías y herramientas.

Extender el ENS a todos los sistemas de información de las AA.PP.

Los próximos partidos

23

MINISTERIO

DE HACIENDA


Muchas gracias

• Correos electrónicos – [email protected]

– [email protected]





• Páginas Web:

– administracionelectronica.gob.es

– www.ccn-cert.cni.es

– www.ccn.cni.es

– www.oc.ccn.cni.es

SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS

Technology

Transcript of SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDITORIAS