El documento describe las medidas del Estado español para garantizar la seguridad en la Administración Pública a través de la transformación digital. Se destaca la importancia de la ciberseguridad en el contexto de la mayor dependencia de la tecnología y el aumento de ciberamenazas. También se resumen los instrumentos clave de la estrategia española de digitalización como España Digital 2025 y el Plan de Recuperación, Transformación y Resiliencia.
Denunciar
Compartir
Denunciar
Compartir
1 de 21
Descargar para leer sin conexión
Más contenido relacionado
Medidas del Estado para garantizar la seguridad en la Administración Pública
1. Medidas del Estado para
garantizar la seguridad en la
Administración Pública
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Ministerio de Asuntos Económicos y Transformación Digital
2. Contexto: situación de España
En estos dos últimos años se ha acelerado el
proceso de digitalización en
España, poniendo de relieve sus
fortalezas y también sus carencias.
España se encuentra en una buena
posición para encarar este proceso de
transformación digital, con
varias fortalezas evidentes.
La ciberseguridad, la economía
del dato, la inteligencia artificial y otras
tecnologías digitales habilitadoras son
vectores estratégicos para impulsar la
segunda oleada de digitalización en
España.
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
3. 2
La estrategia de digitalización de las AAPP se articula en torno a los siguientes instrumentos:
23 de julio de 2020 7 de octubre de 2020 27 de enero de 2021
• Implementa las medidas de
España Digital 2025
• Se integra en Componente
11 de España Puede
• Guía las medidas para
la transformación
digital
• Instrumento para
reformas e inversiones
• Compromiso con la
Unión Europea
• Agenda de inversiones
y reformas
estructurales
• Componente 11
13 de marzo de 2021 8 de julio de 2022
• Actualiza la estrategia
lanzada en julio de 2020
como hoja de ruta de
transformación digital
del país
Impulso: transformación digital de España
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
4. Contexto: Transformación digital – con ciberseguridad
+ Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Mayor dependencia de la tecnología:
✓complejidad
✓interdependencia
✓ se incrementa la superficie de
exposición a ciberamenazas.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con robustez en
ciberseguridad.
Mayor dependencia de la tecnología:
✓complejidad
✓interdependencia
✓ se incrementa la superficie de
exposición a ciberamenazas.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con robustez en
ciberseguridad.
Personas
- Implicación de los actores
(no solo TIC)
- Cambio cultural
- Competencias digitales
- Reclutamiento
Tecnología
- Tecnologías habilitadoras
digitales (IA, Cloud, IoT,
gestión de datos, registro
distribuido, lenguaje,…)
- Oportunidades y Riesgos
Procesos
- Adecuación a la realidad
digital y posibilidades
- Implementación principio
de un sola vez
Datos
- Datos para nuevos y
mejores servicios,
decisiones, políticas
públicas, transparencia
y reutilización
- Estrategia de gestión
del dato, CDO,…
Ciberseguridad
Protección de datos
- Proteger datos, información
y servicios
- General confianza en los
servicios públicos digitales
Interoperabilidad
- Facilitar el flujo de datos y
servicios
- Facilitar la realización de
derechos y principios (ej.
OOP,…)
Photo by Philipp Katzenberger on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de
derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
5. El Sector Público y su cadena de suministro
en el punto de mira de los ciberataques
Orientados a la información
▪ Con sustracción (con o sin revelación)
▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
▪ Con quiebra en disponibilidad de servicios y en acceso a la información
Combinados, a la información y a los servicios
Impacto
▪ Ejercicio de derechos y libertades; cumplimiento de deberes
▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía
▪ Esfuerzo de recuperación ante incidentes
▪ Reputacional
Orientados a la información
▪ Con sustracción (con o sin revelación)
▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
▪ Con quiebra en disponibilidad de servicios y en acceso a la información
Combinados, a la información y a los servicios
Impacto
▪ Ejercicio de derechos y libertades; cumplimiento de deberes
▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía
▪ Esfuerzo de recuperación ante incidentes
▪ Reputacional Photo by Philipp Katzenberger on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
6. Ciberseguridad, trayectoria en el tiempo
✓ La seguridad, el largo camino…
✓ Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
2010 2015 2017
ESN 2017
EIF v2
Declaración Ministerial de Tallin
Ley 39/2015, Ley 40/2015
Estrategia TIC AGE
Declaración servicios compartidos
RD 951/2015 modificación
2014
2010
ENI
ENS
EIFv1
Ley 8/2011 PIC
RD 721/2011 PIC
Ley 18/2011 EJIS
NTIs:
Doc-e, Exp-e
Digitalización,
Copiado, Sicres
Red de com.
RD 1495/2011 RISP
2013
Estrategia de
Ciberseguridad
Nacional
Informe Cora
Ley 19/20913
Agenda Digital
NTI RISP
ENS-ITS
•Conformidad con ENS
•Informe ENS
RGPD
Directiva NIS
eGov Action Plan
Reglamento eIDAS
RD 806/2014
RD 802/2014 DTIC
Cl@ve
Marco Int. eIDAS
2017
2018
2018
ENS-ITS
•Auditoría
•Notificación de incidentes
RDL 12/2018 NIS
LO 3/2018 LOPDGDD
RD Accesibilidad.
2019
Guía nacional de
notificación y Gestión
ciberincidentes
Estrategia Nacional de
Ciberseguridad 2019
Cybersecurity Act
ACM Centro de
Operaciones de
Ciberseguridad de la AGE
2022
2011
2016
2015
2021
EU Digital Strategy
EU Strategy for Data
EU on AI White Paper
EU Cybersecurity Package
España Digital 2025
Foro Nacional de Ciberseguridad
Declaración Ministerial del Berlín
NTIs:
PGDE, Firma-e
Intermediacíón
Modelo de
Datos, estándares
Magerit v3
2012
RD 43/2021 desarrollo RD-l 12/2018 (NIS)
Plan de Digitalización de las AAPP 2021 – 20215
Plan de Recuperación, Transformación y Resiliencia
RD 203/2021 Reglamento leyes 39 y 40
Reglamento Centro Europeo de Competencias en
Ciberseguridad
Proyecto RD actualización ENS (Audiencia e
información Pública)
NTI SICRES 4
Carta de derechos digitales
ACM Plan de choque de ciberseguridad
2020 2021
2020
2019
2022
RDL 7/2022 Seguridad 5G
Plan Nacional de Ciberseguridad
RD 311/2022
2012
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Fuente: Miguel A. Amutio
7. Contexto: situación de España, ciberseguridad
Global Cybersecurity Index 2020 (UIT)
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
8. Ciberseguridad, contexto europeo
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Fuente: Miguel A. Amutio
(No exhaustivo)
Gobernanza
Cooperación
Comunidad
Marco legal
Capacidades
• Reglamento 910/2014 eIDAS
• Reglamento 2016/679 Protección de datos
• Reglamento 2019/881 Ciberseguridad
• Reglamento 2021/887 Centro Europeo de
Competencias en Ciberseguridad
• Directiva 2016/1148 NIS
• Conclusiones del Consejo sobre la seguridad de
la cadena de suministro
…
• Propuestas de Esquemas de Certificación
• Propuesta Directiva NIS2
• Propuesta de Reglamento de ciber resiliencia
• Propuesta Reglamento ciberseguridad
instituciones de la UE
• Propuesta Reglamento ciberseguridad
instituciones de la UE
• Cooperación internacional en normas y
especificaciones de ciberseguridad
• Cooperación con terceros países
• Cooperación sobre ciberdelito / ciberdefensa
• Grupo de Cooperación NIS
• Centro Europeo de Competencias en
Ciberseguridad- ECCC
• Red de Centros Nacionales de Coordinación
• Comunidad de Ciberseguridad
• ENISA
• CERT-UE (para Instituciones y agencias de la UE)
• Redes 5G Toolbox
• Seguridad en internet (DNS4EU)
• …
• Joint Cyber Unit – Cooperación de comunidades de
ciberseguridad
• Red de CSIRT (Directiva NIS)
• Red CyCLONe – para gestión de crisis
• …
Photo by Sara Kurfeß on Unsplash
+ Recursos de
financiación
+ Recursos de
financiación
• Digital Europe Programme - Ciberseguridad
• Horizon Europe
9. 8
Impulso: transformación digital de España
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
ACM sobre medidas urgentes
en materia de ciberseguridad
(25.05.2021)
LA 2 – Medida 3
Medida 5
Medida 9
Reformas normativas – 9.3
Especial impulso tractor en ciberseguridad:
10. Ciberseguridad del Sector Público*: enfoque global
Fuente: Miguel A. Amutio
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Liderazgo:
Marco Legal
Gobernanza
Cooperación
Comunidad
Capacidades
Servicios
Soluciones
Interacción
Evolución
Administración
Digital
▪ Ciberseguridad Nacional:
▪ CNCS
▪ FNCS
▪ Administración Digital
▪ AGE
▪ Comisión Sectorial
Administración
Electrónica
▪ ENS - CoCENS
+ Recursos de
financiación
* Y proveedores de soluciones y prestadores de servicios
11. Recursos de financiación: Fondos Next Generation EU
FUENTE: Presentación Balance PRTR
FECHA: 30 de agosto de 2022
La SGAD participa realizando la valoración técnica de los proyectos propuestos por las EELL, con la evaluación de la adecuación
a las condiciones técnicas establecidas en la convocatoria.
Primera convocatoria de transformación digital de EELL
1.000 Mill. € inversión C11.I3
92,77 Mill. € ya repartidosen 2021
149 EELL de más de 50.000 habitantes
Infraestructuras
Digitales
Mayor importe
Ciberseguridad
Línea con mayor númerode proyectos
Más de 20 Mill.€ para la
creaciónde Centrosde Operacionesde
Ciberseguridad(COCS)
16
90 proyectos
60 proyectos con
actuacionescomunes
89,4Mill€
332 PROYECTOS
Presentados por 145 EELL
96,22% del
presupuesto total
391,4 Mill. € transformación digital EELL
43Mill€
Administración
orientadaal
ciudadano
10Mill€
Operaciones
inteligentes
13Mill€
Gobierno
del Dato
2Mill€
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Próximas acciones en ciberseguridad. Coordinación de la
SGAD en colaboración con las Diputaciones provinciales,
modelo de gobernanza a diseñar con la Secretaría de
Estado de Política Territorial
Promoción de capacidades de ciberseguridad
Mejora de la adecuación al Esquema Nacional de Seguridad (ENS)
12. Marco legal: actualizado, por qué
Fuente: Infografías ENS
Photo by Annie Spratt on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
13. 1. Mejorar y alinear el ENS con el nuevo marco
legal y estratégico para facilitar la seguridad de
la administración digital.
2. Introducir la capacidad de ajustar los
requisitos del ENS para una aplicación más
eficaz y eficiente a través de los perfiles de
cumplimiento específicos.
3. Revisar de forma pormenorizada principios,
requisitos y medidas para mejor respuesta a
tendencias y necesidades en ciberseguridad.
Photo by Annie Spratt on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Marco legal: actualizado, objetivos
Photo by Annie Spratt on Unsplash
14. • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4)
• Principios básicos, que sirven de guía. (arts. 5 – 11)
• Política de seguridad y requisitos mínimos, obligado cumplimiento. (arts. 12 – 28)
• Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas.
(arts. 28, 40, 41, A-I y A-II)
• Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II)
• Uso de infraestructuras y servicios comunes (art. 29)
• Los perfiles de cumplimiento específicos (art. 30)
• La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III)
• Informe del estado de la seguridad (art. 32)
• Respuesta a incidentes de seguridad (arts. 33 y 34)
• La conformidad con el ENS (arts. 35 a 38)
• La actualización permanente (art. 39)
• La formación (d.a. 1ª)
• Las instrucciones técnicas de seguridad (D.a. 2ª)
• Las guías de seguridad (D.a. 2ª)
• Respeto del principio de «no causar un perjuicio significativo» al medioambiente (d.a. 3ª)
• Adecuación de sistemas (d.t.u) -> 24 meses
• Derogación normativa (Disposición derogatoria única): RD 3/2010
• Anexo I. Categorías de seguridad de los sistemas
• Anexo II. Medidas de seguridad
• Anexo III. Auditoría de la seguridad
• Anexo IV. Glosario Fuente: Infografías ENS
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Marco legal: actualizado, panorámica
15. 1. Ámbito de aplicación más claro extendido a los
proveedores de soluciones y prestadores de servicios (cadena
de suministro).
2. Respuesta a incidentes de seguridad estructurada que
recoge los actores implicados y su papel (CCN-CERT para sector
público, SGAD, IGAE, INCIBE-CERT para sector privado, MIR-OCC,
MDEF-ESDEF-CERT).
3. Revisión exhaustiva de principios y requisitos
• Nuevo principio: vigilancia continua.
• Mejoras:
• Principio: prevención, detección, respuesta y conservación
• Principio: Diferenciación de responsabilidades
• Requisito: Mínimo privilegio
• Requisito: Registro de la actividad y detección de código dañino
Photo by Paul Rysz on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Marco legal: actualizado, novedades (I/II)
Photo by You X Ventures on Unsplash
16. 4. Revisión exhaustiva de medidas
• Nuevas medidas: protección de servicios en la nube, protección de la
cadena de suministro, otros dispositivos interconectados (IoT), vigilancia,
interconexión de sistemas, medios alternativos
• Codificación de requisitos y refuerzos de las medidas.
5. Perfiles de cumplimiento específico
• Ajustar los requisitos del ENS a necesidades específicas de
determinados colectivos (EELL, Universidades, …) o ámbitos tecnológicos:
(servicios en la nube, …)
6. Productos y servicios de seguridad
• Se referencia el Catálogo CPSTIC de productos y servicios de seguridad
TIC.
7. Conformidad con el ENS
• Para todos los sistemas en el alcance, mismos documentos y
procedimientos.
Photo by Paul Rysz on Unsplash
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Marco legal: actualizado, novedades (II/II)
Photo by You X Ventures on Unsplash
17. / Medidas del Estado para garantizar la seguridad en la Administración Pública
Cooperación, gobernanza y comunidad
Administración General
del Estado
Gobernanza y Cooperación TIC
Grupos (…de ENI y ENS, COCS)
Comisión Sectorial de
Administración Electrónica
Ley 40/2015, d.a. 9ª
AGE, CCAA, FEMP, CRUE
Grupos de trabajo
(…GT de Seguridad)
CIO
(SGAD)
CIO
(SGAD)
Consejo de Certificación del ENS (CoCENS)
Constituido: 2018
Preside: CCN
Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas y Órganos de Auditoría Técnica
Misión: Velar por la adecuada implantación de la Certificación del ENS
+ Comunidad
18. / Medidas del Estado para garantizar la seguridad en la Administración Pública
Cooperación, gobernanza y comunidad
1. Foro Nacional de Ciberseguridad, previsto en la ENCS2019, constituido en 2020.
2. Participación en el Consejo de Administración del Centro Europeo de Competencias en
Ciberseguridad -> apoyar las capacidades, las competencias y los medios tecnológicos de la UE.
3. INCIBE como Centro Nacional de Coordinación en España.
Punto de contacto a escala nacional para
la comunidad de ciberseguridad.
Promover, fomentar y facilitar la
participación de la sociedad civil, la
industria, la comunidad académica y de
investigación y otras partes interesadas en
proyectos de ciberseguridad
transfronterizos financiados por la UE.
Establecer sinergias.
…
19. / Medidas del Estado para garantizar la seguridad en la Administración Pública
Capacidades, servicios y soluciones
20. Conclusiones
La ciberseguridad de la Administración se refuerza mediante una perspectiva global:
✓ Marco legal
✓ Cooperación, gobernanza y comunidad
✓ Capacidades, servicios y soluciones
✓ Recursos de financiación de capacidades de ciberseguridad
✓ Actuación en el contexto europeo
Esfuerzo colectivo.
Esperamos que seáis partícipes y agentes de la ciberseguridad, para llevarla a la realidad
práctica.
Si trabajáis para el sector público, directamente o como prestadores de servicios o proveedores de
soluciones (cadena de suministro), vuestra colaboración para la plena aplicación del ENS.
/ Medidas del Estado para garantizar la seguridad en la Administración Pública
Photo by Annie Spratt on Unsplash
21. Contacto
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Asuntos Económicos y Transformación Digital
Muchas gracias