Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare una empresa de Scribd logo

CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

Miguel A. Amutio
Miguel A. Amutio

El documento resume los principales puntos del Esquema Nacional de Seguridad para principiantes. Explica que el Esquema Nacional de Seguridad establece la política de seguridad para garantizar la protección de la información tratada electrónicamente y crear confianza en el uso de medios digitales. También promueve la gestión continua de la seguridad, la prevención de ciberamenazas y la cooperación entre administraciones.

1 de 39
Esquema Nacional de Seguridad para principiantes 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
Digitalización acelerada con impacto global: ✓ Organizaciones, públicas y privadas, procesos y servicios ✓ Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de: ✓ Trabajo ✓ Educación / Formación ✓ Ocio ✓ Entretenimiento ✓ Consumo ✓ Interacción social Transformación digital: sí o sí
“…la tramitación electrónica … debe constituir la actuación habitual de las Administraciones.” “… una Administración sin papel basada en un funcionamiento íntegramente electrónico .” [Ley 39/2015, parte expositiva]
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
Transformación digital acelerada – con ciberseguridad + Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Mayor dependencia de la tecnología: ✓complejidad ✓interdependencia ✓ se incrementa la superficie de exposición a ciberamenazas. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad. Personas - Implicación de los actores (no solo TIC) - Cambio cultural - Competencias digitales - Reclutamiento Tecnología - Tecnologías habilitadoras digitales (IA, Cloud, IoT, gestión de datos, registro distribuido, lenguaje,…) - Oportunidades y Riesgos Procesos - Adecuación a la realidad digital y posibilidades - Implementación principio de un sola vez Datos - Datos para nuevos y mejores servicios, decisiones, políticas públicas, transparencia y reutilización - Estrategia de gestión del dato, CDO,… Ciberseguridad Protección de datos - Proteger datos, información y servicios - General confianza en los servicios públicos digitales Interoperabilidad - Facilitar el flujo de datos y servicios - Facilitar la realización de derechos y principios (ej. OOP,…) Photo by Philipp Katzenberger on Unsplash
El Sector Público y sus proveedores en el punto de mira de los ciberataques Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Photo by Philipp Katzenberger on Unsplash
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
✓ La seguridad, el largo camino… ✓ Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo 2010 2015 2017 ESN 2017 EIF v2 Declaración Ministerial de Tallin Ley 39/2015, Ley 40/2015 Estrategia TIC AGE Declaración servicios compartidos RD 951/2015 modificación 2014 2010 ENI ENS EIFv1 Ley 8/2011 PIC RD 721/2011 PIC Ley 18/2011 EJIS NTIs: Doc-e, Exp-e Digitalización, Copiado, Sicres Red de com. RD 1495/2011 RISP 2013 Estrategia de Ciberseguridad Nacional Informe Cora Ley 19/20913 Agenda Digital NTI RISP ENS-ITS •Conformidad con ENS •Informe ENS RGPD Directiva NIS eGov Action Plan Reglamento eIDAS RD 806/2014 RD 802/2014 DTIC Cl@ve Marco Int. eIDAS 2017 2018 2018 ENS-ITS •Auditoría •Notificación de incidentes RDL 12/2018 NIS LO 3/2018 LOPDGDD RD Accesibilidad. 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2022 2011 2016 2015 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín NTIs: PGDE, Firma-e Intermediacíón Modelo de Datos, estándares Magerit v3 2012 RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad RD 311/2022 2012 Fuente: Miguel A. Amutio Dónde estamos
Fuente: Miguel A. Amutio Liderazgo: * Y proveedores de soluciones y prestadores de servicios Enfoque global Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
Ley 39/2015 Procedimiento administrativo común Artículo 13. Derechos de las personas h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Ley 40/2015 Régimen jurídico del Sector Público Artículo 3. Principios generales 2. Las AA.PP. se relacionarán entre sí … a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones …, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados Derechos de las personas y principios generales
Qué es el Esquema Nacional de Seguridad El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
▪ Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a la ciudadanía y las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. ▪ Promover: ▪ la gestión continuada de la seguridad, al margen de impulsos puntuales o de su ausencia. ▪ la prevención, detección y respuesta ante ciberamenazas y ciberataques. ▪ un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de los servicios mediante un lenguaje y unos elementos comunes adecuados al quehacer de la Administración ▪ Facilitar el flujo de datos y servicios, en conjunción con el . Se concibió para…
Panorámica (RD 311/2022) • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (d.a. 3ª) • Adecuación de sistemas (d.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario Fuente: Infografías ENS
Desarrollo Conformidad Monitorización Informe INES - Soporte Base legal Ámbito de aplicación ✓Sector Público Información clasificada 4 ITS publicadas ✓Real Decreto 3/2010 ✓Actualizado en 2015 ✓Real Decreto 311/2022 Anclado en leyes 40/2015 y 39/2015 ✓ Informe estado de la seguridad ✓ Conformidad con el ENS ✓ Auditoría ✓ Notificación de incidentes ✓Acreditación con ENAC ✓ Certificadores acreditados por ENAC ✓ Entidades certificadas (públicas/privadas) ✓ Consejo de Certificación del ENS (CoCENS) ✓ >90 guías CCN-STIC Serie 800 - ✓ 23 Soluciones de ciberseguridad Referente ✓ 8 ediciones del informe INES ✓ Ley Orgánica 3/2018 ✓ RD-l 12/2018 Real Decreto 43/2021 ✓ + Instrucciones Técnicas de Seguridad ✓ Proveedores Esfuerzo colectivo, multidisciplinar, sostenido en el tiempo + liderazgo conjunto de ✓ ✓
Quién tiene que aplicar el Todo el sector público. Las entidades del sector privado cuando presten servicios o provean soluciones al sector público (cadena de suministro). Los pliegos de prescripciones (para la contratación) contemplarán los requisitos de conformidad con el ENS. Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
Cuál es el mandato principal del Cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente. Cada órgano o entidad con personalidad jurídica propia deberá contar con una política formalmente aprobada. Cada ministerio contará con su política de seguridad. Los organismos podrán contar con la suya o quedar comprendidos en la de su ministerio. La Secretaría General de Administración Digital dispondrá de su propia política de seguridad. Los municipios podrán disponer de una política de seguridad común elaborada por la entidad local comarcal o provincial que asuma la responsabilidad de la seguridad de la información de los sistemas municipales. Photo by Paul Rysz on Unsplash
La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad. Figuras singulares: ✓Responsable de la información ✓Responsable del servicio ✓Responsable de la seguridad ✓Responsable del sistema Los prestadores de servicios externalizados tendrán un Punto o Persona de Contacto para la seguridad de la información tratada y el servicio prestado. Quiénes intervienen en la seguridad Photo by Paul Rysz on Unsplash
Qué principios y requisitos hay que aplicar Fuente: Infografías ENS a) Seguridad como proceso integral. b) Gestión de la seguridad basada en los riesgos. c) Prevención, detección, respuesta y conservación. d) Existencia de líneas de defensa. e) Vigilancia continua. f) Reevaluación periódica. g) Diferenciación de responsabilidades. a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos de seguridad y contratación de servicios de seguridad. h) Mínimo privilegio. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de la actividad y detección de código dañino. m) Incidentes de seguridad. n) Continuidad de la actividad. ñ) Mejora continua del proceso de seguridad. Photo by Hack Capital on Unsplash
Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad. Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicios en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de las aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (I/III)
Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (II/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (III/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
✓Comprenderán aquel conjunto de medidas de seguridad que resultando del preceptivo análisis de riesgos, resulten idóneas para una concreta categoría de seguridad. ✓Persiguen introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados • Colectivos: Entidades Locales, Universidades, Organismos Pagadores,… • Ámbitos tecnológicos: servicios en la nube, … Ej.: ✓ CCN-STIC-881A. Perfil de Cumplimiento Específico Universidades ✓ CCN-STIC 883A Perfil de Cumplimiento Específico Ayuntamientos pequeños (menos de 5.000 habitantes) ✓ CCN-STIC 883B Perfil Cumplimiento Específico Ayuntamientos de menos de 20.000 habitantes ✓ CCN-STIC 883C Perfil de Cumplimiento Específico Ayuntamientos de entre 20.000 y 75.000 habitantes ✓ CCN-STIC 883D Perfil de Cumplimento Específico Diputaciones ✓ CCN-STIC-884 Perfil de cumplimiento específico para Azure Servicio de Cloud Corporativo ✓ CCN-STIC-885 Perfil de cumplimiento específico para Office 365 Servicio de Cloud Corporativo ✓ CCN-STIC-886 Perfil de cumplimiento específico para Sistemas Cloud Privados y Comunitarios ✓ CCN-STIC-887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo ✓ CCN-STIC-888 Perfil de Cumplimiento Específico para Google Cloud Servicio de Cloud Corporativo Perfiles de cumplimiento específicos (art. 30)
✓ Mecanismo de autenticación [op.acc.6] (no uso de doble factor) ✓ Protección frente a código dañino [op.exp.6] ✓ Mantenimiento y actualizaciones de seguridad [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad) ✓ Configuración de seguridad [op.exp.2] y gestión de la configuración de seguridad [op.exp.3] ✓ Protección de servicios y aplicaciones web [mp.s.2] ✓ Perímetro seguro [mp.com.1] ✓ Separación de flujos de información en la red [mp.com.4] (Redes NO segregadas) ✓ Detección de intrusión [op.mon.1] ✓ Copias de seguridad [mp.info.6] ✓ Concienciación [mp.per.3] y formación [mp.per.4] Qué aparece en la investigación de incidentes…insuficiencias en: Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad. Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE- CERT quien lo pondrá inmediatamente en conocimiento del CCN-CERT. El CCN-CERT determinará técnicamente el riesgo de reconexión de sistemas afectados, indicando procedimientos a seguir y salvaguardas a implementar. La SGAD autorizará la reconexión a medios y servicios comunes en su ámbito de responsabilidad, si un informe de superficie de exposición del CCN-CERT determina que el riesgo es asumible. Photo by Hack Capital on Unsplash Cómo se actúa ante un incidente
Los sujetos responsables de los sistemas de información darán publicidad a las declaraciones y certificaciones de conformidad con el ENS. Entidades del Sector Público, prestadores de servicios o proveedores de soluciones: mismos procedimientos y documentos. Entidades de certificación: Acreditación por conforme a UNE-EN ISO/IEC 17065:2012, para certificación de sistemas del ámbito de aplicación del ENS. Cómo se demuestra la conformidad con el Declaración de Conformidad de aplicación a sistemas de información de categoría Básica. Autoevaluación para la declaración. Certificación de Conformidad de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en categoría Básica. Auditoría para la certificación. Distintivos
8ª edición – Informe INES 2021 1008 organismos han participado en los resultados. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en: - el 55% en sistemas de categoría ALTA - el 63% en sistemas de categoría MEDIA, - el 75% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS. Cómo se monitoriza el estado de la seguridad ▪ Artículo 35. Informe del estado de la seguridad ▪ Medición de la seguridad: 4.6.2 Sistema de métricas [op.mon.2] herramienta para recogida y consolidación de datos para el Informe del Estado de la Seguridad. - Información general sobre los organismos - Gestión de riesgos - Información de seguridad organizacional - Recursos económicos y humanos - Medidas de seguridad del Anexo II del ENS. - Información sobre interconexiones - Aplicación de seguridad (métodos de autenticación, servicios subcontratados, gestión de cambios, continuidad de servicios, formación, sensibilización ...) - Gestión de incidentes (número y tiempos de respuesta). - Auditorías y certificaciones.
Ofrece un conjunto de productos STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas. Permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro. ▪ Productos Aprobados: productos que se consideran adecuados para el manejo de información clasificada. ▪ Productos Cualificados: productos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica). Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Una Instrucción Técnica de Seguridad detallará los criterios relativos a la adquisición de productos de seguridad. Qué productos de seguridad utilizamos
Infraestructuras y servicios comunes Oportunidades en seguridad ▪ Reducción del perímetro físico: se reduce la carga en medidas de protección de las instalaciones e infraestructuras [mp.if] para las entidades usuarias. ▪ Reducción del perímetro lógico: se reduce la carga para las entidades usuarias en medidas tales como: explotación [mp.exp], protección de las aplicaciones informáticas [mp.sw], protección de los servicios [mp.s] y monitorización del sistema [op.mon]. ▪ Gestión de incidentes: se reduce la carga de gestión de incidentes [op.exp.7]. ▪ Mejor elasticidad: para hacer frente a picos de actividad o ataques de denegación de servicio [mp.s.4]. ▪ Mejor conformidad con estándares: para mejor recuperación, integración, interoperabilidad, portabilidad, integración con herramientas de seguridad (medidas varias de tipo [op]).
FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 La SGAD participa realizando la valoración técnica de los proyectos propuestos por las EELL, con la evaluación de la adecuación a las condiciones técnicas establecidas en la convocatoria. Primera convocatoria de transformación digital de EELL 1.000 Mill. € inversión C11.I3 92,77 Mill. € ya repartidosen 2021 149 EELL de más de 50.000 habitantes Infraestructuras Digitales Mayor importe Ciberseguridad Línea con mayor númerode proyectos Más de 20 Mill.€ para la creaciónde Centrosde Operacionesde Ciberseguridad(COCS) 16 90 proyectos 60 proyectos con actuacionescomunes 89,4Mill€ 332 PROYECTOS Presentados por 145 EELL 96,22% del presupuesto total 391,4 Mill. € transformación digital EELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno del Dato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS) Capacidades, servicios y soluciones (I/II)
Capacidades, servicios y soluciones (II/II)
Cómo adecuarse al ENS: Acciones principales ✓ Elaborar y aprobar la política de seguridad (art. 12) ✓ Definir roles y asignar personas. Responsable de seguridad. (art. 13) ✓ Categorizar los sistemas (art. 28, 40) ✓ Analizar los riesgos está actualizado (art. 28) ✓ Seleccionar y elaborar la declaración de aplicabilidad; e implantar las medidas de seguridad. (Anexo II) ✓ Auditar la seguridad (art. 31) ✓ Publicar la conformidad (art. 38) ✓ Informar del estado de la seguridad (art. 32)
Administración General del Estado Gobernanza y Cooperación TIC Grupos (…de ENI y ENS, COCS) Comisión Sectorial de Administración Electrónica Ley 40/2015, d.a. 9ª AGE, CCAA, FEMP, CRUE Grupos de trabajo (…GT de Seguridad) CIO (SGAD) CIO (SGAD) Consejo de Certificación del ENS Constituido: 2018 Preside: CCN Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas y Órganos de Auditoría Técnica Misión: Velar por la adecuada implantación de la Certificación del ENS + Comunidad Cooperación, Gobernanza y comunidad
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
Con el liderazgo de la Secretaría General de Administración Digital y el Centro Criptológico Nacional, junto con sus equipos de colaboradores, el ENS es el resultado de un esfuerzo colectivo del sector público de España, con la colaboración del sector privado, que vienen contribuyendo activamente a su elaboración, desarrollo, aplicación y evolución. Photo by Annie Spratt on Unsplash
Para saber más
Situación de España, ciberseguridad Global Cybersecurity Index 2020 (UIT)
1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. 2. Que en vuestras iniciativas, proyectos y actuaciones tengáis como referente el Photo by Paul Rysz on Unsplash ¿Qué esperamos por vuestra parte?
Muchas gracias 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash

Más contenido relacionado

CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

  • 1. Esquema Nacional de Seguridad para principiantes 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash
  • 2. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 3. Digitalización acelerada con impacto global: ✓ Organizaciones, públicas y privadas, procesos y servicios ✓ Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de: ✓ Trabajo ✓ Educación / Formación ✓ Ocio ✓ Entretenimiento ✓ Consumo ✓ Interacción social Transformación digital: sí o sí
  • 4. “…la tramitación electrónica … debe constituir la actuación habitual de las Administraciones.” “… una Administración sin papel basada en un funcionamiento íntegramente electrónico .” [Ley 39/2015, parte expositiva]
  • 6. Transformación digital acelerada – con ciberseguridad + Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Mayor dependencia de la tecnología: ✓complejidad ✓interdependencia ✓ se incrementa la superficie de exposición a ciberamenazas. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad. Personas - Implicación de los actores (no solo TIC) - Cambio cultural - Competencias digitales - Reclutamiento Tecnología - Tecnologías habilitadoras digitales (IA, Cloud, IoT, gestión de datos, registro distribuido, lenguaje,…) - Oportunidades y Riesgos Procesos - Adecuación a la realidad digital y posibilidades - Implementación principio de un sola vez Datos - Datos para nuevos y mejores servicios, decisiones, políticas públicas, transparencia y reutilización - Estrategia de gestión del dato, CDO,… Ciberseguridad Protección de datos - Proteger datos, información y servicios - General confianza en los servicios públicos digitales Interoperabilidad - Facilitar el flujo de datos y servicios - Facilitar la realización de derechos y principios (ej. OOP,…) Photo by Philipp Katzenberger on Unsplash
  • 7. El Sector Público y sus proveedores en el punto de mira de los ciberataques Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Photo by Philipp Katzenberger on Unsplash
  • 8. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 9. ✓ La seguridad, el largo camino… ✓ Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo 2010 2015 2017 ESN 2017 EIF v2 Declaración Ministerial de Tallin Ley 39/2015, Ley 40/2015 Estrategia TIC AGE Declaración servicios compartidos RD 951/2015 modificación 2014 2010 ENI ENS EIFv1 Ley 8/2011 PIC RD 721/2011 PIC Ley 18/2011 EJIS NTIs: Doc-e, Exp-e Digitalización, Copiado, Sicres Red de com. RD 1495/2011 RISP 2013 Estrategia de Ciberseguridad Nacional Informe Cora Ley 19/20913 Agenda Digital NTI RISP ENS-ITS •Conformidad con ENS •Informe ENS RGPD Directiva NIS eGov Action Plan Reglamento eIDAS RD 806/2014 RD 802/2014 DTIC Cl@ve Marco Int. eIDAS 2017 2018 2018 ENS-ITS •Auditoría •Notificación de incidentes RDL 12/2018 NIS LO 3/2018 LOPDGDD RD Accesibilidad. 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2022 2011 2016 2015 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín NTIs: PGDE, Firma-e Intermediacíón Modelo de Datos, estándares Magerit v3 2012 RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad RD 311/2022 2012 Fuente: Miguel A. Amutio Dónde estamos
  • 10. Fuente: Miguel A. Amutio Liderazgo: * Y proveedores de soluciones y prestadores de servicios Enfoque global Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
  • 11. Ley 39/2015 Procedimiento administrativo común Artículo 13. Derechos de las personas h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Ley 40/2015 Régimen jurídico del Sector Público Artículo 3. Principios generales 2. Las AA.PP. se relacionarán entre sí … a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones …, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados Derechos de las personas y principios generales
  • 12. Qué es el Esquema Nacional de Seguridad El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
  • 13. ▪ Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a la ciudadanía y las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. ▪ Promover: ▪ la gestión continuada de la seguridad, al margen de impulsos puntuales o de su ausencia. ▪ la prevención, detección y respuesta ante ciberamenazas y ciberataques. ▪ un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de los servicios mediante un lenguaje y unos elementos comunes adecuados al quehacer de la Administración ▪ Facilitar el flujo de datos y servicios, en conjunción con el . Se concibió para…
  • 14. Panorámica (RD 311/2022) • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (d.a. 3ª) • Adecuación de sistemas (d.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario Fuente: Infografías ENS
  • 15. Desarrollo Conformidad Monitorización Informe INES - Soporte Base legal Ámbito de aplicación ✓Sector Público Información clasificada 4 ITS publicadas ✓Real Decreto 3/2010 ✓Actualizado en 2015 ✓Real Decreto 311/2022 Anclado en leyes 40/2015 y 39/2015 ✓ Informe estado de la seguridad ✓ Conformidad con el ENS ✓ Auditoría ✓ Notificación de incidentes ✓Acreditación con ENAC ✓ Certificadores acreditados por ENAC ✓ Entidades certificadas (públicas/privadas) ✓ Consejo de Certificación del ENS (CoCENS) ✓ >90 guías CCN-STIC Serie 800 - ✓ 23 Soluciones de ciberseguridad Referente ✓ 8 ediciones del informe INES ✓ Ley Orgánica 3/2018 ✓ RD-l 12/2018 Real Decreto 43/2021 ✓ + Instrucciones Técnicas de Seguridad ✓ Proveedores Esfuerzo colectivo, multidisciplinar, sostenido en el tiempo + liderazgo conjunto de ✓ ✓
  • 16. Quién tiene que aplicar el Todo el sector público. Las entidades del sector privado cuando presten servicios o provean soluciones al sector público (cadena de suministro). Los pliegos de prescripciones (para la contratación) contemplarán los requisitos de conformidad con el ENS. Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
  • 17. Cuál es el mandato principal del Cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente. Cada órgano o entidad con personalidad jurídica propia deberá contar con una política formalmente aprobada. Cada ministerio contará con su política de seguridad. Los organismos podrán contar con la suya o quedar comprendidos en la de su ministerio. La Secretaría General de Administración Digital dispondrá de su propia política de seguridad. Los municipios podrán disponer de una política de seguridad común elaborada por la entidad local comarcal o provincial que asuma la responsabilidad de la seguridad de la información de los sistemas municipales. Photo by Paul Rysz on Unsplash
  • 18. La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad. Figuras singulares: ✓Responsable de la información ✓Responsable del servicio ✓Responsable de la seguridad ✓Responsable del sistema Los prestadores de servicios externalizados tendrán un Punto o Persona de Contacto para la seguridad de la información tratada y el servicio prestado. Quiénes intervienen en la seguridad Photo by Paul Rysz on Unsplash
  • 19. Qué principios y requisitos hay que aplicar Fuente: Infografías ENS a) Seguridad como proceso integral. b) Gestión de la seguridad basada en los riesgos. c) Prevención, detección, respuesta y conservación. d) Existencia de líneas de defensa. e) Vigilancia continua. f) Reevaluación periódica. g) Diferenciación de responsabilidades. a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos de seguridad y contratación de servicios de seguridad. h) Mínimo privilegio. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de la actividad y detección de código dañino. m) Incidentes de seguridad. n) Continuidad de la actividad. ñ) Mejora continua del proceso de seguridad. Photo by Hack Capital on Unsplash
  • 20. Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad. Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicios en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de las aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (I/III)
  • 21. Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (II/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
  • 22. Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (III/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
  • 23. ✓Comprenderán aquel conjunto de medidas de seguridad que resultando del preceptivo análisis de riesgos, resulten idóneas para una concreta categoría de seguridad. ✓Persiguen introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados • Colectivos: Entidades Locales, Universidades, Organismos Pagadores,… • Ámbitos tecnológicos: servicios en la nube, … Ej.: ✓ CCN-STIC-881A. Perfil de Cumplimiento Específico Universidades ✓ CCN-STIC 883A Perfil de Cumplimiento Específico Ayuntamientos pequeños (menos de 5.000 habitantes) ✓ CCN-STIC 883B Perfil Cumplimiento Específico Ayuntamientos de menos de 20.000 habitantes ✓ CCN-STIC 883C Perfil de Cumplimiento Específico Ayuntamientos de entre 20.000 y 75.000 habitantes ✓ CCN-STIC 883D Perfil de Cumplimento Específico Diputaciones ✓ CCN-STIC-884 Perfil de cumplimiento específico para Azure Servicio de Cloud Corporativo ✓ CCN-STIC-885 Perfil de cumplimiento específico para Office 365 Servicio de Cloud Corporativo ✓ CCN-STIC-886 Perfil de cumplimiento específico para Sistemas Cloud Privados y Comunitarios ✓ CCN-STIC-887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo ✓ CCN-STIC-888 Perfil de Cumplimiento Específico para Google Cloud Servicio de Cloud Corporativo Perfiles de cumplimiento específicos (art. 30)
  • 24. ✓ Mecanismo de autenticación [op.acc.6] (no uso de doble factor) ✓ Protección frente a código dañino [op.exp.6] ✓ Mantenimiento y actualizaciones de seguridad [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad) ✓ Configuración de seguridad [op.exp.2] y gestión de la configuración de seguridad [op.exp.3] ✓ Protección de servicios y aplicaciones web [mp.s.2] ✓ Perímetro seguro [mp.com.1] ✓ Separación de flujos de información en la red [mp.com.4] (Redes NO segregadas) ✓ Detección de intrusión [op.mon.1] ✓ Copias de seguridad [mp.info.6] ✓ Concienciación [mp.per.3] y formación [mp.per.4] Qué aparece en la investigación de incidentes…insuficiencias en: Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
  • 25. Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad. Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE- CERT quien lo pondrá inmediatamente en conocimiento del CCN-CERT. El CCN-CERT determinará técnicamente el riesgo de reconexión de sistemas afectados, indicando procedimientos a seguir y salvaguardas a implementar. La SGAD autorizará la reconexión a medios y servicios comunes en su ámbito de responsabilidad, si un informe de superficie de exposición del CCN-CERT determina que el riesgo es asumible. Photo by Hack Capital on Unsplash Cómo se actúa ante un incidente
  • 26. Los sujetos responsables de los sistemas de información darán publicidad a las declaraciones y certificaciones de conformidad con el ENS. Entidades del Sector Público, prestadores de servicios o proveedores de soluciones: mismos procedimientos y documentos. Entidades de certificación: Acreditación por conforme a UNE-EN ISO/IEC 17065:2012, para certificación de sistemas del ámbito de aplicación del ENS. Cómo se demuestra la conformidad con el Declaración de Conformidad de aplicación a sistemas de información de categoría Básica. Autoevaluación para la declaración. Certificación de Conformidad de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en categoría Básica. Auditoría para la certificación. Distintivos
  • 27. 8ª edición – Informe INES 2021 1008 organismos han participado en los resultados. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en: - el 55% en sistemas de categoría ALTA - el 63% en sistemas de categoría MEDIA, - el 75% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS. Cómo se monitoriza el estado de la seguridad ▪ Artículo 35. Informe del estado de la seguridad ▪ Medición de la seguridad: 4.6.2 Sistema de métricas [op.mon.2] herramienta para recogida y consolidación de datos para el Informe del Estado de la Seguridad. - Información general sobre los organismos - Gestión de riesgos - Información de seguridad organizacional - Recursos económicos y humanos - Medidas de seguridad del Anexo II del ENS. - Información sobre interconexiones - Aplicación de seguridad (métodos de autenticación, servicios subcontratados, gestión de cambios, continuidad de servicios, formación, sensibilización ...) - Gestión de incidentes (número y tiempos de respuesta). - Auditorías y certificaciones.
  • 28. Ofrece un conjunto de productos STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas. Permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro. ▪ Productos Aprobados: productos que se consideran adecuados para el manejo de información clasificada. ▪ Productos Cualificados: productos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica). Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Una Instrucción Técnica de Seguridad detallará los criterios relativos a la adquisición de productos de seguridad. Qué productos de seguridad utilizamos
  • 29. Infraestructuras y servicios comunes Oportunidades en seguridad ▪ Reducción del perímetro físico: se reduce la carga en medidas de protección de las instalaciones e infraestructuras [mp.if] para las entidades usuarias. ▪ Reducción del perímetro lógico: se reduce la carga para las entidades usuarias en medidas tales como: explotación [mp.exp], protección de las aplicaciones informáticas [mp.sw], protección de los servicios [mp.s] y monitorización del sistema [op.mon]. ▪ Gestión de incidentes: se reduce la carga de gestión de incidentes [op.exp.7]. ▪ Mejor elasticidad: para hacer frente a picos de actividad o ataques de denegación de servicio [mp.s.4]. ▪ Mejor conformidad con estándares: para mejor recuperación, integración, interoperabilidad, portabilidad, integración con herramientas de seguridad (medidas varias de tipo [op]).
  • 30. FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 La SGAD participa realizando la valoración técnica de los proyectos propuestos por las EELL, con la evaluación de la adecuación a las condiciones técnicas establecidas en la convocatoria. Primera convocatoria de transformación digital de EELL 1.000 Mill. € inversión C11.I3 92,77 Mill. € ya repartidosen 2021 149 EELL de más de 50.000 habitantes Infraestructuras Digitales Mayor importe Ciberseguridad Línea con mayor númerode proyectos Más de 20 Mill.€ para la creaciónde Centrosde Operacionesde Ciberseguridad(COCS) 16 90 proyectos 60 proyectos con actuacionescomunes 89,4Mill€ 332 PROYECTOS Presentados por 145 EELL 96,22% del presupuesto total 391,4 Mill. € transformación digital EELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno del Dato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS) Capacidades, servicios y soluciones (I/II)
  • 31. Capacidades, servicios y soluciones (II/II)
  • 32. Cómo adecuarse al ENS: Acciones principales ✓ Elaborar y aprobar la política de seguridad (art. 12) ✓ Definir roles y asignar personas. Responsable de seguridad. (art. 13) ✓ Categorizar los sistemas (art. 28, 40) ✓ Analizar los riesgos está actualizado (art. 28) ✓ Seleccionar y elaborar la declaración de aplicabilidad; e implantar las medidas de seguridad. (Anexo II) ✓ Auditar la seguridad (art. 31) ✓ Publicar la conformidad (art. 38) ✓ Informar del estado de la seguridad (art. 32)
  • 33. Administración General del Estado Gobernanza y Cooperación TIC Grupos (…de ENI y ENS, COCS) Comisión Sectorial de Administración Electrónica Ley 40/2015, d.a. 9ª AGE, CCAA, FEMP, CRUE Grupos de trabajo (…GT de Seguridad) CIO (SGAD) CIO (SGAD) Consejo de Certificación del ENS Constituido: 2018 Preside: CCN Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas y Órganos de Auditoría Técnica Misión: Velar por la adecuada implantación de la Certificación del ENS + Comunidad Cooperación, Gobernanza y comunidad
  • 34. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 35. Con el liderazgo de la Secretaría General de Administración Digital y el Centro Criptológico Nacional, junto con sus equipos de colaboradores, el ENS es el resultado de un esfuerzo colectivo del sector público de España, con la colaboración del sector privado, que vienen contribuyendo activamente a su elaboración, desarrollo, aplicación y evolución. Photo by Annie Spratt on Unsplash
  • 37. Situación de España, ciberseguridad Global Cybersecurity Index 2020 (UIT)
  • 38. 1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. 2. Que en vuestras iniciativas, proyectos y actuaciones tengáis como referente el Photo by Paul Rysz on Unsplash ¿Qué esperamos por vuestra parte?
  • 39. Muchas gracias 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash