"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
1. “Novedades legislativas.
Evolución del Esquema Nacional de Seguridad”
Madrid, 27 de febrero de 2014
Miguel A. Amutio
Jefe de Área
Dirección General de Modernización Administrativa,
Procedimientos e Impulso de la Administración Electrónica
Ministerio de Hacienda y Administraciones Públicas
1
2. Incremento notable de incidentes
<Fuente: CCN-CERT>
<Fuente: Estrategia de Ciberseguridad Nacional>
2
3. 1. ¿Qué es el Esquema Nacional de
Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
3
4. El Esquema Nacional de Seguridad (I/II)
Responde a principios y derechos relativos a la seguridad
establecidos en la Ley 11/2007.
Se instrumenta en el Real Decreto 3/2010.
Establece la política de seguridad en los servicios de
administración-e, constituida por principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
Es de aplicación a todas las AA.PP.
Entró en vigor el 30 de enero de 2010.
Estableció un mecanismo de adecuación para sistemas existentes
de 48 meses que venció el 30 de enero de 2014.
Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.(FEMP),
ámbito de Justicia (EJIS), CRUE + Opinión Industria TIC.
Adecuado a las condiciones y requisitos de las AA.PP.
4
5. El Esquema Nacional de Seguridad (II/II)
Crea las condiciones necesarias de seguridad, que permita a los
ciudadanos y a las AA.PP., el ejercicio de derechos y el cumplimiento de deberes a través de estos
medios.
Promueve la gestión continuada de la seguridad, al margen de
impulsos puntuales, o de su ausencia.
Promueve un tratamiento homogéneo de la seguridad que facilite
la cooperación en la prestación de servicios de administración electrónica cuando participan diversas
entidades.
Proporciona un lenguaje y unos elementos comunes:
– Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la
información.
– Para facilitar la interacción y la cooperación de las AA.PP.
– Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria.
Proporciona liderazgo en materia de buenas practicas.
5
6. Disponer de una política de seguridad
Las AA.PP. deberán disponer de una política de
seguridad en base a los principios básicos y aplicando los
requisitos mínimos para una protección adecuada de la información.
Para dar cumplimiento de los requisitos mínimos, se seleccionarán las
medidas de seguridad proporcionadas, atendiendo a:
La categoría del sistema. Básica, Media y Alta, según valoración de
dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad,
Confidencialidad, Trazabilidad).
Lo dispuesto en la Ley Orgánica 15/1999, y normativa de
desarrollo.
Las decisiones que se adopten para gestionar los riesgos
identificados.
6
7. Elementos principales del ENS
Los principios básicos, que sirven de guía.
Los requisitos mínimos, de obligado
cumplimiento.
La categorización de los sistemas para la
adopción de medidas de seguridad
proporcionadas.
La auditoría de la seguridad que verifique el
cumplimiento del Esquema Nacional de Seguridad.
La respuesta a incidentes de seguridad.
Papel de CCN- CERT.
El uso de productos certificados. La
certificación, como aspecto a considerar al adquirir los
productos de seguridad. Papel del Organismo de
Certificación (CCN).
La formación y concienciación.
7
8. Para adecuarse al ENS
Elaborar y aprobar formalmente una
política de seguridad (art. 11)
Identificar Responsables y asignar
personas. Responsable de seguridad.
(art. 10)
Realizar la categorización de los sistemas
(art. 27)
Analizar los riesgos (art. 27)
Seleccionar las medidas y elaborar la
declaración de aplicabilidad (anexo II)
Preparar y aprobar un plan de adecuación
/ de mejora (d.t)
Implantar las medidas de seguridad
(anexo II)
Publicitar la conformidad en la sede
electrónica (art. 41)
8
9. Auditar la seguridad
Auditoría periódica para verificar el cumplimiento del ENS.
Categoría MEDIA o ALTA
Categoría BÁSICA: autoevaluación.
Se utilizarán criterios, métodos de trabajo y de conducta generalmente
reconocidos, así como la normalización nacional e internacional aplicables.
Según los siguientes términos:
La política de seguridad define roles y funciones.
Existen procedimientos para resolución de conflictos.
Se aplica el principio de segregación de funciones.
Se ha realizado el análisis de riesgos, con revisión y aprobación anual.
Existe un sistema de gestión de seguridad de la información documentado.
Véase “802 Auditoría del Esquema Nacional de Seguridad” y “808 - Verificación del cumplimiento de las
medidas en el Esquema Nacional de Seguridad” disponibles en https://www.ccn-cert.cni.es
9
10. Guías y herramientas
+
Guías CCN-STIC publicadas:
Servicios de respuesta ante incidentes CCN-CERT
800 - Glosario de Términos y Abreviaturas del ENS
Formación STIC: presencial / en-línea
801 - Responsables y Funciones en el ENS
Esquema Nacional de Evaluación y Certificación
802 - Auditoría de la seguridad en el ENS
803 - Valoración de sistemas en el ENS
804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS
807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS
809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT
811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web
813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico
815 - Métricas e Indicadores en el ENS
817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS
821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS
823 – Cloud Computing en el ENS
824 - Informe del Estado de Seguridad
825 – ENS & 27001
MAGERIT v3
En elaboración:
Programas de apoyo:
819 – Contratación en el ENS
Pilar y µPILAR
10
11. ENS y 27001
El ENS es una regulación legal, perteneciente al
ordenamiento jurídico español, de cumplimiento obligatorio para los
S.I. comprendidos en el ámbito de aplicación de la Ley 11/2007, al
servicio de la realización de derechos de los ciudadanos.
El ENS trata la protección de la información y los
servicios; contempla y exige la gestión continuada de la
seguridad.
El ENS añade un sistema de protección proporcionado
a la información y servicios a proteger para racionalizar la
implantación de las medidas.
El ENS contempla aspectos de especial interés para la
protección de información y servicios de administración-e.
La norma 27001 es una norma internacional, de gestión,
de cumplimiento voluntario y certificable. Contiene los requisitos
para la construcción (y ulterior certificación, en su caso) de un
Sistema de Gestión de Seguridad de la Información.
La Guía 825 explica la relación entre el ENS y la 27001.
11
12. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde
estamos?
3. ¿Cuáles son los próximos pasos?
12
13. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Una reflexión sobre
el antes del ENS
y el ahora
1 RD,
servicios…
24
Guías
CCN-STIC,
herramientas,
Pero sobre todo:
Esfuerzo colectivo de todas las AA.PP.
+ Industria sector seguridad TIC
Convencimiento: gestión continuada de la
seguridad con lenguaje y elementos comunes.
13
14. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Adecuación al ENS, ¿dónde estamos?
Venció el plazo de 48 meses para la adecuación al ENS.
El esfuerzo de adecuación al ENS se ha venido realizando
en condiciones que suponen un esfuerzo notable por la
limitación de recursos económicos y humanos en las que se ha de
desenvolver la actividad de las entidades.
14
15. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Seguimiento en las AA.PP.:
Acuerdos de la Comisión Permanente del Consejo Superior de Administración
Electrónica y del Comité de Seguridad de la Información de las AA.PP.
Seguimiento: febrero (solo AGE), mayo, septiembre, diciembre de 2013 y
marzo de 2014.
Participación de carácter voluntario.
Herramienta disponible en el Portal de CCN-CERT.
Cuestionarios recibidos del ENS en las 4 oleadas de 2013:
15
16. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Situación comparativa para una muestra de medidas de seguridad consideradas
particularmente significativas:
Parece que el grado de avance debería ser mayor.
Aunque se ha hecho esfuerzo y hay escenarios de situación entre 3 y 5.
16
17. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué podemos hacer?
(recomendaciones)
Es esencial que haya:
un plan de adecuación;
un responsable de seguridad nombrado; necesidad de equipo de seguridad.
una categorización de los sistemas;
que se realice el análisis de riesgos.
Recomendaciones:
Abordar aspectos que tienen una componente mayor de gobernanza y documentación:
Proceso de autorización y Arquitectura de seguridad.
Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de
aplicaciones web.
Impulsar
• Configuración de seguridad.
• Gestión de la configuración.
• Mantenimiento y Gestión de cambios.
• Los Registros de uso del sistema y Registro de la actividad de los usuarios.
• Las medidas de monitorización: Detección de intrusión y Sistema de métricas.
• Las actividades de Concienciación y Formación.
17
18. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. ¿Qué es el Esquema Nacional de Seguridad?
2. Adecuación al ENS, ¿dónde estamos?
3. ¿Cuáles son los próximos pasos?
18
21. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Captación de feedback
ENS , art. 42: ‘Actualización permanente’
Experiencia obtenida de implantación del
ENS.
Comentarios recibidos por diversas
vías: formales e informales.
Evolución:
de la tecnología y las ciberamenazas
del contexto regulatorio europeo.
21
22. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Evolución del ENS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil para
todos?
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
¿Qué medidas de seguridad deben
mejorarse?
¿Cómo reforzar la capacitación de los
profesionales?
22
23. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
Conviene armonizar el modo común de actuar en
relación con ciertas cuestiones.
Esta armonización se podría hacer mediante la figura de
las ‘Normas Técnicas de Seguridad’.
Se aplicarían los procedimientos consolidados en las
Normas Técnicas de Interoperabilidad.
Las
guías
CCN-STIC
tienen
naturaleza
recomendaciones, por tanto, su efecto es limitado.
de
23
24. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil (art. 35)?
Conviene asentar un mecanismo periódico que permita
recoger información para conocer e informar del estado de
seguridad, en adecuadas condiciones de eficacia y eficiencia.
Son necesarios procedimientos para recogida y consolidación de
información y organismos responsables de su realización.
24
25. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
Conviene consolidar información que los incidentes serios: notificación
de ciertos incidentes. La figura de la notificación de los hechos que tengan un
impacto significativo en la seguridad es una tendencia en proyectos normativos de
la UE.
Para una mejor respuesta a incidentes de seguridad, conviene que
puedan tenerse en cuenta también evidencias necesarias para la
investigación como: registros de auditoría, configuraciones, soportes y otra información
relevante. Atendiendo, cuando sea de aplicación, a lo dispuesto en la Ley Orgánica 15/1999.
Extender:
Sistemas de Alerta Temprana (SAT).
Herramientas de detección de anomalías (CARMEN).
Gestión de incidentes común (LUCIA).
<Fuente: CCN-CERT>
25
26. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué medidas de seguridad
deben mejorarse y cómo?
3.4 Proceso de autorización [org.4]
4.1.2. Arquitectura de seguridad [op.pl.2]
4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas
4.2.5. Mecanismo de autenticación [op.acc.5]
4.3.8. Registro de la actividad de los usuarios [op.exp.8]
4.6.1. Detección de intrusión [op.mon.1]
4.6.2. Sistema de métricas [op.mon.2]
5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]
5.5.5. Borrado y destrucción [mp.si.5]
5.7.4. Firma electrónica [mp.info.4]
5.7.7. Copias de seguridad [mp.info.9]
<No exhaustivo. Sometido a cambios>
26
27. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacitación de
profesionales?
Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y
auditada por personal cualificado…”
Hay escasez de profesionales con conocimientos avanzados para
hacer frente a las crecientes amenazas.
Es necesario asegurar unos conocimientos y habilidades de
los profesionales, con rigor y profesionalidad.
Mediante una Norma Técnica de Seguridad se regularía el Esquema
de Certificación de Personas, que establecerá el currículo exigible
en relación con los posibles perfiles profesionales y, en su caso, el
reconocimiento de certificaciones internacionales.
Artículo afectado: 15
27
28. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Los próximos partidos
Conocer el estado de situación tras el
vencimiento del plazo de los 48 meses. Siguiente
seguimiento: marzo de 2014.
Poner en marcha de los mecanismos que
permiten conocer e informar regularmente
del estado de la seguridad de las AA.PP.
(Informe del artículo 35)
Evolucionar el ENS, a la luz de la
experiencia, del feedback y de los emergentes en
materia de ciberseguridad.
Continuar el esfuerzo de desarrollo de
instrumentos de apoyo a la adecuación al ENS:
guías y herramientas.
Extender el ENS a todos los sistemas de
información de las AA.PP.
28