1. Fundación SOCINFO
Seguridad IT (VIII): Esquema Nacional de Seguridad. Plan Nacional de
Ciberseguridad
Situación de la implantación del
Esquema Nacional de Seguridad
Madrid, 11 de febrero de 2014
Miguel A. Amutio
Jefe de Área
Dirección General de Modernización Administrativa,
Procedimientos e Impulso de la Administración Electrónica
Ministerio de Hacienda y Administraciones Públicas
1

2. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. Adecuación al ENS, ¿dónde estamos?
2. Evolución del ENS, ¿hacia dónde vamos?
3. ¿Cuáles son los próximos pasos?
2

3. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
1. Adecuación al ENS,
¿dónde estamos?
3

4. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Una reflexión sobre
el antes del ENS
y el ahora
 1 RD,
servicios…
24
Guías
CCN-STIC,
herramientas,
Pero sobre todo:
 Esfuerzo colectivo de todas las AA.PP.
 + Industria sector seguridad TIC
 Convencimiento: gestión continuada de la
seguridad con lenguaje y elementos comunes.
4

5. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
El Esquema Nacional de Seguridad
La Ley 11/2007 reconoce principios y derechos relativos a la seguridad:




El principio de derecho a la protección de los datos de carácter personal.
El principio de seguridad en la implantación y utilización de los medios electrónicos.
El principio de proporcionalidad → medidas adecuadas a la naturaleza y circunstancias de los trámites.
Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y
aplicaciones de las AA.PP.
 Es un instrumento legal – Real Decreto 3/2010que desarrolla lo previsto sobre seguridad en la Ley 11/2007.
 Establece la política de seguridad en los servicios
de administración-e.
Está constituida por principios básicos y requisitos mínimos que
permitan una protección adecuada de la información.
 Es de aplicación a todas las AA.PP.
 Establece un mecanismo de adecuación
escalonado (fecha límite 30.01.2014).
 Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP,
CRUE + Opinión Industria TIC.
Agenda Digital
para Europa
5

6. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
6

7. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Adecuación al ENS, ¿dónde estamos?
Venció el plazo de 48 meses para la adecuación al ENS.
El esfuerzo de adecuación al ENS se ha venido realizando
en condiciones que suponen un esfuerzo notable por la
limitación de recursos económicos y humanos en las que
se ha de desenvolver la actividad de las entidades.
7

8. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Dónde estamos? Seguimiento
Seguimiento en las AA.PP.:

Acuerdos de la Comisión Permanente del Consejo Superior
de Administración Electrónica y del Comité de Seguridad de
la Información de las AA.PP.

Seguimiento: febrero (solo AGE), mayo, septiembre,
diciembre de 2013 y marzo de 2014.

Participación de carácter voluntario.

Herramienta disponible en el Portal de CCN-CERT.


A la fecha parece que el grado de avance debería ser mayor.
Aunque se hace esfuerzo y hay escenarios de situación entre 3 y 5.
8

9. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué podemos hacer?
(recomendaciones)
En cualquier caso es importante que haya: un Plan de adecuación; un
responsable de seguridad nombrado; una categorización de los sistemas;
que se realice el análisis de riesgos.
• Abordar aspectos que tienen una componente mayor de gobernanza y documentación:
Proceso de autorización y Arquitectura de seguridad.
• Aplicar las guías CCN-STIC para: Configuración de seguridad y Protección de
aplicaciones web.
• Impulsar la Configuración de seguridad.
•Implantar una mejor Gestión de la configuración.
• Impulsar las medidas: Mantenimiento y Gestión de cambios.
• Implantar ampliamente los Registros de uso del sistema y Registro de la actividad de los
usuarios.
• Impulsar las medidas de monitorización del sistema, a saber, Detección de intrusión y
Sistema de métricas.
• Impulsar las actividades de Concienciación y Formación.
9

10. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
2. Evolución del ENS,
¿Hacia dónde vamos?
10

11. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Captación de feedback
 ENS , art. 42: ‘Actualización permanente’
 Experiencia obtenida de implantación del
ENS.
 Comentarios recibidos por diversas
vías: formales e informales.
 Evolución:
 de la tecnología y las ciberamenazas
 del contexto regulatorio europeo.
11

12. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Evolución del ENS
 ¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
 ¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil para
todos?
 ¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad?
 ¿Qué medidas de seguridad deben
mejorarse?
 ¿Cómo reforzar la capacitación de
profesionales?
12

13. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo avanzar en la armonización del modo
común de actuar en ciertas cuestiones?
 Conviene armonizar el modo común de actuar en
relación con ciertas cuestiones.
 Esta armonización se podría hacer mediante la figura de
las ‘Normas Técnicas de Seguridad’.
 Se aplicarían los procedimientos consolidados en las
Normas Técnicas de Interoperabilidad.
 Las
guías
CCN-STIC
tienen
naturaleza
recomendaciones, por tanto, su efecto es limitado.
de
 Artículo afectado: 29
13

14. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo conocer periódicamente el estado de
la seguridad en las AA.PP. de forma fácil?
 Conviene asentar un mecanismo periódico que
permita recoger información para conocer e
informar del estado de seguridad, en
adecuadas
condiciones de eficacia y eficiencia.
 Son necesarios procedimientos para recogida y
consolidación
de
información,
aspectos
metodológicos y organismos responsables de su realización.
 Artículo afectado: 35
Véase “CCN-STIC-803 Valoración de sistemas en el ENS” disponible en https://www.ccn-cert.cni.es
14

15. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad? (I/II)
 Conviene consolidar información que los incidentes
serios: notificación de ciertos incidentes.
 Mediante
una Norma Técnica de Seguridad se
determinarían las características de los incidentes
sujetos a notificación y el procedimiento para
realizarla.
 La figura de la notificación de los hechos que tengan un
impacto significativo en la seguridad es una tendencia en
proyectos normativos de la UE.
 Artículo afectado: 36
15

16. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacidad de respuesta
frente a los incidentes de seguridad? (II/II)
 Para una mejor respuesta a incidentes de seguridad,
conviene que puedan tenerse en cuenta también
evidencias necesarias para la investigación como:
registros de auditoría, configuraciones, soportes y otra
información relevante.
 Atendiendo, cuando sea de aplicación, a lo dispuesto en la
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de carácter personal, y su normativa de desarrollo.
 Artículo afectado: 37
16

17. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Qué medidas de seguridad
deben mejorarse y cómo?
 3.4 Proceso de autorización [org.4]
 4.1.2. Arquitectura de seguridad [op.pl.2]
 4.1.5 Componentes certificados [op.pl.5] + medidas relacionadas
 4.2.5. Mecanismo de autenticación [op.acc.5]
 4.3.8. Registro de la actividad de los usuarios [op.exp.8]
 4.6.1. Detección de intrusión [op.mon.1]
 4.6.2. Sistema de métricas [op.mon.2]
 5.4.3. Protección de la autenticidad y de la integridad [mp.com.3]
 5.5.5. Borrado y destrucción [mp.si.5]
 5.7.4. Firma electrónica [mp.info.4]
 5.7.7. Copias de seguridad [mp.info.9]
<No exhaustivo. Sometido a cambios>
17

18. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
¿Cómo reforzar la capacitación de
profesionales?
 Art. 15.1: “La seguridad de los sistemas estará atendida, revisada y
auditada por personal cualificado…”
 Hay escasez de profesionales con conocimientos avanzados para
hacer frente a las crecientes amenazas.
 Es necesario asegurar unos conocimientos y habilidades de
los profesionales, con rigor y profesionalidad.
 Mediante una Norma Técnica de Seguridad se regularía el Esquema
de Certificación de Personas, que establecerá el currículo exigible
en relación con los posibles perfiles profesionales y, en su caso, el
reconocimiento de certificaciones internacionales.
 Artículo afectado: 15
18

19. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
3. ¿Cuáles son los
próximos pasos?
19

20. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Los próximos partidos
Conocimiento del estado de situación
tras el vencimiento del plazo de los 48 meses.

Ronda de seguimiento en marzo de 2014.

Puesta en marcha de los mecanismos que
permiten conocer e informar regularmente
del estado de la seguridad de las AA.PP.
(Informe del art. 35)
Actualización del ENS, a la luz de la
experiencia y de los emergentes en materia de
ciberseguridad.

Continuar el esfuerzo de desarrollo de
instrumentos de apoyo a la adecuación al ENS:
guías y herramientas.

Extender el ENS a todos los sistemas de
información de las AA.PP.

20

21. MINISTERIO
DE HACIENDA
Y ADMINISTRACIONES PÚBLICAS
Muchas gracias
• Correos electrónicos
–
–
–
–
–
–
ens@ccn-cert.cni.es
ens.minhap@correo.gob.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es
• Páginas Web:
–
–
–
–
administracionelectronica.gob.es
www.ccn-cert.cni.es
www.ccn.cni.es
www.oc.ccn.cni.es
21