Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Modelo de Gobierno y Gestión de las TIC.
La certificación de conformidad con el ENS.
D. Boris Delgado Riss
Gerente de TIC ...
Modelo de Gobierno y Gestión de las TIC
La certificación de conformidad con el ENS
(el cumplimiento como base de la cibers...
AGENDA
1. AENOREN EL MUNDO
2. MODELOAENORDE ISO EN LAS TICS. RIESGOS DE LAS TICs Y
SOLUCIONES.
3. SISTEMA GESTION DE SEGUR...
1. AENOREN EL MUNDO
4
Desde Enero 2017 – AENORINTERNACIONAL
SAU
Separación en Certificación y Normalización
(UNE)
Hasta 20...
SegúnISACA(*):
La ciberseguridad, se ocupa de la protección de los activos
digitales , desde las redes al hardware y la in...
2. Modelo dinámico de ISOpara las TICs
Fuente: ISO27032– RelaciónentreCiberseguridadyotros dominios deseguridad
6
ISO/IEC ...
2. Modelo dinámico de ISOpara las TICs
7
En la ISO27032 se abordan riesgos y amenazas específicas de ciberseguridad:
los ...
La solución: el Modelo dinámico de ISOpara las TI
SGCN
ISO 22301
Sistema de Gestión Continuidad del
Negocio.
Nivel de Madu...
2. RIESGOS DE LAS TICs Y SUS SOLUCIONES
Solución a los Riesgos en el Modelo de ISO en las TICs
9
10
2. RIESGOS DE LAS TICs Y SUS SOLUCIONES
Solución a los Riesgos en el Modelo de ISOen las TICs
Copyright AENOR: Carlos Manuel
Fdez.&BDelgado.
Junio 2015
La solución: el Modelo dinámico de ISOpara las TI
11
AENORestáacreditadaporENAC en:
-ISO 27001 (a nivelmundial)
-PSC (Europa – ReglamentoU E 91 0/201 4 eIDAS),
-Esquema Nacion...
La gestión eficaz de la Seguridad de la Información
permite a la organización preservarlas.
 Re-ordenarla seguridad
 Cum...
A.5 Política de Seguridad de
Información
A.6 Organización de la Seguridad de la
información
A.7 Seguridad en los RRHH
A.8 ...
PRINCIPIOS BASICOS (6)
Se tienen en cuenta para las decisiones en materia de seguridad
- Seguridad Integral
- Gestión basa...
5. ENS – Proceso de Adecuación
Fuente:
 En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo es...
Instrumentos para la adecuación (Guías CCN-STIC)
Su Serie 800 establece las políticas y procedimientos adecuados
para la ...
5. ENS – Proceso de Adecuación
18
Resolución de 7 de octubre de 2016, de la Secretaría de Estado de
Administraciones Públi...
5. ENS – Proceso de Adecuación
19 Fuente: https://www.ccn-
cert.cni.es/ens/ens.html
CCN-STIC-804 – Guía de implantación de...
CCN-STIC-830 – ENS. Ámbito de Aplicación
Guía que permite conocer el ámbito subjetivo de
aplicación (a quién se aplica el...
5. ENS – Proceso de Adecuación
 A qué se aplica el ENS (ámbito objetivo)
Fuente: CCN-STIC- 830 – Ámbito de21
CCN-STIC-825 – ENS. Certificaciones ISO
27001
Guía que permite conocer como una certificación
27001 sirve de soporte al c...
MOTIVACION
 ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio
de la realización de derechos...
DIMENSIONES DE LA SEGURIDAD
 ENS añade las dimensiones de seguridad Autenticidad y Trazabilidad
 SGSI - ISO27001: Confid...
Roles ENS Roles ISO 27001
Responsable de la Información
Propietario del Riesgo
Responsable del servicio
Responsable de seg...
Medidas de seguridad (controles) de ENS sin reflejo en ISO
27002
Componentes certificados
op.pl.5 Componentes certificados...
Auditoría de Certificación de Conformidad según ISO170
AENORprimera entidad acreditada para ENS
Fuente: www.ccn-cert.cni.e...
Auditorías de Conformidad con el ENS
El Art. 34 del ENS :
Los sistemas de información serán objeto de una auditoría regul...
 Registro de la conformidad con todos los requisitos auditados (evidencias
de conformidad y no conformidad)
 C C N-STIC ...
7. Auditoría de Certificación de Conformidad ENS según ISO
17065
FASE 2:
REALIZACIÓN DE
LA AUDITORÍA
(presencial)
ELABORAC...
PROCESO DE AUDITORIA DE CONFORMIDAD
Se utiliza de base la Guía CCN-STIC 802 y la Guía CCN-STIC 808
FASE 1
Estudio de Docum...
Evaluación y Decisión
Manteniendo una estructura que permita
independencia e imparcialidad, en la toma de
decisiones para ...
Auditorías conjuntas ISO27001 + ENS
CCN-STIC-825, ENS. CERTIFICACIONES 27001.
Objetivo: relación del ENS con ISO/IEC 27001...
Contacto público para consultas del ENS y Guía de Preguntas
Frecuentes
•Ministerio de Hacienda y Administraciones Públicas...
8. Testimoniales del Modelo de AENOR
“Tenemos un análisis de riesgos totalmente
adaptadoa nuestras necesidades”
Luís Lopes...
8. HERRAMIENTAS: Bibliografía AENORTICs
36
SOSURVEY 2015 – ESPAÑA en el TOPTEN (ISO27001 e ISO2000
“Mejora Continua:
Protección adecuada de la información en Ciberseguridad”.
En conclusión:
¿Dormirá tranquilo el/la CIO?
3...
Nächste SlideShare
Wird geladen in …5
×

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.

"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss
Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.

  1. 1. Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS. D. Boris Delgado Riss Gerente de TIC de AENOR
  2. 2. Modelo de Gobierno y Gestión de las TIC La certificación de conformidad con el ENS (el cumplimiento como base de la ciberseguridad) 2 Boris DELGADO. CISA, CISM Gerente de TIC (AENOR) Junio-2017
  3. 3. AGENDA 1. AENOREN EL MUNDO 2. MODELOAENORDE ISO EN LAS TICS. RIESGOS DE LAS TICs Y SOLUCIONES. 3. SISTEMA GESTION DE SEGURIDADDE LA INFORMACION – ISO 27001. Un “commodity” 4. ENS – ELEMENTOS PRINCIPALES 5. ENS – PROCESODE ADECUACION 6. ENS – INTERRELACION CON ISO27001 7. ENS - AUDITORIA DE CERTIFICACION DE CONFORMIDADCON EL ENS. ISO17065 8. TESTIMONIALES Y BIBLIOGRAFIA 3
  4. 4. 1. AENOREN EL MUNDO 4 Desde Enero 2017 – AENORINTERNACIONAL SAU Separación en Certificación y Normalización (UNE) Hasta 2016 Asociación privada de Normalización y Certificación sin ánimo de lucro AENOR es el representante de ISO en España y algunos países de Latinoamérica. Constitución: 1986. Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (12 filiales – Europa y Latam) AENOR México ( +10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación AENOR es miembro de IQNET
  5. 5. SegúnISACA(*): La ciberseguridad, se ocupa de la protección de los activos digitales , desde las redes al hardware y la información que es procesada, almacenada o transportada a través los sistemas de información interconectados. (*): ISAC A – C SX – C ibersecurity Fundamentals Study G uide 2. Modelo dinámico de ISOpara las TICs 5
  6. 6. 2. Modelo dinámico de ISOpara las TICs Fuente: ISO27032– RelaciónentreCiberseguridadyotros dominios deseguridad 6 ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity La ciberseguridad es la seguridad en el ciberespacio. El ciberespacio es un mundo virtual que contiene los entornos de internet, personas, organizaciones, actividades y toda clase de tecnología, dispositivos y redes interconectados entre si (ISO 27032) La ciberseguridad es la seguridad en un mundo digital-virtual, para prevenir los ciberataques que provienen de nuevas amenazas y riesgos. (Carlos Manuel Fdez. & Boris Delgado - AENOR)
  7. 7. 2. Modelo dinámico de ISOpara las TICs 7 En la ISO27032 se abordan riesgos y amenazas específicas de ciberseguridad: los ataques de ingeniería social. El acceso secreto y no autorizado a sistemas informáticos (Hacking); La proliferación de software malicioso (Malware); El software espía (Spyware); Otros tipos de software potencialmente no deseables (Ransomware). Amenazas Persistentes (APTs) Y propone controles: Controles a nivel de aplicaciones (SW seguro) Controles para la protección de Servidores (Hardening) Controles para usuario final (end-user) e ingeniería social Propone un marco para proveedores/clientes: Compartirinformación (colaboración segura y confiable, que también proteja la privacidad de las partes implicadas) Coordinación y gestión de incidentes (CERT y SOC).
  8. 8. La solución: el Modelo dinámico de ISOpara las TI SGCN ISO 22301 Sistema de Gestión Continuidad del Negocio. Nivel de Madurez. Ciclo de Vida de SW SPICE ISO 15504 Modelo de Evaluación, Mejora y Madurez de Software SGSI ISO 27001 Sistema de Gestión Seguridad de la Información SGSTI ISO 20000-1 Sistema de Gestión Servicios TI ISO20000-2 Guía de Buenas Prácticas Desarrollo de Software Operaciones /Servicios Adicionalmente: • SGSI – ENS - Esquema Nacional de Seguridad • Reglamento UE 910/2014 – Prestadores de Servicios de Confianza - eIDAS • BPCE – Buenas Prácticas Comercio Electrónico • SGSI – SCADA Copyright AENOR. Diciembre 2006 Objetivo: Gobierno y Gestión de las TICs con estándares ISO. Gobierno de TI ISO 38500 IT Governance 8 ISO 25000 Calidad del Producto Software Funciones del CIO Calidad y seguridad en servicios de TI (el día a día) La empresa y su continuidad según procesos críticos Nota: tiene PDCA / Control interno Tecnologías de Información DatacenterGreen. Sostenibilidad Energética en CPDs- SE CPD- ISO27002 Guía de Controles DEVOPSCreación de Software ISO12207 Ciclo de Vida de Desarrollo de Software NOTA: desde 2004 certificando SGSI/ISO 27001. +400 empresas certificadas
  9. 9. 2. RIESGOS DE LAS TICs Y SUS SOLUCIONES Solución a los Riesgos en el Modelo de ISO en las TICs 9
  10. 10. 10 2. RIESGOS DE LAS TICs Y SUS SOLUCIONES Solución a los Riesgos en el Modelo de ISOen las TICs
  11. 11. Copyright AENOR: Carlos Manuel Fdez.&BDelgado. Junio 2015 La solución: el Modelo dinámico de ISOpara las TI 11
  12. 12. AENORestáacreditadaporENAC en: -ISO 27001 (a nivelmundial) -PSC (Europa – ReglamentoU E 91 0/201 4 eIDAS), -Esquema Nacionalde Seguridad(España- RD 3/201 0) conformeaISO17021, ISO27006eISO17065 Es por ello que estamos en las mejores condiciones  para certificar RGPD y que por supuesto seremos entidad certificadora para el RGPD 2. Modelo dinámico de ISOpara las TICs 12
  13. 13. La gestión eficaz de la Seguridad de la Información permite a la organización preservarlas.  Re-ordenarla seguridad  Cumplimiento normativo-legal en Europa y LATAM(p.e. LOPDen España, Perú, México, etc.) DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD Asegurarque la información es accesible solo para aquellos autorizados a tener acceso. Garantizarla exactitud y completitud de la información y los métodos de su proceso Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. 13 3. SGSI - UNE ISO/IEC 27001:2014. DIMENSIONES DE SEGURIDAD
  14. 14. A.5 Política de Seguridad de Información A.6 Organización de la Seguridad de la información A.7 Seguridad en los RRHH A.8 Gestión de Activos A.9 Control de Accesos A.10 Criptografía A.11 Seguridad Física y ambiental A.12 Seguridad en las operaciones A.13 Seguridad en las comunicaciones A.14 Adquisición, desarrollo y mantenimiento de sistemas A15 Relación con proveedores A.16. Gestión de incidentes de seguridad A.17 Aspectos de Seguridad de la información dentro de continuidad de negocio A.18 Conformidad ISO IEC 27002 /Anexo A. ISO IEC 27001 P D Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Revisar internamente el SGSI Realizar auditorias internas del SGSI Indicadores y Métricas Revisión por Dirección Adoptar las acciones correctivas Adoptar las acciones preventivas 3. SGSI - UNE ISO/IEC 27001:2014. MODELO PDCA C A 14
  15. 15. PRINCIPIOS BASICOS (6) Se tienen en cuenta para las decisiones en materia de seguridad - Seguridad Integral - Gestión basada en riesgos - Prevención, reacción y recuperación - Líneas de defensa - Evaluación periódica - Función diferenciada REQUSITOS MINIMOS (15) Permitirán una protección adecuada de la información MEDIDAS DE SEGURIDAD (75) Se tendrán que cumplir dentro de los principios básicos y requisitos mínimos establecidos y serán proporcionales a: i)El tipo y nivel de la información gestionada ii)Las dimensiones de seguridad relevantes en el sistema a proteger iii)La categoría del sistema de información a proteger. Fuente: Como implantarun SGSI y su aplicación en el ENS. AENOREdiciones Real Decreto 3/2010. Regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Establecer la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Se crean las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Dimensiones de Seguridad en ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad 15 4. ENS – Elementos Principales
  16. 16. 5. ENS – Proceso de Adecuación Fuente:  En la disposición transitoria del Real Decreto 3/2010 se articula un mecanismo escalonado para la adecuación a lo previsto en el Esquema Nacional de Seguridad de manera que los sistemas de las administraciones deberán estar adecuados a este Esquema en unos plazos en ningún caso superiores a 48 meses desde la entrada en vigor del mismo. El plazo de adecuación ha vencido el 30 de enero de 2014.  El Real Decreto 951/2015, de 23 de octubre, de modificación del anterior RD establece que los sistemas deberán adecuarse a lo dispuesto en un plazo de veinticuatro meses (4 de noviembre de 2017). 16
  17. 17. Instrumentos para la adecuación (Guías CCN-STIC) Su Serie 800 establece las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el ENS y especialmente los siguientes documentos: 5. ENS – Proceso de Adecuación 17 • CCN-STIC 802 Guía de Auditoría • CCN-STIC 804 Guía de Implantación de medidas del ENS • CCN-STIC 808 Verificación cumplimiento medidas del ENS • CCN-STIC 815 Métricas e Indicadores • CCN-STIC 809 Declaración y Certificación Conformidad ENS. Distintivos Cumplimiento. • CCN-STIC 824 Informe Estado Seguridad • CCN-STIC 844 INES (Informe Nacional Estado de la Seguridad) • CCN-STIC 47XManual de uso PILAR PILAR: Herramienta para Análisis de Riesgos CLARA. Herramienta para cumplimento del ENS INES. Herramienta para el Informe del Estado de la Seguridad en el ENS Reciente publicación en el BOE: Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad (BOE 265 – 2-Nov-16) Instrucción Técnica de Seguridad (ITS) de Informe del Estado de la Seguridad. . (BOE 265 – 2-Nov-16)Fuente: https://www.ccn-cert.cni.es/ens/adecuacion.html
  18. 18. 5. ENS – Proceso de Adecuación 18 Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, porla que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad. CCN-CERT provee herramientas como INES (estado de la ciberseguridad) ó LUCIA (ciberincidentes)
  19. 19. 5. ENS – Proceso de Adecuación 19 Fuente: https://www.ccn- cert.cni.es/ens/ens.html CCN-STIC-804 – Guía de implantación de medidas Guía que establece unas pautas para la aplicación de medidas
  20. 20. CCN-STIC-830 – ENS. Ámbito de Aplicación Guía que permite conocer el ámbito subjetivo de aplicación (a quién se aplica el ENS) y el ámbito objetivo de aplicación (a qué se aplica el ENS). A quién se aplica el ENS (ámbito subjetivo) • ADMINISTRACIÓN GENERAL DEL ESTADO (AGE) • ADMINISTRACIÓN DE LAS COMUNIDADES AUTÓNOMAS • ADMINISTRACIÓN DE LAS ENTIDADES LOCALES • ENTIDADES DE DERECHO PÚBLICO PERTENECIENTES AL SECTOR PÚBLICOINSTITUCIONAL • ENTIDADES DE DERECHO PRIVADO PERTENECIENTES AL SECTOR PÚBLICO INSTITUCIONAL • ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LAS COMUNIDADES AUTÓNOMAS • ENTIDADES DE DERECHO PRIVADO VINCULADAS O DEPENDIENTES DE LA ADMINISTRACIÓN DE LAS ENTIDADES LOCALES • UNIVERSIDADES PÚBLICAS CORPORACIONES DE DERECHO PÚBLICO • AEAT, CNI Y BANCO DE ESPAÑA • ÓRGANOS CONSTITUCIONALES Y ÓRGANOS LEGISLATIVOS Y DE CONTROL • AUTONÓMICOS. • ENTIDADES DE DERECHO PRIVADO Y FUNDACIONES • SERVICIOS PRESTADOS POR EL SECTOR PRIVADO (Proveedores de servicios y soluciones tecnológicas) 5. ENS – Proceso de Adecuación 20 Fuente: CCN-STIC- 830 – Ámbito de
  21. 21. 5. ENS – Proceso de Adecuación  A qué se aplica el ENS (ámbito objetivo) Fuente: CCN-STIC- 830 – Ámbito de21
  22. 22. CCN-STIC-825 – ENS. Certificaciones ISO 27001 Guía que permite conocer como una certificación 27001 sirve de soporte al cumplimiento del ENS . 6. ENS - Interrelación con la ISO27001  El ENS contempla y exige la gestión continuada de la seguridad, para lo cual cabe aplicar un sistema de gestión de seguridad de la información. Quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2014 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del RD 3/2010 y en su caso, qué elementos adicionales son requeridos .  ENS – RD 3/2010 - Anexo II – 75 medidas (controles) de seguridad 22
  23. 23. MOTIVACION  ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos y es de aplicación obligatoria a todas las Administraciones Públicas y empresas privadas que provean servicios (ver Alcance) a las AAPP.  SGSI - ISO 27001 es un estándar internacional de aplicación voluntaria. Aceptación a nivel mundial (Es un “commodity”) ALCANCE ENS considera para sus alcances en el ámbito de las AAPP las Sedes electrónicas, Registros electrónicos, SSII accesibles electrónicamente por los ciudadanos, SSII para el ejercicio de los derechos, etc. Ver CCN-STIC-830 – ENS. Ámbito deAplicación  SGSI – ISO 27001. Alcance a los SSII que dan soporte a los procesos/servicios de la organización cuyo límite lo establece la propia organización. El alcancedelSGSI-ISO27001 incluirátodos los servicios ysistemas quetienenquecumplirconel ENS. 6. ENS - Interrelación con la ISO27001 23
  24. 24. DIMENSIONES DE LA SEGURIDAD  ENS añade las dimensiones de seguridad Autenticidad y Trazabilidad  SGSI - ISO27001: Confidencialidad, Integridad y Disponibilidad. CATEGORIZACION Y ANÁLISIS DE RIESGOS  ENS requiere un proceso de categorización (Anexo I) y una serie mínima de medidas de seguridad (Anexo II) que son obligatorias u opcionales en función de la categoría del sistema. La máxima libertad que se concede es que la entidad/organismo demuestre que ha implantado medidas alternativas que alcanzan el mismo nivel de protección. La realización del análisis de riesgos servirá para precisar las medidas de seguridad teniendo en cuenta la categoría del sistema (Básico, Medio, Alto) a la vez que su resultado determinará la necesidad implantar o no medidas adicionales.  SGSI-ISO 27001 el proceso de evaluación de riesgos determina que controles se aplican y cuales no a los sistemas de información que dan soporte a los procesos de negocio/servicios definidos en el alcance 6. ENS - Interrelación con la ISO27001 24
  25. 25. Roles ENS Roles ISO 27001 Responsable de la Información Propietario del Riesgo Responsable del servicio Responsable de seguridad Responsable de Seguridad Responsable del sistema Responsable del sistema 6. ENS - Interrelación con la ISO27001 ENS Requisito UNE-ISO/IEC 27001 Art. 11 Política de seguridad 5.2 Art. 12 Compromiso de la dirección 5.1 Art. 13.1 Evaluación de riesgos 6.1.2 Art. 13.2 Art. 13.3 Gestión de riesgos 6.1.3 Art. 27.1 Declaración de aplicabilidad 6.1.3 Art. 14 - 15 Formación 7.2 - 7.3 Art. 34.1 Auditorías 9.2 Art. 26 Mejora continua 10.2 MARCO ORGANIZATIVO CORRESPONDENCIA PRINCIPALES REQUISITOS 25 Fuente: Como implantarun SGSI y su aplicación en el ENS. AENOREdiciones
  26. 26. Medidas de seguridad (controles) de ENS sin reflejo en ISO 27002 Componentes certificados op.pl.5 Componentes certificados Control de Acceso op.acc.5 Mecanismo de autenticación (alternativamente se podrían considerar ISO 27002) 9.2.4 - G estión de la información secreta de autenticación de usuarios 9.3.1 - U so de la información secreta de autenticación 9.4.3 - G estión de las contraseñas de usuario Explotación op.exp.2 Configuración de seguridad op.exp.3 Gestión de la configuración 6. ENS - Interrelación con la ISO27001 Protección de la Información: mp.info.4 Firma electrónica (alternativamente se podrían considerarISO 27002) 1 0.1 .1 - Política de uso de los controles criptográficos 1 4.1 .3 - Protección de las transacciones 1 8.1 .5 - Regulación de los controles criptográficos mp.info.5 Sellos de tiempo (alternativamente se podrían considerarISO 27002) 14.1.3 - Protección de las transacciones mp.info.6 Limpieza de documentos Protección de los servicios mp.s.2 Protección de servicios y aplicaciones web mp.s.8 Protección frente a la denegación de servicio 26
  27. 27. Auditoría de Certificación de Conformidad según ISO170 AENORprimera entidad acreditada para ENS Fuente: www.ccn-cert.cni.es/ens 27
  28. 28. Auditorías de Conformidad con el ENS El Art. 34 del ENS : Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. El Anexo III – Auditoria de Seguridad: La seguridad de los sistemas de información de una organización será auditada en los siguientes términos: a) Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. b) Que existen procedimientos para resolución de conflictos entre dichos responsables. c) Que se han designado personas para dichos roles a la luz del principio de "separación de funciones". d) Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. e) Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regularde aprobación porla dirección. Pendiente de publicación la ITS de Auditoria de Seguridad en el BOE 7. ENS - Auditoria de Certificación de Conformidad ENS 28
  29. 29.  Registro de la conformidad con todos los requisitos auditados (evidencias de conformidad y no conformidad)  C C N-STIC -802. Auditoría delENS  C C N-STIC 808. Verificación delcumplimientomedidas ENS.  No hay ciclo de certificación. (son bienales)  Las auditorías son evaluaciones puntuales.  Obligatorio Cat. Media y Alta. Autoeval. Basica  AENORemite certificados con estos criterios/formato ISO17065 – Certificación de Productos y Servicios Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. (BOE 265 – 2-Nov-16), y complementariamente con CCN-STIC- 809 – Declaración y C ertificación de conformidadcon elENS y eldistintivo de cumplimiento. 7. Auditoría de Certificación de Conformidad ENS según ISO 17065 29
  30. 30. 7. Auditoría de Certificación de Conformidad ENS según ISO 17065 FASE 2: REALIZACIÓN DE LA AUDITORÍA (presencial) ELABORACIÓN DEL PLAN DE ACCIONES CORRECTIVAS - PAC FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN CUESTIONARIO PRELIMINARY SOLICITUD REGISTRARLOS RESULTADOS CONCESIÓN DEL CERTIFICADO AUDITORÍAS DE RENOVACION (BIENAL) AENOR Auditoría de Certificación de Conformidad ENS (utilizando ISO17065) Auditoríasdemantenimiento delacertificación Informe de Evaluación y Decisión Informe fase 1 Hoja de datos Alcance y Categoriz. “… de acuerdo a la cat. sist. vigente” Informe final 30
  31. 31. PROCESO DE AUDITORIA DE CONFORMIDAD Se utiliza de base la Guía CCN-STIC 802 y la Guía CCN-STIC 808 FASE 1 Estudio de Documentación - 1.- política de seguridad - 2.- Organigrama de los servicios o áreas afectadas - 3.- Descripción detallada del sistema de información - Categoría del sistema según el Anexo I - La Declaración de Aplicabilidad 7. ENS - Auditoria de Certificación de Conformidad ENS 31 FASE 2  Revisión de los artículos Anexos I y II RD 3/2010  Análisis y Gestión de Riesgos  Categorización del sistema  Declaración de Aplicabilidad Revisión de las medidas según la categorización del sistema El marco organizativo y la segregación de funciones El marco operacional (Planificación, Control de Accesos, Explotación, Servicios Externos, Continuidad del Servicio, y Monitorización del Sistema) Las medidas de protección (Protección de las instalaciones e infraestructuras, Gestión del personal, Protección de equipos, de las comunicaciones, de los soportes de información, de las aplicaciones informáticas, de la información, y de los servicios). Informe de auditoria Con un resumen de los aspectos auditados, se presenta al Responsable del sistema y Responsable de seguridad y se realiza un dictamen final: FAVORABLE, FAVORABLE CON NO CONFORMIDADES o DESFAVORABLE Además de identifican las desviaciones detectadas
  32. 32. Evaluación y Decisión Manteniendo una estructura que permita independencia e imparcialidad, en la toma de decisiones para la concesión o no de una certificación se establecen tres niveles: 7. Proceso de Certificación en ENS Auditor Jefe Gerente TICs - Comité TRE (Técnico Responsable Expediente) Revisión de Propuesta (Concesión /no concesión) Decisión (Concesión /no concesión) Propuesta (Concesión /no concesión) 32
  33. 33. Auditorías conjuntas ISO27001 + ENS CCN-STIC-825, ENS. CERTIFICACIONES 27001. Objetivo: relación del ENS con ISO/IEC 27001/27002 La selección de controles para realizar las pruebas de cumplimiento se realizan en base a la categorización establecida para el sistema/servicio. La revisión se realiza de forma integrada en aquellos controles con objetivos comunes, de acuerdo a la declaración de aplicabilidad, y de forma específica sobre aquellos controles del ENS no contemplados en UNE-ISO/IEC 27001:2014. ENS - Los sistemas de información ó servicios del alcance siempre de acuerdo a la categorización del sistema vigente. SGSI-ISO 27001 - Los sistemas de información que dan soporte a los procesos de negocio/servicios del alcance de acuerdo a declaración de aplicabilidad vigente. AENOR desde 2013: ha emitido más de 10 certificaciones de conformidad a Administraciones Públicas o entidades. (Junta de Comunidades de Castilla-La Mancha; Consejo General de la Abogacía; KIO Networks; Hospital del Perpetuo Socorro; SIGNE S.A, etc.) AENORprimera entidad certificadora acreditada porENAC para ISO27001 y ENS 7. ENS - Auditoria de Certificación de Conformidad ENS - Pilotos 33
  34. 34. Contacto público para consultas del ENS y Guía de Preguntas Frecuentes •Ministerio de Hacienda y Administraciones Públicas •Centro Criptológico Nacional 7. HERRAMIENTAS Y CONSULTAS ENS 34 Fuente: www.ccn-cert.cni.es/ens Fuente:
  35. 35. 8. Testimoniales del Modelo de AENOR “Tenemos un análisis de riesgos totalmente adaptadoa nuestras necesidades” Luís Lopes Director Técnico CESCE Soluçoes Informatica. Portugal del Grupo SIA España ISO27001 ISO20000- 1 Luis Manuel Ortiz Director Comercial TI América. México “La certificación garantiza a los clientes que nuestros servicios se rigen porlas mejores prácticas” Maximino Álvarez Director General Xtream . España SPICE-ISO15504/ISO 12207 “Base de nuestrocrecimiento internacional” ISO22301 Cristo M. Pérez Rosquete Área de Seguridad Informática Sanitas. España “Para continuarcuidando” Luis Montalban CEO BITWARE. España ISO15504 + ISO25000 “La aplicación conjunta de ISO 1 5504 e ISO 25000 ha supuestouna mejora en la productividady un ahorrode costes en el mantenimientodel60% en el software ENS Carlos Carnicer Presidente Consejo General de la Abogacía Española “Los ciudadanos pueden confiar en que sus datos se gestionan con garantías de seguridad“ 35
  36. 36. 8. HERRAMIENTAS: Bibliografía AENORTICs 36
  37. 37. SOSURVEY 2015 – ESPAÑA en el TOPTEN (ISO27001 e ISO2000
  38. 38. “Mejora Continua: Protección adecuada de la información en Ciberseguridad”. En conclusión: ¿Dormirá tranquilo el/la CIO? 38 Muchas gracias porsu atención AENORINTERNACIONAL SAU DELEGACION DE ANDALUCIA Torre Sevilla Gonzalo Jiménez de Quesada 2 - 4° planta 41092 Sevilla Tel. 955 648 656 aenorandalucia@aenor.com Boris DELGADO. CISA, CISM Gerente de TICs . AENOR bdelgado@aenor.com

×