Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD. Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas Master en Tecnología e Innovación Digital en Ingeniería

1. 1
MÓDULO 7 Ciberseguridad y Protección de
Infraestructuras Críticas
Modelo de Gobernanza de la
Ciberseguridad en España
23.10.2020
Miguel A.Amutio Gómez
Secretaría General de
Administración Digital
Módulo 7: Ciberseguridad y
Protección de Infraestructuras
Críticas

2. 2
Se agudiza la dependencia de la tecnología,
mayor:
 complejidad
 interdependencia
 superficie de exposición a
ciberamenazas y a fallos.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socaban la confianza en el
uso de las tecnologías.
La transformación digital ha de ir acompasada
con la correspondiente robustez en
ciberseguridad.
Photo by Tim Marshall on Unsplash
Digitalización acelerada
con impacto global:
 Organizaciones, públicas y privadas,
en sus productos, procesos y servicios
 Personas, como ciudadanos,
profesionales, estudiantes…
Transforma nuestros medios, hábitos y
expectativas de:
 Trabajo
 Educación / Formación
 Ocio
 Entretenimiento
 Consumo
 Interacción social
 Genera hiperconectividad

3. 3

4. 4
+ Contexto de valores compartidos y
derechos fundamentales de nuestra sociedad.Photo by Miguel A. Amutio on Unsplash
Transformación digital
Perspectiva global
Dinámica permanente

5. 5
Coordinar
El conjunto de procesos, costumbres, políticas, leyes e
instituciones que afectan a cómo se dirige, administra
o controla una ‘empresa’.
También incluye las relaciones entre los muchos
agentes implicados en ellas.
Dirigir y concertar varios elementos.
Obrar juntamente con otro u
otros para la consecución de un fin común.
Trabajar con otra u otras
personas en la realización de
una obra.
Cooperar
Colaborar
Fuente: DRAE
Gobernanza
Fuente: Wikipedia

6. 6
Administración Digital
Órganos de Gobernanza y
cooperación en la AGE de las
AA.PP.
Administración Digital
Órganos de Gobernanza y
cooperación en la AGE de las
AA.PP.
Centro de Operaciones de
Ciberseguridad de la AGE
Centro de Operaciones de
Ciberseguridad de la AGE
RD-L 12/2018 TÍTULO III
Marco estratégico e institucional
RD-L 12/2018 TÍTULO III
Marco estratégico e institucional
CoCENSCoCENS

7. 7
Estrategia Nacional de Ciberseguridad 2019

8. 8
Dirección, coordinación y ejecución de las
competencias en materia de transformación
digital de la administración, incluyendo el
desarrollo técnico y aplicación de las
Leyes 39/2015 y 40/2015.
Secretaría General de
Administración Digital
(SGAD)
Le corresponden (RD 403/2020):
a) La dirección técnica y estratégica del Centro de
Operaciones de Ciberseguridad de la AGE y sus
OOPP.
b) El desarrollo y aplicación de lo dispuesto en el
RD 3/2010 ENS y sus InstruccionesTécnicas de
Seguridad.
…definición de estándares, de directrices técnicas y de
gobierno TIC, de normas de seguridad de aplicación a las
AAPP y realización de propuestas e interlocución con el
CCN en el desarrollo de guías de seguridad.
División de Planificación y
Coordinación de
CiberseguridadDivisión de Planificación y
Coordinación de
Ciberseguridad
SECRETARÍA DE ESTADO DE
DIGITALIZACIÓN E
INTELIGENCIA ARTIFICIAL

9. 9
Esfuerzo colectivo continuado en el tiempo

10. 10
+ InstruccionesTécnicas de Seguridad
Esquema Nacional de Seguridad
Liderazgo de SGAD + CCN

11. 11
ENS, ámbito de aplicación
E indirectamente, las entidades del Sector Privado que colaboren con entidades del Sector
Público en la prestación de servicios públicos que involucren el tratamiento de datos personales.

12. 12
Esquema Nacional de Seguridad

13. 13
Cooperación y gobernanza
Administración General del Estado
Gobernanza y Cooperación en TIC
RD 806/2014
Grupos de trabajo (…de ENI y ENS)
Comisión Sectorial de
Administración Electrónica
Ley 40/2015, d.a. 9ª
AGE, CCAA, FEMP, CRUE
Grupos de trabajo (… de Seguridad)
CIO
(SGAD)
a) Asegurar la compatibilidad e
interoperabilidad de los
sistemas
b) Impulsar el desarrollo de la
administración electrónica en
España.
c) Asegurar la cooperación para
proporcionar información
administrativa clara,
actualizada e inequívoca.
Photo by Pawel Chu on Unsplash

14. 14Photo by Pawel Chu on Unsplash
Consejo de Certificación del ENS (CoCENS)
Constituido en 2018
Preside: CCN
Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas
Misión: Velar por la adecuada implantación de la Certificación del ENS
 Alentar los procesos de Certificación de la Conformidad con el ENS
 Proponer Buenas Prácticas en materia de Certificación de la Conformidad con el ENS.
 Asesorar a las partes implicadas respecto a la Certificación de la Conformidad con el ENS.
 Informar a sus Departamentos constituyentes y al CNCS sobre el grado de implantación de la
certificación de conformidad con el ENS

15. 15
La seguridad como un proceso
integral (art. 5)
1. La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos,
humanos, materiales y organizativos,
relacionados con el sistema. La aplicación del
ENS estará presidida por este principio, que excluye
cualquier actuación puntual o tratamiento coyuntural.
2. Se prestará la máxima atención a la concienciación de
las personas que intervienen en el proceso y a
sus responsables jerárquicos, para que, ni la
ignorancia, ni la falta de organización y coordinación, ni
instrucciones inadecuadas, sean fuentes de riesgo para la
seguridad.

16. 16
Todos los órganos superiores de las AA.PP. deberán
disponer formalmente de su política de
seguridad que articule la gestión
continuada de la seguridad, que será aprobada
por el titular del órgano superior correspondiente, en
base a los principios básicos y aplicando los requisitos
mínimos para una protección adecuada de la información.
Política de seguridad y cumplimiento
de requisitos mínimos (art. 11)

17. 17
delegado de
protección de datos
Responsable de la seguridad ≠ Responsable del sistema
Determinar quién es responsable de qué debe adecuarse a las particularidades de
cada organización.
Difícil establecer una regla única para todas las entidades
Se señalan responsabilidades:en algunos sitios serán más formales (se limita a
firmar) y en otros serán más operacionales (se involucra activamente).
Roles y personas
Función – Dotación – Posición en la organización

18. 18
Evaluar el estado de la seguridad
Informe INES 2019
 En 2019, 1.080 organismos han cargado sus
datos en INÉS.
 Se han evaluado más de 22.000 sistemas,
que dan servicio a 16.126.630 usuarios.
 Con carácter general, el nivel de
cumplimiento global que debería ser del
100%, es todavía mejorable
 Situándose en un 67,56% en sistemas de
categoría MEDIA.
 Y en un 63,27% en sistemas de categoría
ALTA.
 En sistemas de categoría BÁSICA se sitúa
en un 84%, un resultado alto.

19. 19
Evaluar el estado de la seguridad
Informe INES 2019 – Marco organizativo
 Según aumenta la categoría de los sistemas aumenta el grado de cumplimiento del marco organizativo.
 Los organismos con sistemas de categoría ALTA son los que mejores niveles de cumplimiento ofrecen, a nivel general y
de cada medida de seguridad.
 La política de seguridad es la medida organizativa que más se cumple, mientras que el resto presenta niveles de
cumplimiento medios.
 Destaca negativamente el nivel de cumplimiento de los organismos con sistemas de categoría BÁSICA en relación a las
normativas de seguridad.

20. 20

21. 21
MÓDULO 7 Ciberseguridad y Protección de
Infraestructuras Críticas
Modelo de Gobernanza de la
Ciberseguridad en España
Muchas gracias
Miguel A.Amutio Gómez
Secretaría General de
Administración Digital
Módulo 7: Ciberseguridad y
Protección de Infraestructuras
Críticas