El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC en La Laguna.

1. El nuevo Esquema Nacional
de Seguridad
20 de mayo de 2022
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad

2. Transformación digital
Perspectiva global - Dinámica permanente
+ Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las
leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
Mayor dependencia de la tecnología:
complejidad
interdependencia
 se incrementa la superficie de
exposición a ciberamenazas.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con la robustez en
ciberseguridad.
Digitalización acelerada…
con ciberseguridad

3. La información y los datos
en el punto de mira de los ciberataques
Orientados a la información
 Con sustracción (con o sin revelación)
 Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
 Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
 Con quiebra de la disponibilidad de los servicios, ( y de acceso a la información)
Combinación de los anteriores
Impacto
 Ejercicio de derechos y libertades; cumplimiento de deberes.
 Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía.
 Esfuerzo de recuperación ante incidentes.
 Reputacional. Photo by Philipp Katzenberger on Unsplash

4. La seguridad, el largo camino…
Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
Fuente: Miguel A.Amutio

5. CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Catálogo CPSTIC
Administración Digital
Órganos de Gobernanza
y cooperación en la
AGE de las AA.PP.
Enfoque global
Liderazgo conjunto:
Contexto de
Gobernanza
Ciberseguridad
Nacional
Fuente: Miguel A. Amutio

6. Desarrollo
Conformidad Monitorización Informe INES
-
Soporte
Base legal Ámbito de aplicación
Sector Público
Información
clasificada
4 ITS publicadas
Real Decreto 3/2010
Actualizado en 2015
Real Decreto 311/2022
Anclado en leyes
40/2015 y 39/2015
 Informe estado de
a seguridad
 Conformidad con el ENS
 Auditoría
 Notificación de incidentes
Acreditación con ENAC
 Certificadores
acreditados por ENAC
 Entidades certificadas
(públicas/privadas)
 Consejo de
Certificación del ENS
(CoCENS)
 >90 guías CCN-STIC Serie 800
-
 23 Soluciones de
ciberseguridad
Referente
 8 ediciones del informe INES
 Ley Orgánica 3/2018
 Real Decreto 43/2021

+ Instrucciones
Técnicas de Seguridad

Proveedores
Esfuerzo colectivo, multidisciplinar,
sostenido en el tiempo + liderazgo conjunto de



7. Por qué era necesaria
la actualización
Photo by Annie Spratt on Unsplash Fuente: Infografías ENS

8. Impulso tractor de la actualización
ACM sobre medidas urgentes
en materia de ciberseguridad
(25.05.2021)
LA 2 – Medida 3 Reformas
normativas – 9.3

9. Cuáles son los objetivos
de la actualización
Photo by Annie Spratt on Unsplash
1. Mejorar y alinear el ENS con el nuevo marco legal y
estratégico para facilitar la seguridad de la
administración digital
2. Introducir la capacidad de ajustar los requisitos del ENS
para una aplicación más eficaz y eficiente
3. Revisar de forma pormenorizada principios, requisitos y
medidas para facilitar la adaptación a tendencias y
necesidades en ciberseguridad
4. Aplicar un nuevo sistema de codificación de los
requisitos de las medidas de seguridad y de sus
refuerzos para facilitar su aplicación y la conformidad

10. 1. Principios básicos, que sirven de guía. (arts. 5 – 11)
2. Requisitos mínimos, de obligado cumplimiento. (arts. 12 – 27)
3. Categorización de los sistemas para la adopción de medidas de
seguridad proporcionadas. (arts. 28, 40, 41,A-I y A-II)
4. Uso de productos certificados. Papel del Organismo de Certificación (OC-
CCN) (art. 19 y A-II)
5. Uso de infraestructuras y servicios comunes (art. 29)
6. Los perfiles de cumplimiento específicos (art. 30)
7. La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31)
8. Informe del estado de la seguridad (art. 32)
9. Respuesta a incidentes de seguridad (arts. 33 y 34)
10. La conformidad con el ENS (art. 38)
11. La formación (D.a. 1ª)
12. Las instrucciones técnicas de seguridad (D.a. 2ª)
13. Las guías de seguridad (D.a. 2ª)
RD 311/2022 - Panorámica
Fuente: Infografías ENS
Disposición transitoria única:
Adecuación de sistemas -> 24 meses

11. Todo el sector público según artículo 2 de la Ley 40/2015.
 Sistemas que tratan información clasificada.
 Entidades del sector privado cuando presten servicios o
provean soluciones.
 Referencia a que los pliegos de prescripciones recojan los
requisitos de conformidad con el ENS.
 Referencia a los sistemas que traten datos personales.
 Referencia a la instalación, despliegue, explotación de redes 5G
o prestación de servicios 5G por entidades del sector público.
Grandes novedades
El ámbito de aplicación
Photo by Marvin Meyer on Unsplash

12. Comprenderán aquel conjunto de medidas de
seguridad que resultando del preceptivo análisis de
riesgos, resulten idóneas para una concreta categoría de
seguridad.
Persiguen introducir la capacidad de ajustar los
requisitos del ENS a necesidades específicas de
determinados
Colectivos: Entidades Locales, Universidades, Organismos
Pagadores, …
Ámbitos tecnológicos: servicios en la nube, …
Photo by Alex Perez on Unsplash
Grandes novedades
Perfiles de cumplimiento específico
Photo bClaudio Schwarz | @purzlbaum on Unsplash

13. Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad.
Las organizaciones del sector privado que presten servicios a las entidades
públicas notificarán al INCIBE-CERT quien lo pondrá inmediatamente en
conocimiento del CCN-CERT.
El CCN-CERT determinará técnicamente el riesgo de reconexión de
sistemas afectados, indicando procedimientos a seguir y salvaguardas a
implementar.
La SGAD autorizará la reconexión a los medios y servicios comunes
comprendidos bajo su ámbito de responsabilidad, incluidos los compartidos o
transversales, si un informe de superficie de exposición del CCN-CERT
hubiere determinado que el riesgo es asumible.
Papel de otros actores: Coordinación con el Ministerio del Interior a través de
la OCC (RD-l 12/2018); ESPDEF-CERT; IGAE.
Grandes novedades
Respuesta a incidentes de ciberseguridad
Photo by Hack Capital on Unsplash

14. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de principios y requisitos
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash

15. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash

16. Photo by Alex Perez on Unsplash
Grandes novedades
Revisión de medidas de seguridad
Fuente: Infografías ENS
Photo by You X Ventures on Unsplash

17. Photo by Alex Perez on Unsplash
Grandes novedades
Codificación de requisitos y refuerzos
Más adecuado, para facilitar de manera proporcionada la seguridad de
los sistemas de información, su implantación y su auditoría.
Se han codificado los requisitos de las medidas
• Requisitos base
• Posibles refuerzos de seguridad (R), alineados con el nivel de
seguridad perseguido, que se suman (+) a los requisitos base de la
medida, pero que no siempre son incrementales entre sí; de
forma que, en ciertos casos, se puede elegir entre aplicar un
refuerzo u otro.
Photo by You X Ventures on Unsplash

18. Pero hay que seguir atentos a los detalles…

19. Deficiencias detectadas en Informe INES y por CCN-CERT:
 Mecanismos de autenticación [op.acc.5 / op.acc.6] sin uso de doble factor.
 Protección frente a código dañino [op.exp.6] no implantada.
 Mantenimiento [op.exp.4]: sistemas obsoletos, sin actualizaciones de seguridad.
 Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]
con insuficiencias.
 Protección de servicios y aplicaciones web [mp.s.2] insuficiente.
 Perímetro seguro [mp.com.1] no aplicado.
 Segregación de redes [mp.com.4] no aplicado.
 Detección de intrusión [op.mon.1] no aplicado.
 Copias de seguridad [mp.info.9], especialmente fuera de línea no aplicado.
 Concienciación [mp.per.3] y formación [mp.per.4] insuficientes.
+ Insuficiencias en protocolos de actuación ante ciberincidentes.
Qué encuentran los equipos del CCN-CERT
en la investigación de incidentes
Photo by You X Ventures on Unsplash

20. 1. Que seáis partícipes y agentes de la
ciberseguridad, para llevarla a la realidad práctica.
2. Si trabajáis para el Sector Público (directa o
indirectamente), vuestra colaboración para la
plena aplicación del ENS.
3. En cualquier caso, que tengáis presente en
vuestros proyectos el caudal de recursos
que os aporta el ENS.
Photo by Paul Rysz on Unsplash
Qué esperamos
por vuestra parte

22. Muchas gracias
20 de mayo de 2022
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad