SlideShare a Scribd company logo

CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"

Consorci Administració Oberta de Catalunya
Consorci Administració Oberta de Catalunya

Valentín Faura | Director | Risk Advisory Services Roger Pérez | Sènior Manager | Risk Advisory Services

Presentations & Public Speaking
1 of 13
Download to read offline
Com mitigar els riscos de Ciberseguretat? L'Esquema Nacional de Seguretat. Valentí Faura Roger Pérez #GovernDigital
Ciberseguretat, Ciberiscos, ciberamenaces, res de nou o no? Seguretat de la Informació Ciberseguretat A ast Li itat Bunker Món Interconnectat Atacant solitari i oportunista Atacant organitzat, finançat i dirigit Estratègia global de protecció d'actius Prioritat als actius crítics Protegir el perímetre. Reactiu Monitorització. Preventiu Aquí no ha passat res Comunicació i Col·laboració
Ciberamenaces ¿Què ens depararà l'any 2018? Parlant de ciberseguretat i atacs informàtics, no és fàcil predir-ho.
Quin model de prevenció podem establir enfront als ciberatacs? Basant-nos en els principis de la seguretat, vigilància i resiliència: Polítiques i Procediments de Seguretat actualitzats, divulgats i seguits. Analitzar i Gestionar els Riscos de Ciberseguretat. Establir un Framework de control de Seguretat. Formar i Conscienciar als empleats. Realitzar Auditories de Seguretat. Realitza la Dete ió i Gestió d’esdeve i e ts de Segu etat. Disposa d’u e uip de Resposta dava t I id ies. Realitza u Segui e t i avalua ió o tí ua d’a e a es i vulnerabilitats.
És la Certificació ENS una solució davant dels ciberiscos? Marc de Control que cobreix tots els àmbits de ciberseguretat. Guies i Instruccions tècniques de seguretat del CCN adaptades a les ciberamenaces. Framework de seguretat fet per l'Administració publica per a l'administració publica. I per cert no oblidar que la Certificació és obligatòria.
ENS: Antecedents ¿Desde cuando? El ENS es aplicable:  A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración local, así como las entidades de derecho público vinculadas o dependientes de éstas.  Proveedores que prestan servicios tecnológicos a las Administraciones Públicas.  A los ciudadanos en sus relaciones con las administraciones públicas  En las relaciones entre las diferentes administraciones públicas. 22 Junio de 2007: Ley 11/2007 8 Enero de 2010: RD 3 2010 2010 2011 2012 2013 2014 8 Enero de 2011. Requisito obligatorio: Plan de adecuación al ENS 23 Octubre de 2017. Requisito obligatorio: Adecuación al RD 951/2015 2015 2016 2017 8 Enero de 2014. Requisito obligatorio: Plena implantación del ENS 23 Octubre de 2015: RD 951/2015 ¿A quién va dirigido?  El 31 de Diciembre del 2009 se hace pública la ley.  Entrando en vigor el 8 de Enero de 2010 mediante el Real Decreto 3 2010.  Los sistemas existentes a la entrada en vigor de este Real Decreto, dispondrán de 12 meses para adecuarse a los requerimientos de seguridad.  Los nuevos sistemas aplicarán lo establecido en este real decreto desde la concepción.  Si a los 12 meses de la entrada en vigor hay circunstancias que impidan la plena aplicación de lo que exigen, se dispondrá de un plan de adecuación que marque los plazos de adecuación, los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.  El 23 de Octubre de 2017 será obligatorio el cumplimiento de las modificaciones establecidas por el RD 951/2015
Mesures de Seguretat de l’ENS MESURES DE SEGURETAT Marc Organitzatiu  Política de seguretat  Normativa de seguretat  Procediments de seguretat  Procés d'autorització Marc Operacional  Planificació  Control d'accés  Explotació serveis externs  Continuïtat del servei  Monitorització del sistema Marc de Protecció  Protecció d’instal·lacions  Gestió del personal  Protecció dels equips  Protecció de comunicacions  Protecció de suports  Protecció d'aplicacions  Protecció de la informació  Protecció dels serveis 4 31 40 75 TOTAL MESURES Les mesures de seguretat a implementar es classifiquen en els següents 3 grups diferenciats:
Guies i Instruccions Tècniques de seguretat Guies: la Sèrie CCN-STIC-800 estableix les polítiques i procediments adequats per a la implementació de les mesures contemplades en l'ENS. • CCN-STIC-817 Gestión de Ciberincidentes. • CCN-STIC-823 Seguridad en entornos Cloud. • CCN-STIC-820 Protección contra DoS. Instruccions tècniques de seguretat: instruccions d'obligat compliment, essencials per aconseguir una adequada i homogènia implantació dels requisits i mesures recollides en l'ENS. • Informe del Estado de la Seguridad • Conformidad con el Esquema Nacional de Seguridad • Auditoría de la seguridad de los sistemas de información . • Notificación de incidentes de seguridad • CCN-STIC-831 Registro de la actividad de los usuarios. • CCN-STIC-807 Criptología de empleo en el ENS. • CCN-STIC-812 Seguridad en servicios web.
Controls de l'ENS en la pràctica Accessos Seguretat Protecció Perímetre Xifrat • Gestió usuaris privilegiats • Logs (SIEM) • Doble Factor d’ Autenticació • Firewall en cascada i de diferents proveïdors • Segmentació xarxa • IDS/IPS • Comunicacions • Dispositius • Dades Govern • Política i procediments • Formació i conscienciació • Indicadors de Seguretat • Bastionat • Desenvolupament segur • Test d’intrusió/ anàlisi de vulnerabilitats • Incidents de Seguretat • Prevenció Malware • Components certificats • Correu electrònic • Serveis Webs
Procés de certificació
Beneficis de la Certificació de l’ENS Beneficis certificació Administració Pública Beneficis certificació Proveïdors de serveis IT • Complir amb el RD 3/2010. • Donar confiança a les administracions públiques • Poder optar a concursos públics. • Avantatge competitiu respecte a altres proveïdors. • Complir amb altres disposicions legals. • Complir amb el RD 3/2010. • Satisfer requeriments i donar confiança a usuaris i altres organismes. • Complir amb altres disposicions legals. • Permetre millorar de forma contínua la seguretat dels seus sistemes.
Conclusions i reptes El epte de l’ENS s i pulsa la gestió o ti uada i el t a ta e t homogeni dels riscos de ciberseguretat. L'AEPD ha publicat que les mesures de seguretat a establir per complir el RGPD -en el cas de les AAPP- estaran marcades pels criteris establerts en l'Esquema Nacional de Seguretat. La Certificació ENS es el camí per la ciberseguretat.
Agafa l’o ada del canvi ORGANITZA COL·LABORA #GovernDigital Gràcies, ;-) governdigital.cat Valentín Faura Director RAS BDO +34 639 337 722 valentin.faura@bdo.es @GovernDigital valentin.faura@bdo.es roger.perez@bdo.es

Recommended

Jordi Batlle
Jordi BatlleJordi Batlle
Jordi BatlleJSe
 
Seguretat
SeguretatSeguretat
SeguretatFèlix Sacristan Solano
 
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Associació Catalana d'Entitats de Salut
 
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...UOC Estudios de Informática, Multimedia y Telecomunicación
 
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...CSUC - Consorci de Serveis Universitaris de Catalunya
 
(CESICAT) Centre de Seguretat de la Informació de Catalunya
(CESICAT) Centre de Seguretat de la Informació de Catalunya(CESICAT) Centre de Seguretat de la Informació de Catalunya
(CESICAT) Centre de Seguretat de la Informació de CatalunyaCESICAT
 
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"Congrés Govern Digital
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 

Recommended

Jordi Batlle
Jordi BatlleJordi Batlle
Jordi BatlleJSe
 
Seguretat
SeguretatSeguretat
SeguretatFèlix Sacristan Solano
 
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...
Jornada #ACESTIC2013 BBTech Solucions para protección datos pacientes Sr Jord...Associació Catalana d'Entitats de Salut
 
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...
Màster Universitari de Ciberseguretat i Privadesa - Guia general per a nous e...UOC Estudios de Informática, Multimedia y Telecomunicación
 
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...
Ciberseguridad y compliance: mapa de riesgos y estrategias de prevención y re...CSUC - Consorci de Serveis Universitaris de Catalunya
 
(CESICAT) Centre de Seguretat de la Informació de Catalunya
(CESICAT) Centre de Seguretat de la Informació de Catalunya(CESICAT) Centre de Seguretat de la Informació de Catalunya
(CESICAT) Centre de Seguretat de la Informació de CatalunyaCESICAT
 
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"
CGD2021 - "Ciberatacs, una amenaça molt real i propera: com ens podem protegir?"Congrés Govern Digital
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Joan Soler Jiménez
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoRadar Información y Conocimiento
 
Presentació CESICAT
Presentació CESICATPresentació CESICAT
Presentació CESICATXarxa Punt TIC
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
Presentacio Cesicat
Presentacio CesicatPresentacio Cesicat
Presentacio CesicatXarxa Punt TIC
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Gestió del risc en la activitat universitària
Gestió del risc en la activitat universitàriaGestió del risc en la activitat universitària
Gestió del risc en la activitat universitàriaCSUC - Consorci de Serveis Universitaris de Catalunya
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...Meritxell Pineda
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Fòrum Català d’Informació i Salut
 
El blockchain a Catalunya
El blockchain a CatalunyaEl blockchain a Catalunya
El blockchain a CatalunyaAgència per a la Competitivitat de l'empresa - ACCIÓ
 
Acord marc europeu sobre digitalització.pdf
Acord marc europeu sobre digitalització.pdfAcord marc europeu sobre digitalització.pdf
Acord marc europeu sobre digitalització.pdfUniversidad Autónoma de Barcelona
 
Campanya #NegoCiberSegur
Campanya #NegoCiberSegurCampanya #NegoCiberSegur
Campanya #NegoCiberSegurXarxa Punt TIC
 
Ismael Cerdà
Ismael CerdàIsmael Cerdà
Ismael CerdàJSe
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretatjoanbajb
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesTICAnoia
 
"Anàlisi i processament de dades obtingudes en mobilitat a Sitges"
"Anàlisi i processament de dades obtingudes en mobilitat a Sitges""Anàlisi i processament de dades obtingudes en mobilitat a Sitges"
"Anàlisi i processament de dades obtingudes en mobilitat a Sitges"Consorci Administració Oberta de Catalunya
 
"Les dues cares de les dades obertes: generadors i usuaris"
"Les dues cares de les dades obertes: generadors i usuaris""Les dues cares de les dades obertes: generadors i usuaris"
"Les dues cares de les dades obertes: generadors i usuaris"Consorci Administració Oberta de Catalunya
 

More Related Content

Similar to CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"

Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Joan Soler Jiménez
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informaticaguest4e2fc3
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALRafael Alcón Díaz [LION]
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJordi Garcia Castillon
 
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...Meritxell Pineda
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Fòrum Català d’Informació i Salut
 
Campanya #NegoCiberSegur
Campanya #NegoCiberSegurCampanya #NegoCiberSegur
Campanya #NegoCiberSegurXarxa Punt TIC
 
Ismael Cerdà
Ismael CerdàIsmael Cerdà
Ismael CerdàJSe
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretatjoanbajb
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesTICAnoia
 

Similar to CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat" (20)

Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?Com es fa un Quadre de Seguretat i Accés?
Com es fa un Quadre de Seguretat i Accés?
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y acceso
 
Presentació CESICAT
Presentació CESICATPresentació CESICAT
Presentació CESICAT
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
Seguretat Informatica
Seguretat InformaticaSeguretat Informatica
Seguretat Informatica
 
Presentacio Cesicat
Presentacio CesicatPresentacio Cesicat
Presentacio Cesicat
 
La ciberseguretat a Catalunya
La ciberseguretat a CatalunyaLa ciberseguretat a Catalunya
La ciberseguretat a Catalunya
 
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUALMYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
MYQUOTE - PLA DE CONTINGÈNCIES CIBER INDIVIDUAL
 
Gestió del risc en la activitat universitària
Gestió del risc en la activitat universitàriaGestió del risc en la activitat universitària
Gestió del risc en la activitat universitària
 
Jornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH catJornada ciberseguretat base CiberTECCH cat
Jornada ciberseguretat base CiberTECCH cat
 
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
La gestió dels plans d'autoprotecció a través del servei de protecció civil m...
 
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
Creació d’un pla de continuitat davant de possibles fallides en els sistemes ...
 
El blockchain a Catalunya
El blockchain a CatalunyaEl blockchain a Catalunya
El blockchain a Catalunya
 
Acord marc europeu sobre digitalització.pdf
Acord marc europeu sobre digitalització.pdfAcord marc europeu sobre digitalització.pdf
Acord marc europeu sobre digitalització.pdf
 
Campanya #NegoCiberSegur
Campanya #NegoCiberSegurCampanya #NegoCiberSegur
Campanya #NegoCiberSegur
 
Ismael Cerdà
Ismael CerdàIsmael Cerdà
Ismael Cerdà
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretat
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dades
 

More from Consorci Administració Oberta de Catalunya

Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"
Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"
Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"Consorci Administració Oberta de Catalunya
 
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act..."Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...Consorci Administració Oberta de Catalunya
 

More from Consorci Administració Oberta de Catalunya (20)

"Anàlisi i processament de dades obtingudes en mobilitat a Sitges"
"Anàlisi i processament de dades obtingudes en mobilitat a Sitges""Anàlisi i processament de dades obtingudes en mobilitat a Sitges"
"Anàlisi i processament de dades obtingudes en mobilitat a Sitges"
 
"Les dues cares de les dades obertes: generadors i usuaris"
"Les dues cares de les dades obertes: generadors i usuaris""Les dues cares de les dades obertes: generadors i usuaris"
"Les dues cares de les dades obertes: generadors i usuaris"
 
"Noves utilitats per a la visualització de transparència"
"Noves utilitats per a la visualització de transparència""Noves utilitats per a la visualització de transparència"
"Noves utilitats per a la visualització de transparència"
 
"Dades obertes: foment de la reutilització i transparència automàtica"
"Dades obertes: foment de la reutilització i transparència automàtica""Dades obertes: foment de la reutilització i transparència automàtica"
"Dades obertes: foment de la reutilització i transparència automàtica"
 
My gov social miquel estape- mwc18
My gov social miquel estape- mwc18My gov social miquel estape- mwc18
My gov social miquel estape- mwc18
 
Big data saves lives bismart mwc18
Big data saves lives bismart mwc18Big data saves lives bismart mwc18
Big data saves lives bismart mwc18
 
Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"
Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"
Valoració de la "Jornada de Govern Obert per a electes i personal tècnic local"
 
Jornada de Govern Obert - Jordi Foz
Jornada de Govern Obert - Jordi FozJornada de Govern Obert - Jordi Foz
Jornada de Govern Obert - Jordi Foz
 
Jornada de Govern Obert - Joan Olivares
Jornada de Govern Obert - Joan OlivaresJornada de Govern Obert - Joan Olivares
Jornada de Govern Obert - Joan Olivares
 
Jornada de Govern Obert - Jan Reñé
Jornada de Govern Obert - Jan ReñéJornada de Govern Obert - Jan Reñé
Jornada de Govern Obert - Jan Reñé
 
Jornada de Govern Obert - Ismael Peña-López
Jornada de Govern Obert - Ismael Peña-LópezJornada de Govern Obert - Ismael Peña-López
Jornada de Govern Obert - Ismael Peña-López
 
Jornada de Govern Obert - Helen Darbishire
Jornada de Govern Obert - Helen DarbishireJornada de Govern Obert - Helen Darbishire
Jornada de Govern Obert - Helen Darbishire
 
Jornada de Govern Obert - Ferran Farriol
Jornada de Govern Obert - Ferran FarriolJornada de Govern Obert - Ferran Farriol
Jornada de Govern Obert - Ferran Farriol
 
Jornada Govern Obert - Dolors Roo
Jornada Govern Obert - Dolors RooJornada Govern Obert - Dolors Roo
Jornada Govern Obert - Dolors Roo
 
Jornada Govern Obert - Anna Brunsó
Jornada Govern Obert - Anna Brunsó Jornada Govern Obert - Anna Brunsó
Jornada Govern Obert - Anna Brunsó
 
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act..."Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...
"Solucions AOC per fomentar la publicitat activa i el dret d’accés: Estat act...
 
"Management público: el reto de la adptación", Xavier Marcet
"Management público: el reto de la adptación", Xavier Marcet"Management público: el reto de la adptación", Xavier Marcet
"Management público: el reto de la adptación", Xavier Marcet
 
Informeactivitatserveis102018
Informeactivitatserveis102018Informeactivitatserveis102018
Informeactivitatserveis102018
 
Jornada "Assassinat al Catalonia Express" - Els governs digitals de demà
Jornada "Assassinat al Catalonia Express" - Els governs digitals de demàJornada "Assassinat al Catalonia Express" - Els governs digitals de demà
Jornada "Assassinat al Catalonia Express" - Els governs digitals de demà
 
Jornada "Assassinat al Catalonia Express" - Ascen Moro
Jornada "Assassinat al Catalonia Express" - Ascen MoroJornada "Assassinat al Catalonia Express" - Ascen Moro
Jornada "Assassinat al Catalonia Express" - Ascen Moro
 

CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"

  • 1. Com mitigar els riscos de Ciberseguretat? L'Esquema Nacional de Seguretat. Valentí Faura Roger Pérez #GovernDigital
  • 2. Ciberseguretat, Ciberiscos, ciberamenaces, res de nou o no? Seguretat de la Informació Ciberseguretat A ast Li itat Bunker Món Interconnectat Atacant solitari i oportunista Atacant organitzat, finançat i dirigit Estratègia global de protecció d'actius Prioritat als actius crítics Protegir el perímetre. Reactiu Monitorització. Preventiu Aquí no ha passat res Comunicació i Col·laboració
  • 3. Ciberamenaces ¿Què ens depararà l'any 2018? Parlant de ciberseguretat i atacs informàtics, no és fàcil predir-ho.
  • 4. Quin model de prevenció podem establir enfront als ciberatacs? Basant-nos en els principis de la seguretat, vigilància i resiliència: Polítiques i Procediments de Seguretat actualitzats, divulgats i seguits. Analitzar i Gestionar els Riscos de Ciberseguretat. Establir un Framework de control de Seguretat. Formar i Conscienciar als empleats. Realitzar Auditories de Seguretat. Realitza la Dete ió i Gestió d’esdeve i e ts de Segu etat. Disposa d’u e uip de Resposta dava t I id ies. Realitza u Segui e t i avalua ió o tí ua d’a e a es i vulnerabilitats.
  • 5. És la Certificació ENS una solució davant dels ciberiscos? Marc de Control que cobreix tots els àmbits de ciberseguretat. Guies i Instruccions tècniques de seguretat del CCN adaptades a les ciberamenaces. Framework de seguretat fet per l'Administració publica per a l'administració publica. I per cert no oblidar que la Certificació és obligatòria.
  • 6. ENS: Antecedents ¿Desde cuando? El ENS es aplicable:  A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las entidades que integran la Administración local, así como las entidades de derecho público vinculadas o dependientes de éstas.  Proveedores que prestan servicios tecnológicos a las Administraciones Públicas.  A los ciudadanos en sus relaciones con las administraciones públicas  En las relaciones entre las diferentes administraciones públicas. 22 Junio de 2007: Ley 11/2007 8 Enero de 2010: RD 3 2010 2010 2011 2012 2013 2014 8 Enero de 2011. Requisito obligatorio: Plan de adecuación al ENS 23 Octubre de 2017. Requisito obligatorio: Adecuación al RD 951/2015 2015 2016 2017 8 Enero de 2014. Requisito obligatorio: Plena implantación del ENS 23 Octubre de 2015: RD 951/2015 ¿A quién va dirigido?  El 31 de Diciembre del 2009 se hace pública la ley.  Entrando en vigor el 8 de Enero de 2010 mediante el Real Decreto 3 2010.  Los sistemas existentes a la entrada en vigor de este Real Decreto, dispondrán de 12 meses para adecuarse a los requerimientos de seguridad.  Los nuevos sistemas aplicarán lo establecido en este real decreto desde la concepción.  Si a los 12 meses de la entrada en vigor hay circunstancias que impidan la plena aplicación de lo que exigen, se dispondrá de un plan de adecuación que marque los plazos de adecuación, los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.  El 23 de Octubre de 2017 será obligatorio el cumplimiento de las modificaciones establecidas por el RD 951/2015
  • 7. Mesures de Seguretat de l’ENS MESURES DE SEGURETAT Marc Organitzatiu  Política de seguretat  Normativa de seguretat  Procediments de seguretat  Procés d'autorització Marc Operacional  Planificació  Control d'accés  Explotació serveis externs  Continuïtat del servei  Monitorització del sistema Marc de Protecció  Protecció d’instal·lacions  Gestió del personal  Protecció dels equips  Protecció de comunicacions  Protecció de suports  Protecció d'aplicacions  Protecció de la informació  Protecció dels serveis 4 31 40 75 TOTAL MESURES Les mesures de seguretat a implementar es classifiquen en els següents 3 grups diferenciats:
  • 8. Guies i Instruccions Tècniques de seguretat Guies: la Sèrie CCN-STIC-800 estableix les polítiques i procediments adequats per a la implementació de les mesures contemplades en l'ENS. • CCN-STIC-817 Gestión de Ciberincidentes. • CCN-STIC-823 Seguridad en entornos Cloud. • CCN-STIC-820 Protección contra DoS. Instruccions tècniques de seguretat: instruccions d'obligat compliment, essencials per aconseguir una adequada i homogènia implantació dels requisits i mesures recollides en l'ENS. • Informe del Estado de la Seguridad • Conformidad con el Esquema Nacional de Seguridad • Auditoría de la seguridad de los sistemas de información . • Notificación de incidentes de seguridad • CCN-STIC-831 Registro de la actividad de los usuarios. • CCN-STIC-807 Criptología de empleo en el ENS. • CCN-STIC-812 Seguridad en servicios web.
  • 9. Controls de l'ENS en la pràctica Accessos Seguretat Protecció Perímetre Xifrat • Gestió usuaris privilegiats • Logs (SIEM) • Doble Factor d’ Autenticació • Firewall en cascada i de diferents proveïdors • Segmentació xarxa • IDS/IPS • Comunicacions • Dispositius • Dades Govern • Política i procediments • Formació i conscienciació • Indicadors de Seguretat • Bastionat • Desenvolupament segur • Test d’intrusió/ anàlisi de vulnerabilitats • Incidents de Seguretat • Prevenció Malware • Components certificats • Correu electrònic • Serveis Webs
  • 11. Beneficis de la Certificació de l’ENS Beneficis certificació Administració Pública Beneficis certificació Proveïdors de serveis IT • Complir amb el RD 3/2010. • Donar confiança a les administracions públiques • Poder optar a concursos públics. • Avantatge competitiu respecte a altres proveïdors. • Complir amb altres disposicions legals. • Complir amb el RD 3/2010. • Satisfer requeriments i donar confiança a usuaris i altres organismes. • Complir amb altres disposicions legals. • Permetre millorar de forma contínua la seguretat dels seus sistemes.
  • 12. Conclusions i reptes El epte de l’ENS s i pulsa la gestió o ti uada i el t a ta e t homogeni dels riscos de ciberseguretat. L'AEPD ha publicat que les mesures de seguretat a establir per complir el RGPD -en el cas de les AAPP- estaran marcades pels criteris establerts en l'Esquema Nacional de Seguretat. La Certificació ENS es el camí per la ciberseguretat.
  • 13. Agafa l’o ada del canvi ORGANITZA COL·LABORA #GovernDigital Gràcies, ;-) governdigital.cat Valentín Faura Director RAS BDO +34 639 337 722 valentin.faura@bdo.es @GovernDigital valentin.faura@bdo.es roger.perez@bdo.es