SlideShare ist ein Scribd-Unternehmen logo

CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

Miguel A. Amutio
Miguel A. Amutio

CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

Regierungs- und gemeinnützige Organisationen
1 von 39
Downloaden Sie, um offline zu lesen
Esquema Nacional de Seguridad para principiantes 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
Digitalización acelerada con impacto global: ✓ Organizaciones, públicas y privadas, procesos y servicios ✓ Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de: ✓ Trabajo ✓ Educación / Formación ✓ Ocio ✓ Entretenimiento ✓ Consumo ✓ Interacción social Transformación digital: sí o sí
“…la tramitación electrónica … debe constituir la actuación habitual de las Administraciones.” “… una Administración sin papel basada en un funcionamiento íntegramente electrónico .” [Ley 39/2015, parte expositiva]
Transformación digital acelerada – con ciberseguridad + Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Mayor dependencia de la tecnología: ✓complejidad ✓interdependencia ✓ se incrementa la superficie de exposición a ciberamenazas. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad. Personas - Implicación de los actores (no solo TIC) - Cambio cultural - Competencias digitales - Reclutamiento Tecnología - Tecnologías habilitadoras digitales (IA, Cloud, IoT, gestión de datos, registro distribuido, lenguaje,…) - Oportunidades y Riesgos Procesos - Adecuación a la realidad digital y posibilidades - Implementación principio de un sola vez Datos - Datos para nuevos y mejores servicios, decisiones, políticas públicas, transparencia y reutilización - Estrategia de gestión del dato, CDO,… Ciberseguridad Protección de datos - Proteger datos, información y servicios - General confianza en los servicios públicos digitales Interoperabilidad - Facilitar el flujo de datos y servicios - Facilitar la realización de derechos y principios (ej. OOP,…) Photo by Philipp Katzenberger on Unsplash
El Sector Público y sus proveedores en el punto de mira de los ciberataques Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Photo by Philipp Katzenberger on Unsplash
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
✓ La seguridad, el largo camino… ✓ Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo 2010 2015 2017 ESN 2017 EIF v2 Declaración Ministerial de Tallin Ley 39/2015, Ley 40/2015 Estrategia TIC AGE Declaración servicios compartidos RD 951/2015 modificación 2014 2010 ENI ENS EIFv1 Ley 8/2011 PIC RD 721/2011 PIC Ley 18/2011 EJIS NTIs: Doc-e, Exp-e Digitalización, Copiado, Sicres Red de com. RD 1495/2011 RISP 2013 Estrategia de Ciberseguridad Nacional Informe Cora Ley 19/20913 Agenda Digital NTI RISP ENS-ITS •Conformidad con ENS •Informe ENS RGPD Directiva NIS eGov Action Plan Reglamento eIDAS RD 806/2014 RD 802/2014 DTIC Cl@ve Marco Int. eIDAS 2017 2018 2018 ENS-ITS •Auditoría •Notificación de incidentes RDL 12/2018 NIS LO 3/2018 LOPDGDD RD Accesibilidad. 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2022 2011 2016 2015 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín NTIs: PGDE, Firma-e Intermediacíón Modelo de Datos, estándares Magerit v3 2012 RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad RD 311/2022 2012 Fuente: Miguel A. Amutio Dónde estamos
Fuente: Miguel A. Amutio Liderazgo: * Y proveedores de soluciones y prestadores de servicios Enfoque global Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
Ley 39/2015 Procedimiento administrativo común Artículo 13. Derechos de las personas h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Ley 40/2015 Régimen jurídico del Sector Público Artículo 3. Principios generales 2. Las AA.PP. se relacionarán entre sí … a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones …, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados Derechos de las personas y principios generales
Qué es el Esquema Nacional de Seguridad El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
▪ Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a la ciudadanía y las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. ▪ Promover: ▪ la gestión continuada de la seguridad, al margen de impulsos puntuales o de su ausencia. ▪ la prevención, detección y respuesta ante ciberamenazas y ciberataques. ▪ un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de los servicios mediante un lenguaje y unos elementos comunes adecuados al quehacer de la Administración ▪ Facilitar el flujo de datos y servicios, en conjunción con el . Se concibió para…
Panorámica (RD 311/2022) • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (d.a. 3ª) • Adecuación de sistemas (d.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario Fuente: Infografías ENS
Desarrollo Conformidad Monitorización Informe INES - Soporte Base legal Ámbito de aplicación ✓Sector Público Información clasificada 4 ITS publicadas ✓Real Decreto 3/2010 ✓Actualizado en 2015 ✓Real Decreto 311/2022 Anclado en leyes 40/2015 y 39/2015 ✓ Informe estado de la seguridad ✓ Conformidad con el ENS ✓ Auditoría ✓ Notificación de incidentes ✓Acreditación con ENAC ✓ Certificadores acreditados por ENAC ✓ Entidades certificadas (públicas/privadas) ✓ Consejo de Certificación del ENS (CoCENS) ✓ >90 guías CCN-STIC Serie 800 - ✓ 23 Soluciones de ciberseguridad Referente ✓ 8 ediciones del informe INES ✓ Ley Orgánica 3/2018 ✓ RD-l 12/2018 Real Decreto 43/2021 ✓ + Instrucciones Técnicas de Seguridad ✓ Proveedores Esfuerzo colectivo, multidisciplinar, sostenido en el tiempo + liderazgo conjunto de ✓ ✓
Quién tiene que aplicar el Todo el sector público. Las entidades del sector privado cuando presten servicios o provean soluciones al sector público (cadena de suministro). Los pliegos de prescripciones (para la contratación) contemplarán los requisitos de conformidad con el ENS. Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
Cuál es el mandato principal del Cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente. Cada órgano o entidad con personalidad jurídica propia deberá contar con una política formalmente aprobada. Cada ministerio contará con su política de seguridad. Los organismos podrán contar con la suya o quedar comprendidos en la de su ministerio. La Secretaría General de Administración Digital dispondrá de su propia política de seguridad. Los municipios podrán disponer de una política de seguridad común elaborada por la entidad local comarcal o provincial que asuma la responsabilidad de la seguridad de la información de los sistemas municipales. Photo by Paul Rysz on Unsplash
La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad. Figuras singulares: ✓Responsable de la información ✓Responsable del servicio ✓Responsable de la seguridad ✓Responsable del sistema Los prestadores de servicios externalizados tendrán un Punto o Persona de Contacto para la seguridad de la información tratada y el servicio prestado. Quiénes intervienen en la seguridad Photo by Paul Rysz on Unsplash
Qué principios y requisitos hay que aplicar Fuente: Infografías ENS a) Seguridad como proceso integral. b) Gestión de la seguridad basada en los riesgos. c) Prevención, detección, respuesta y conservación. d) Existencia de líneas de defensa. e) Vigilancia continua. f) Reevaluación periódica. g) Diferenciación de responsabilidades. a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos de seguridad y contratación de servicios de seguridad. h) Mínimo privilegio. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de la actividad y detección de código dañino. m) Incidentes de seguridad. n) Continuidad de la actividad. ñ) Mejora continua del proceso de seguridad. Photo by Hack Capital on Unsplash
Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad. Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicios en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de las aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (I/III)
Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (II/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (III/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
✓Comprenderán aquel conjunto de medidas de seguridad que resultando del preceptivo análisis de riesgos, resulten idóneas para una concreta categoría de seguridad. ✓Persiguen introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados • Colectivos: Entidades Locales, Universidades, Organismos Pagadores,… • Ámbitos tecnológicos: servicios en la nube, … Ej.: ✓ CCN-STIC-881A. Perfil de Cumplimiento Específico Universidades ✓ CCN-STIC 883A Perfil de Cumplimiento Específico Ayuntamientos pequeños (menos de 5.000 habitantes) ✓ CCN-STIC 883B Perfil Cumplimiento Específico Ayuntamientos de menos de 20.000 habitantes ✓ CCN-STIC 883C Perfil de Cumplimiento Específico Ayuntamientos de entre 20.000 y 75.000 habitantes ✓ CCN-STIC 883D Perfil de Cumplimento Específico Diputaciones ✓ CCN-STIC-884 Perfil de cumplimiento específico para Azure Servicio de Cloud Corporativo ✓ CCN-STIC-885 Perfil de cumplimiento específico para Office 365 Servicio de Cloud Corporativo ✓ CCN-STIC-886 Perfil de cumplimiento específico para Sistemas Cloud Privados y Comunitarios ✓ CCN-STIC-887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo ✓ CCN-STIC-888 Perfil de Cumplimiento Específico para Google Cloud Servicio de Cloud Corporativo Perfiles de cumplimiento específicos (art. 30)
✓ Mecanismo de autenticación [op.acc.6] (no uso de doble factor) ✓ Protección frente a código dañino [op.exp.6] ✓ Mantenimiento y actualizaciones de seguridad [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad) ✓ Configuración de seguridad [op.exp.2] y gestión de la configuración de seguridad [op.exp.3] ✓ Protección de servicios y aplicaciones web [mp.s.2] ✓ Perímetro seguro [mp.com.1] ✓ Separación de flujos de información en la red [mp.com.4] (Redes NO segregadas) ✓ Detección de intrusión [op.mon.1] ✓ Copias de seguridad [mp.info.6] ✓ Concienciación [mp.per.3] y formación [mp.per.4] Qué aparece en la investigación de incidentes…insuficiencias en: Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad. Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE- CERT quien lo pondrá inmediatamente en conocimiento del CCN-CERT. El CCN-CERT determinará técnicamente el riesgo de reconexión de sistemas afectados, indicando procedimientos a seguir y salvaguardas a implementar. La SGAD autorizará la reconexión a medios y servicios comunes en su ámbito de responsabilidad, si un informe de superficie de exposición del CCN-CERT determina que el riesgo es asumible. Photo by Hack Capital on Unsplash Cómo se actúa ante un incidente
Los sujetos responsables de los sistemas de información darán publicidad a las declaraciones y certificaciones de conformidad con el ENS. Entidades del Sector Público, prestadores de servicios o proveedores de soluciones: mismos procedimientos y documentos. Entidades de certificación: Acreditación por conforme a UNE-EN ISO/IEC 17065:2012, para certificación de sistemas del ámbito de aplicación del ENS. Cómo se demuestra la conformidad con el Declaración de Conformidad de aplicación a sistemas de información de categoría Básica. Autoevaluación para la declaración. Certificación de Conformidad de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en categoría Básica. Auditoría para la certificación. Distintivos
8ª edición – Informe INES 2021 1008 organismos han participado en los resultados. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en: - el 55% en sistemas de categoría ALTA - el 63% en sistemas de categoría MEDIA, - el 75% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS. Cómo se monitoriza el estado de la seguridad ▪ Artículo 35. Informe del estado de la seguridad ▪ Medición de la seguridad: 4.6.2 Sistema de métricas [op.mon.2] herramienta para recogida y consolidación de datos para el Informe del Estado de la Seguridad. - Información general sobre los organismos - Gestión de riesgos - Información de seguridad organizacional - Recursos económicos y humanos - Medidas de seguridad del Anexo II del ENS. - Información sobre interconexiones - Aplicación de seguridad (métodos de autenticación, servicios subcontratados, gestión de cambios, continuidad de servicios, formación, sensibilización ...) - Gestión de incidentes (número y tiempos de respuesta). - Auditorías y certificaciones.
Ofrece un conjunto de productos STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas. Permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro. ▪ Productos Aprobados: productos que se consideran adecuados para el manejo de información clasificada. ▪ Productos Cualificados: productos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica). Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Una Instrucción Técnica de Seguridad detallará los criterios relativos a la adquisición de productos de seguridad. Qué productos de seguridad utilizamos
Infraestructuras y servicios comunes Oportunidades en seguridad ▪ Reducción del perímetro físico: se reduce la carga en medidas de protección de las instalaciones e infraestructuras [mp.if] para las entidades usuarias. ▪ Reducción del perímetro lógico: se reduce la carga para las entidades usuarias en medidas tales como: explotación [mp.exp], protección de las aplicaciones informáticas [mp.sw], protección de los servicios [mp.s] y monitorización del sistema [op.mon]. ▪ Gestión de incidentes: se reduce la carga de gestión de incidentes [op.exp.7]. ▪ Mejor elasticidad: para hacer frente a picos de actividad o ataques de denegación de servicio [mp.s.4]. ▪ Mejor conformidad con estándares: para mejor recuperación, integración, interoperabilidad, portabilidad, integración con herramientas de seguridad (medidas varias de tipo [op]).
FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 La SGAD participa realizando la valoración técnica de los proyectos propuestos por las EELL, con la evaluación de la adecuación a las condiciones técnicas establecidas en la convocatoria. Primera convocatoria de transformación digital de EELL 1.000 Mill. € inversión C11.I3 92,77 Mill. € ya repartidosen 2021 149 EELL de más de 50.000 habitantes Infraestructuras Digitales Mayor importe Ciberseguridad Línea con mayor númerode proyectos Más de 20 Mill.€ para la creaciónde Centrosde Operacionesde Ciberseguridad(COCS) 16 90 proyectos 60 proyectos con actuacionescomunes 89,4Mill€ 332 PROYECTOS Presentados por 145 EELL 96,22% del presupuesto total 391,4 Mill. € transformación digital EELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno del Dato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS) Capacidades, servicios y soluciones (I/II)
Capacidades, servicios y soluciones (II/II)
Cómo adecuarse al ENS: Acciones principales ✓ Elaborar y aprobar la política de seguridad (art. 12) ✓ Definir roles y asignar personas. Responsable de seguridad. (art. 13) ✓ Categorizar los sistemas (art. 28, 40) ✓ Analizar los riesgos está actualizado (art. 28) ✓ Seleccionar y elaborar la declaración de aplicabilidad; e implantar las medidas de seguridad. (Anexo II) ✓ Auditar la seguridad (art. 31) ✓ Publicar la conformidad (art. 38) ✓ Informar del estado de la seguridad (art. 32)
Administración General del Estado Gobernanza y Cooperación TIC Grupos (…de ENI y ENS, COCS) Comisión Sectorial de Administración Electrónica Ley 40/2015, d.a. 9ª AGE, CCAA, FEMP, CRUE Grupos de trabajo (…GT de Seguridad) CIO (SGAD) CIO (SGAD) Consejo de Certificación del ENS Constituido: 2018 Preside: CCN Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas y Órganos de Auditoría Técnica Misión: Velar por la adecuada implantación de la Certificación del ENS + Comunidad Cooperación, Gobernanza y comunidad
Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
Con el liderazgo de la Secretaría General de Administración Digital y el Centro Criptológico Nacional, junto con sus equipos de colaboradores, el ENS es el resultado de un esfuerzo colectivo del sector público de España, con la colaboración del sector privado, que vienen contribuyendo activamente a su elaboración, desarrollo, aplicación y evolución. Photo by Annie Spratt on Unsplash
Para saber más
Situación de España, ciberseguridad Global Cybersecurity Index 2020 (UIT)
1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. 2. Que en vuestras iniciativas, proyectos y actuaciones tengáis como referente el Photo by Paul Rysz on Unsplash ¿Qué esperamos por vuestra parte?
Muchas gracias 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash

Empfohlen

Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadMiguel A. Amutio
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 
Cybersecurity in the Boardroom
Cybersecurity in the BoardroomCybersecurity in the Boardroom
Cybersecurity in the BoardroomMarko Suswanto
 
Cyber security
Cyber securityCyber security
Cyber securityKrishanu Ghosh
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
Cyber Security Incident Response Planning
Cyber Security Incident Response PlanningCyber Security Incident Response Planning
Cyber Security Incident Response PlanningPECB
 

Empfohlen

Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadMiguel A. Amutio
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 
Cybersecurity in the Boardroom
Cybersecurity in the BoardroomCybersecurity in the Boardroom
Cybersecurity in the BoardroomMarko Suswanto
 
Cyber security
Cyber securityCyber security
Cyber securityKrishanu Ghosh
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
Cyber Security Incident Response Planning
Cyber Security Incident Response PlanningCyber Security Incident Response Planning
Cyber Security Incident Response PlanningPECB
 
Cybersecurity Risks for Businesses
Cybersecurity Risks for BusinessesCybersecurity Risks for Businesses
Cybersecurity Risks for BusinessesAlex Rudie
 
Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...IT Governance Ltd
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)Gian Gentile
 
Unit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hrUnit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hrTushar Rajput
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2Tanmay Shinde
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to CybersecurityKrutarth Vasavada
 
Strategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity RiskStrategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity RiskMighty Guides, Inc.
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation Technology Society Nepal
 
Cyber security
Cyber securityCyber security
Cyber securityAman Pradhan
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityBryCunal
 
Cybersecurity: Public Sector Threats and Responses
Cybersecurity: Public Sector Threats and Responses Cybersecurity: Public Sector Threats and Responses
Cybersecurity: Public Sector Threats and Responses Directorate of Information Security | Ditjen Aptika
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
Cyber security
Cyber securityCyber security
Cyber securitymanavaneja3
 
Data Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsData Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsAT Internet
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseMart Rovers
 
(Physical security) ألامن المادي
(Physical security) ألامن المادي(Physical security) ألامن المادي
(Physical security) ألامن الماديDrMohammed Qassim
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMiguel A. Amutio
 

Weitere ähnliche Inhalte

Was ist angesagt?

Cybersecurity Risks for Businesses
Cybersecurity Risks for BusinessesCybersecurity Risks for Businesses
Cybersecurity Risks for BusinessesAlex Rudie
 
Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...IT Governance Ltd
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)Gian Gentile
 
Unit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hrUnit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hrTushar Rajput
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2Tanmay Shinde
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to CybersecurityKrutarth Vasavada
 
Strategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity RiskStrategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity RiskMighty Guides, Inc.
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation Technology Society Nepal
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityBryCunal
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
Data Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsData Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsAT Internet
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseMart Rovers
 
(Physical security) ألامن المادي
(Physical security) ألامن المادي(Physical security) ألامن المادي
(Physical security) ألامن الماديDrMohammed Qassim
 

Was ist angesagt? (20)

Cybersecurity Risks for Businesses
Cybersecurity Risks for BusinessesCybersecurity Risks for Businesses
Cybersecurity Risks for Businesses
 
Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...Legal obligations and responsibilities of data processors and controllers und...
Legal obligations and responsibilities of data processors and controllers und...
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)Cyber Security Awareness (Reduce Personal & Business Risk)
Cyber Security Awareness (Reduce Personal & Business Risk)
 
Unit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hrUnit 6 Privacy and Data Protection 8 hr
Unit 6 Privacy and Data Protection 8 hr
 
GDPR and Security.pdf
GDPR and Security.pdfGDPR and Security.pdf
GDPR and Security.pdf
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to Cybersecurity
 
Strategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity RiskStrategies for Managing OT Cybersecurity Risk
Strategies for Managing OT Cybersecurity Risk
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & process
 
Cyber security
Cyber securityCyber security
Cyber security
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cybersecurity: Public Sector Threats and Responses
Cybersecurity: Public Sector Threats and Responses Cybersecurity: Public Sector Threats and Responses
Cybersecurity: Public Sector Threats and Responses
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
Cyber security
Cyber securityCyber security
Cyber security
 
Data Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsData Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethics
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
 
(Physical security) ألامن المادي
(Physical security) ألامن المادي(Physical security) ألامن المادي
(Physical security) ألامن المادي
 

Ähnlich wie CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMiguel A. Amutio
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoFacultad Ingeniería Udec
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Miguel A. Amutio
 
Internet de-las-cosas
Internet de-las-cosasInternet de-las-cosas
Internet de-las-cosasJairo Lopez
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Seguridad de la información, piedra angular en los procesos de digitalización
Seguridad de la información, piedra angular en los procesos de digitalizaciónSeguridad de la información, piedra angular en los procesos de digitalización
Seguridad de la información, piedra angular en los procesos de digitalizaciónMiguel Ángel Rodríguez Ramos
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Miguel A. Amutio
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...PAÍS DIGITAL
 
El responsable de seguridad en la Administración General del Estado
El responsable de seguridad en la Administración General del EstadoEl responsable de seguridad en la Administración General del Estado
El responsable de seguridad en la Administración General del EstadoMiguel Ángel Rodríguez Ramos
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadEspedito Passarello
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redesJo Dan
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJORGE MONGUI
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridadJAV_999
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaMiguel A. Amutio
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaMiguelAmutio1
 
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...Miguel A. Amutio
 

Ähnlich wie CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes (20)

INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el EstadoAcciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
 
Internet de-las-cosas
Internet de-las-cosasInternet de-las-cosas
Internet de-las-cosas
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Seguridad de la información, piedra angular en los procesos de digitalización
Seguridad de la información, piedra angular en los procesos de digitalizaciónSeguridad de la información, piedra angular en los procesos de digitalización
Seguridad de la información, piedra angular en los procesos de digitalización
 
Seguridad informaticafinal
Seguridad informaticafinalSeguridad informaticafinal
Seguridad informaticafinal
 
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
Impacto de las leyes 39/2015 y 40/2015 en las tecnologías de la información. ...
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
 
S4-AI-2.2. Normas
S4-AI-2.2. NormasS4-AI-2.2. Normas
S4-AI-2.2. Normas
 
El responsable de seguridad en la Administración General del Estado
El responsable de seguridad en la Administración General del EstadoEl responsable de seguridad en la Administración General del Estado
El responsable de seguridad en la Administración General del Estado
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
 
Guia de seguridad en redes
Guia de seguridad en redesGuia de seguridad en redes
Guia de seguridad en redes
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Manual de seguridad
Manual de seguridadManual de seguridad
Manual de seguridad
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...
El Esquema Nacional de Seguridad, al servicio de la ciberseguridad del Sector...
 

Mehr von Miguel A. Amutio

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Miguel A. Amutio
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of SpainMiguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónMiguel A. Amutio
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadMiguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSMiguel A. Amutio
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity ContextMiguel A. Amutio
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadMiguel A. Amutio
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneMiguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainMiguel A. Amutio
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalMiguel A. Amutio
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digitalMiguel A. Amutio
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA NetworkMiguel A. Amutio
 
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoXIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoMiguel A. Amutio
 

Mehr von Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in Spain
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digital
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA Network
 
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoXIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
 

Kürzlich hochgeladen

Estudio de opinión a nivel nacional.pdf
Estudio de opinión a nivel nacional.pdfEstudio de opinión a nivel nacional.pdf
Estudio de opinión a nivel nacional.pdfmerca6
 
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdf
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdfEstudio de Opinión Municipio de Manzanillo (20.05.24).pdf
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdfmerca6
 
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...LorenaGonnet
 
Libro de las Fiestas de Fontanar 2024.pdf
Libro de las Fiestas de Fontanar 2024.pdfLibro de las Fiestas de Fontanar 2024.pdf
Libro de las Fiestas de Fontanar 2024.pdfayuntamientodepozoalcon
 
Estudio de Opinión Municipio  Colima (20.05.24).pdf
Estudio de Opinión Municipio  Colima (20.05.24).pdfEstudio de Opinión Municipio  Colima (20.05.24).pdf
Estudio de Opinión Municipio  Colima (20.05.24).pdfmerca6
 
Comunicado Policía por golpiza a perritas sin hogar
Comunicado Policía por golpiza a perritas sin hogarComunicado Policía por golpiza a perritas sin hogar
Comunicado Policía por golpiza a perritas sin hogarJosDavidRodrguezRibe1
 
Estudio de Opinión Municipio de Manzanillo.pdf
Estudio de Opinión Municipio de Manzanillo.pdfEstudio de Opinión Municipio de Manzanillo.pdf
Estudio de Opinión Municipio de Manzanillo.pdfmerca6
 
Programa de Podemos para las elecciones europeas 2024
Programa de Podemos para las elecciones europeas 2024Programa de Podemos para las elecciones europeas 2024
Programa de Podemos para las elecciones europeas 2024luarodalegre97
 
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdf
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdfPROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdf
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdfSantiagoMarn12
 
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docx
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docxE1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docx
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docxJairoArom
 
Compromiso con las abejas de la mano con la juventud - Partecipe.
Compromiso con las abejas de la mano con la juventud - Partecipe.Compromiso con las abejas de la mano con la juventud - Partecipe.
Compromiso con las abejas de la mano con la juventud - Partecipe.Christina Parmionova
 

Kürzlich hochgeladen (12)

Estudio de opinión a nivel nacional.pdf
Estudio de opinión a nivel nacional.pdfEstudio de opinión a nivel nacional.pdf
Estudio de opinión a nivel nacional.pdf
 
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdf
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdfEstudio de Opinión Municipio de Manzanillo (20.05.24).pdf
Estudio de Opinión Municipio de Manzanillo (20.05.24).pdf
 
Triptico de Desastres II (3).pptx de acceso público
Triptico de Desastres II (3).pptx de acceso públicoTriptico de Desastres II (3).pptx de acceso público
Triptico de Desastres II (3).pptx de acceso público
 
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...
Desde A.P.R.I.L.P. denuncian que el retiro de concesión del estacionamiento d...
 
Libro de las Fiestas de Fontanar 2024.pdf
Libro de las Fiestas de Fontanar 2024.pdfLibro de las Fiestas de Fontanar 2024.pdf
Libro de las Fiestas de Fontanar 2024.pdf
 
Estudio de Opinión Municipio  Colima (20.05.24).pdf
Estudio de Opinión Municipio  Colima (20.05.24).pdfEstudio de Opinión Municipio  Colima (20.05.24).pdf
Estudio de Opinión Municipio  Colima (20.05.24).pdf
 
Comunicado Policía por golpiza a perritas sin hogar
Comunicado Policía por golpiza a perritas sin hogarComunicado Policía por golpiza a perritas sin hogar
Comunicado Policía por golpiza a perritas sin hogar
 
Estudio de Opinión Municipio de Manzanillo.pdf
Estudio de Opinión Municipio de Manzanillo.pdfEstudio de Opinión Municipio de Manzanillo.pdf
Estudio de Opinión Municipio de Manzanillo.pdf
 
Programa de Podemos para las elecciones europeas 2024
Programa de Podemos para las elecciones europeas 2024Programa de Podemos para las elecciones europeas 2024
Programa de Podemos para las elecciones europeas 2024
 
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdf
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdfPROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdf
PROPUESTA PLAN DE TRABAJO SALVAR CHILE.pdf
 
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docx
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docxE1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docx
E1 A1 SESION COM. Dialogamos y planificamos nuestras actividades. (1).docx
 
Compromiso con las abejas de la mano con la juventud - Partecipe.
Compromiso con las abejas de la mano con la juventud - Partecipe.Compromiso con las abejas de la mano con la juventud - Partecipe.
Compromiso con las abejas de la mano con la juventud - Partecipe.
 

CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes

  • 1. Esquema Nacional de Seguridad para principiantes 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash
  • 2. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 3. Digitalización acelerada con impacto global: ✓ Organizaciones, públicas y privadas, procesos y servicios ✓ Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de: ✓ Trabajo ✓ Educación / Formación ✓ Ocio ✓ Entretenimiento ✓ Consumo ✓ Interacción social Transformación digital: sí o sí
  • 4. “…la tramitación electrónica … debe constituir la actuación habitual de las Administraciones.” “… una Administración sin papel basada en un funcionamiento íntegramente electrónico .” [Ley 39/2015, parte expositiva]
  • 5.
  • 6. Transformación digital acelerada – con ciberseguridad + Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Mayor dependencia de la tecnología: ✓complejidad ✓interdependencia ✓ se incrementa la superficie de exposición a ciberamenazas. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad. Personas - Implicación de los actores (no solo TIC) - Cambio cultural - Competencias digitales - Reclutamiento Tecnología - Tecnologías habilitadoras digitales (IA, Cloud, IoT, gestión de datos, registro distribuido, lenguaje,…) - Oportunidades y Riesgos Procesos - Adecuación a la realidad digital y posibilidades - Implementación principio de un sola vez Datos - Datos para nuevos y mejores servicios, decisiones, políticas públicas, transparencia y reutilización - Estrategia de gestión del dato, CDO,… Ciberseguridad Protección de datos - Proteger datos, información y servicios - General confianza en los servicios públicos digitales Interoperabilidad - Facilitar el flujo de datos y servicios - Facilitar la realización de derechos y principios (ej. OOP,…) Photo by Philipp Katzenberger on Unsplash
  • 7. El Sector Público y sus proveedores en el punto de mira de los ciberataques Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Orientados a la información ▪ Con sustracción (con o sin revelación) ▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos) ▪ Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios ▪ Con quiebra en la disponibilidad de los servicios y en el acceso a la información Combinados, a la información y a los servicios Impacto ▪ Ejercicio de derechos y libertades; cumplimiento de deberes ▪ Normal desenvolvimiento de la sociedad, instituciones, empresas y ciudadanía ▪ Esfuerzo de recuperación ante incidentes ▪ Reputacional Photo by Philipp Katzenberger on Unsplash
  • 8. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 9. ✓ La seguridad, el largo camino… ✓ Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo 2010 2015 2017 ESN 2017 EIF v2 Declaración Ministerial de Tallin Ley 39/2015, Ley 40/2015 Estrategia TIC AGE Declaración servicios compartidos RD 951/2015 modificación 2014 2010 ENI ENS EIFv1 Ley 8/2011 PIC RD 721/2011 PIC Ley 18/2011 EJIS NTIs: Doc-e, Exp-e Digitalización, Copiado, Sicres Red de com. RD 1495/2011 RISP 2013 Estrategia de Ciberseguridad Nacional Informe Cora Ley 19/20913 Agenda Digital NTI RISP ENS-ITS •Conformidad con ENS •Informe ENS RGPD Directiva NIS eGov Action Plan Reglamento eIDAS RD 806/2014 RD 802/2014 DTIC Cl@ve Marco Int. eIDAS 2017 2018 2018 ENS-ITS •Auditoría •Notificación de incidentes RDL 12/2018 NIS LO 3/2018 LOPDGDD RD Accesibilidad. 2019 Guía nacional de notificación y Gestión ciberincidentes Estrategia Nacional de Ciberseguridad 2019 Cybersecurity Act ACM Centro de Operaciones de Ciberseguridad de la AGE 2022 2011 2016 2015 2021 EU Digital Strategy EU Strategy for Data EU on AI White Paper EU Cybersecurity Package España Digital 2025 Foro Nacional de Ciberseguridad Declaración Ministerial del Berlín NTIs: PGDE, Firma-e Intermediacíón Modelo de Datos, estándares Magerit v3 2012 RD 43/2021 desarrollo RD-l 12/2018 (NIS) Plan de Digitalización de las AAPP 2021 – 20215 Plan de Recuperación, Transformación y Resiliencia RD 203/2021 Reglamento leyes 39 y 40 Reglamento Centro Europeo de Competencias en Ciberseguridad Proyecto RD actualización ENS (Audiencia e información Pública) NTI SICRES 4 Carta de derechos digitales ACM Plan de choque de ciberseguridad 2020 2021 2020 2019 2022 RDL 7/2022 Seguridad 5G Plan Nacional de Ciberseguridad RD 311/2022 2012 Fuente: Miguel A. Amutio Dónde estamos
  • 10. Fuente: Miguel A. Amutio Liderazgo: * Y proveedores de soluciones y prestadores de servicios Enfoque global Marco Legal Gobernanza Cooperación Comunidad Capacidades Servicios Soluciones Interacción Evolución Administración Digital ▪ Ciberseguridad Nacional: ▪ CNCS ▪ FNCS ▪ Administración Digital ▪ AGE ▪ Comisión Sectorial Administración Electrónica ▪ ENS - CoCENS + Recursos de financiación Productos certificados (Catálogo CPSTIC)
  • 11. Ley 39/2015 Procedimiento administrativo común Artículo 13. Derechos de las personas h) A la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. Ley 40/2015 Régimen jurídico del Sector Público Artículo 3. Principios generales 2. Las AA.PP. se relacionarán entre sí … a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones …, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados Derechos de las personas y principios generales
  • 12. Qué es el Esquema Nacional de Seguridad El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
  • 13. ▪ Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a la ciudadanía y las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. ▪ Promover: ▪ la gestión continuada de la seguridad, al margen de impulsos puntuales o de su ausencia. ▪ la prevención, detección y respuesta ante ciberamenazas y ciberataques. ▪ un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de los servicios mediante un lenguaje y unos elementos comunes adecuados al quehacer de la Administración ▪ Facilitar el flujo de datos y servicios, en conjunción con el . Se concibió para…
  • 14. Panorámica (RD 311/2022) • Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4) • Principios básicos, que sirven de guía. (arts. 5 – 11) • Política de seguridad y requisitos mínimos, obligado cumplimiento. (arts. 12 – 28) • Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas (arts. 28, 40, 41, A-I y A-II) • Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN) (art. 19 y A-II) • Uso de infraestructuras y servicios comunes (art. 29) • Los perfiles de cumplimiento específicos (art. 30) • La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31 y A-III) • Informe del estado de la seguridad (art. 32) • Respuesta a incidentes de seguridad (arts. 33 y 34) • La conformidad con el ENS (arts. 35 a 38) • La actualización permanente (art. 39) • La formación (D.a. 1ª) • Las instrucciones técnicas de seguridad (D.a. 2ª) • Las guías de seguridad (D.a. 2ª) • Respeto del principio de «no causar un perjuicio significativo» al medioambiente (d.a. 3ª) • Adecuación de sistemas (d.t.u) -> 24 meses • Derogación normativa (Disposición derogatoria única): RD 3/2010. • Anexo I. Categorías de seguridad de los sistemas • Anexo II. Medidas de seguridad • Anexo III. Auditoría de la seguridad • Anexo IV. Glosario Fuente: Infografías ENS
  • 15. Desarrollo Conformidad Monitorización Informe INES - Soporte Base legal Ámbito de aplicación ✓Sector Público Información clasificada 4 ITS publicadas ✓Real Decreto 3/2010 ✓Actualizado en 2015 ✓Real Decreto 311/2022 Anclado en leyes 40/2015 y 39/2015 ✓ Informe estado de la seguridad ✓ Conformidad con el ENS ✓ Auditoría ✓ Notificación de incidentes ✓Acreditación con ENAC ✓ Certificadores acreditados por ENAC ✓ Entidades certificadas (públicas/privadas) ✓ Consejo de Certificación del ENS (CoCENS) ✓ >90 guías CCN-STIC Serie 800 - ✓ 23 Soluciones de ciberseguridad Referente ✓ 8 ediciones del informe INES ✓ Ley Orgánica 3/2018 ✓ RD-l 12/2018 Real Decreto 43/2021 ✓ + Instrucciones Técnicas de Seguridad ✓ Proveedores Esfuerzo colectivo, multidisciplinar, sostenido en el tiempo + liderazgo conjunto de ✓ ✓
  • 16. Quién tiene que aplicar el Todo el sector público. Las entidades del sector privado cuando presten servicios o provean soluciones al sector público (cadena de suministro). Los pliegos de prescripciones (para la contratación) contemplarán los requisitos de conformidad con el ENS. Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
  • 17. Cuál es el mandato principal del Cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente. Cada órgano o entidad con personalidad jurídica propia deberá contar con una política formalmente aprobada. Cada ministerio contará con su política de seguridad. Los organismos podrán contar con la suya o quedar comprendidos en la de su ministerio. La Secretaría General de Administración Digital dispondrá de su propia política de seguridad. Los municipios podrán disponer de una política de seguridad común elaborada por la entidad local comarcal o provincial que asuma la responsabilidad de la seguridad de la información de los sistemas municipales. Photo by Paul Rysz on Unsplash
  • 18. La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad. Figuras singulares: ✓Responsable de la información ✓Responsable del servicio ✓Responsable de la seguridad ✓Responsable del sistema Los prestadores de servicios externalizados tendrán un Punto o Persona de Contacto para la seguridad de la información tratada y el servicio prestado. Quiénes intervienen en la seguridad Photo by Paul Rysz on Unsplash
  • 19. Qué principios y requisitos hay que aplicar Fuente: Infografías ENS a) Seguridad como proceso integral. b) Gestión de la seguridad basada en los riesgos. c) Prevención, detección, respuesta y conservación. d) Existencia de líneas de defensa. e) Vigilancia continua. f) Reevaluación periódica. g) Diferenciación de responsabilidades. a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos de seguridad y contratación de servicios de seguridad. h) Mínimo privilegio. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de la actividad y detección de código dañino. m) Incidentes de seguridad. n) Continuidad de la actividad. ñ) Mejora continua del proceso de seguridad. Photo by Hack Capital on Unsplash
  • 20. Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad. Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicios en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de las aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (I/III)
  • 21. Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (II/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
  • 22. Fuente: Infografías ENS Qué medidas de seguridad hay que implantar (III/III) Marco organizativo: medidas relacionadas con la organización global de la seguridad. Marco operacional: medidas para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección: para proteger activos concretos, según su naturaleza, con el nivel requerido, en cada dimensión de seguridad.
  • 23. ✓Comprenderán aquel conjunto de medidas de seguridad que resultando del preceptivo análisis de riesgos, resulten idóneas para una concreta categoría de seguridad. ✓Persiguen introducir la capacidad de ajustar los requisitos del ENS a necesidades específicas de determinados • Colectivos: Entidades Locales, Universidades, Organismos Pagadores,… • Ámbitos tecnológicos: servicios en la nube, … Ej.: ✓ CCN-STIC-881A. Perfil de Cumplimiento Específico Universidades ✓ CCN-STIC 883A Perfil de Cumplimiento Específico Ayuntamientos pequeños (menos de 5.000 habitantes) ✓ CCN-STIC 883B Perfil Cumplimiento Específico Ayuntamientos de menos de 20.000 habitantes ✓ CCN-STIC 883C Perfil de Cumplimiento Específico Ayuntamientos de entre 20.000 y 75.000 habitantes ✓ CCN-STIC 883D Perfil de Cumplimento Específico Diputaciones ✓ CCN-STIC-884 Perfil de cumplimiento específico para Azure Servicio de Cloud Corporativo ✓ CCN-STIC-885 Perfil de cumplimiento específico para Office 365 Servicio de Cloud Corporativo ✓ CCN-STIC-886 Perfil de cumplimiento específico para Sistemas Cloud Privados y Comunitarios ✓ CCN-STIC-887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo ✓ CCN-STIC-888 Perfil de Cumplimiento Específico para Google Cloud Servicio de Cloud Corporativo Perfiles de cumplimiento específicos (art. 30)
  • 24. ✓ Mecanismo de autenticación [op.acc.6] (no uso de doble factor) ✓ Protección frente a código dañino [op.exp.6] ✓ Mantenimiento y actualizaciones de seguridad [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad) ✓ Configuración de seguridad [op.exp.2] y gestión de la configuración de seguridad [op.exp.3] ✓ Protección de servicios y aplicaciones web [mp.s.2] ✓ Perímetro seguro [mp.com.1] ✓ Separación de flujos de información en la red [mp.com.4] (Redes NO segregadas) ✓ Detección de intrusión [op.mon.1] ✓ Copias de seguridad [mp.info.6] ✓ Concienciación [mp.per.3] y formación [mp.per.4] Qué aparece en la investigación de incidentes…insuficiencias en: Photo by Alex Perez on Unsplash Photo bClaudio Schwarz | @purzlbaum on Unsplash Photo by Alex Perez on Unsplash Photo by You X Ventures on Unsplash
  • 25. Las entidades públicas notificarán al CCN-CERT los incidentes de seguridad. Las organizaciones del sector privado que presten servicios a las entidades públicas notificarán al INCIBE- CERT quien lo pondrá inmediatamente en conocimiento del CCN-CERT. El CCN-CERT determinará técnicamente el riesgo de reconexión de sistemas afectados, indicando procedimientos a seguir y salvaguardas a implementar. La SGAD autorizará la reconexión a medios y servicios comunes en su ámbito de responsabilidad, si un informe de superficie de exposición del CCN-CERT determina que el riesgo es asumible. Photo by Hack Capital on Unsplash Cómo se actúa ante un incidente
  • 26. Los sujetos responsables de los sistemas de información darán publicidad a las declaraciones y certificaciones de conformidad con el ENS. Entidades del Sector Público, prestadores de servicios o proveedores de soluciones: mismos procedimientos y documentos. Entidades de certificación: Acreditación por conforme a UNE-EN ISO/IEC 17065:2012, para certificación de sistemas del ámbito de aplicación del ENS. Cómo se demuestra la conformidad con el Declaración de Conformidad de aplicación a sistemas de información de categoría Básica. Autoevaluación para la declaración. Certificación de Conformidad de aplicación obligatoria a sistemas de información de categoría Media o Alta y voluntaria en categoría Básica. Auditoría para la certificación. Distintivos
  • 27. 8ª edición – Informe INES 2021 1008 organismos han participado en los resultados. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en: - el 55% en sistemas de categoría ALTA - el 63% en sistemas de categoría MEDIA, - el 75% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS. Cómo se monitoriza el estado de la seguridad ▪ Artículo 35. Informe del estado de la seguridad ▪ Medición de la seguridad: 4.6.2 Sistema de métricas [op.mon.2] herramienta para recogida y consolidación de datos para el Informe del Estado de la Seguridad. - Información general sobre los organismos - Gestión de riesgos - Información de seguridad organizacional - Recursos económicos y humanos - Medidas de seguridad del Anexo II del ENS. - Información sobre interconexiones - Aplicación de seguridad (métodos de autenticación, servicios subcontratados, gestión de cambios, continuidad de servicios, formación, sensibilización ...) - Gestión de incidentes (número y tiempos de respuesta). - Auditorías y certificaciones.
  • 28. Ofrece un conjunto de productos STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas. Permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro. ▪ Productos Aprobados: productos que se consideran adecuados para el manejo de información clasificada. ▪ Productos Cualificados: productos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica). Componentes certificados [op.pl.5] [op.pl.5.1]. Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero … En caso de que no existan productos o servicios en el CPSTIC que implementen las funcionalidades requeridas, se utilizarán productos certificados de acuerdo a lo descrito en el artículo 19. Una Instrucción Técnica de Seguridad detallará los criterios relativos a la adquisición de productos de seguridad. Qué productos de seguridad utilizamos
  • 29. Infraestructuras y servicios comunes Oportunidades en seguridad ▪ Reducción del perímetro físico: se reduce la carga en medidas de protección de las instalaciones e infraestructuras [mp.if] para las entidades usuarias. ▪ Reducción del perímetro lógico: se reduce la carga para las entidades usuarias en medidas tales como: explotación [mp.exp], protección de las aplicaciones informáticas [mp.sw], protección de los servicios [mp.s] y monitorización del sistema [op.mon]. ▪ Gestión de incidentes: se reduce la carga de gestión de incidentes [op.exp.7]. ▪ Mejor elasticidad: para hacer frente a picos de actividad o ataques de denegación de servicio [mp.s.4]. ▪ Mejor conformidad con estándares: para mejor recuperación, integración, interoperabilidad, portabilidad, integración con herramientas de seguridad (medidas varias de tipo [op]).
  • 30. FUENTE: Presentación Balance PRTR FECHA: 30 de agosto de 2022 La SGAD participa realizando la valoración técnica de los proyectos propuestos por las EELL, con la evaluación de la adecuación a las condiciones técnicas establecidas en la convocatoria. Primera convocatoria de transformación digital de EELL 1.000 Mill. € inversión C11.I3 92,77 Mill. € ya repartidosen 2021 149 EELL de más de 50.000 habitantes Infraestructuras Digitales Mayor importe Ciberseguridad Línea con mayor númerode proyectos Más de 20 Mill.€ para la creaciónde Centrosde Operacionesde Ciberseguridad(COCS) 16 90 proyectos 60 proyectos con actuacionescomunes 89,4Mill€ 332 PROYECTOS Presentados por 145 EELL 96,22% del presupuesto total 391,4 Mill. € transformación digital EELL 43Mill€ Administración orientadaal ciudadano 10Mill€ Operaciones inteligentes 13Mill€ Gobierno del Dato 2Mill€ Próximas acciones en ciberseguridad. Coordinación de la SGAD en colaboración con las Diputaciones provinciales, modelo de gobernanza a diseñar con la Secretaría de Estado de Política Territorial Promoción de capacidades de ciberseguridad Mejora de la adecuación al Esquema Nacional de Seguridad (ENS) Capacidades, servicios y soluciones (I/II)
  • 31. Capacidades, servicios y soluciones (II/II)
  • 32. Cómo adecuarse al ENS: Acciones principales ✓ Elaborar y aprobar la política de seguridad (art. 12) ✓ Definir roles y asignar personas. Responsable de seguridad. (art. 13) ✓ Categorizar los sistemas (art. 28, 40) ✓ Analizar los riesgos está actualizado (art. 28) ✓ Seleccionar y elaborar la declaración de aplicabilidad; e implantar las medidas de seguridad. (Anexo II) ✓ Auditar la seguridad (art. 31) ✓ Publicar la conformidad (art. 38) ✓ Informar del estado de la seguridad (art. 32)
  • 33. Administración General del Estado Gobernanza y Cooperación TIC Grupos (…de ENI y ENS, COCS) Comisión Sectorial de Administración Electrónica Ley 40/2015, d.a. 9ª AGE, CCAA, FEMP, CRUE Grupos de trabajo (…GT de Seguridad) CIO (SGAD) CIO (SGAD) Consejo de Certificación del ENS Constituido: 2018 Preside: CCN Miembros: SGAD, ENAC, entidades de certificación del ENS acreditadas y Órganos de Auditoría Técnica Misión: Velar por la adecuada implantación de la Certificación del ENS + Comunidad Cooperación, Gobernanza y comunidad
  • 34. Photo by Marvin Meyer on Unsplash 1. ¿Qué está pasando? ¿Por qué es necesaria la seguridad? 2. ¿Cómo nos protegemos? El Esquema Nacional de Seguridad 3. Conclusiones
  • 35. Con el liderazgo de la Secretaría General de Administración Digital y el Centro Criptológico Nacional, junto con sus equipos de colaboradores, el ENS es el resultado de un esfuerzo colectivo del sector público de España, con la colaboración del sector privado, que vienen contribuyendo activamente a su elaboración, desarrollo, aplicación y evolución. Photo by Annie Spratt on Unsplash
  • 37. Situación de España, ciberseguridad Global Cybersecurity Index 2020 (UIT)
  • 38. 1. Que seáis partícipes y agentes activos de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas y los ciberataques. 2. Que en vuestras iniciativas, proyectos y actuaciones tengáis como referente el Photo by Paul Rysz on Unsplash ¿Qué esperamos por vuestra parte?
  • 39. Muchas gracias 19 de noviembre de 2022 Miguel A. Amutio Director de Planificación y Coordinación de Ciberseguridad Photo by Marvin Meyer on Unsplash