Implantación del Esquema Nacional de Seguridad en las Administraciones Locales.

Transcripción

1 Implantación del Esquema Nacional de Seguridad en las Administraciones Locales. Version: Objetivos y fases de desarrollo. Ponente: Javier Cao Avellaneda Cybersecurity, Privacy, and IT Risk Leader GOVERTIS. Javiercao 1

2 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 2

3 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 3

4 Transformación digital: evolución en el entorno laboral Las tecnologías de la información se han adentrado en el día a día de las actividades de toda organización. Procesadores de texto vs máquinas de escribir. Correo electrónico vs fax Archivos electrónicos vs expedientes papel. Servicios Web vs consultas telefónicas o por fax Digitalización de la información

5 Soporte papel vs electrónico: Cambio de contexto. El soporte papel es tangible y por tanto, limitado por las restricciones físicas (espacio y tiempo). Su creación ocupa un espacio material. Su traslado implica un transporte físico. Su destrucción supone una eliminación del soporte tangible. El tratamiento de soportes tangibles se encuentra limitado por las restricciones de espacio y tiempo. La conservación sólo requiere condiciones físicas adecuadas. 5

6 Soporte papel vs electrónico: Cambio de contexto. La información en formato electrónico es intangible pero se almacena en soportes tangibles. Su gestión requiere contemplar muchos más aspectos para el tratamiento y la conservación. Un documento es la suma de contenido+ metadatos. El análisis de evidencias es la revisión del soporte, los datos, los metadatos y los logs de aplicaciones y sistemas que han tratado esos datos. Disciplinas de análisis forense informático El tiempo es un parámetro del sistema informático y se puede alterar. 6

7 Sistema información para la tramitación en soporte papel. Características del soporte papel: Toda la información está en el soporte. Evidencias físicas inmutables que pueden ser analizadas. 7

8 Administración presencial: Servicios 1.0. Servicios 1.0 8

9 Proceso de tramitación en soporte papel Persona Documento en papel Expediente en papel Archivo en papel Sede física de la Administración Pública 1. El ciudadano realiza una labor previa de recopilación de documentos. 2. Acude presencialmente a la ventanilla de registro. 3. Se inicia la fase de tramitación interna. 4. Revisar, validar, generar nuevos documentos adjuntos al expediente que se almacena en el Archivo. 5. Cuando acaba, notifica al interesado la resolución del mismo. Los agentes se acreditan por su presencia física y el rastro del trámite en los soportes. 9

10 Cuáles son las amenazas en este contexto?. Documentación papel Expediente papel Personal Compromiso de información: pérdida de documentos, robo, errores de tratamiento. Acciones no autorizadas: abuso de privilegios, fraude. INTENCIONADAS Archivo Soporte papel en tránsito Daños físicos: deterioro de soportes, fuego, inundación. AVERIAS o ACCIDENTES Edificios Eventos naturales: Terremoto, riada, inundación. EVENTOS NO PREDECIBLES 10

11 Riesgos de seguridad en soporte papel. Amenazas: o Agresor requiere acceso físico a instalaciones. Casuísticas: o Errores del personal en la tramitación. o Pérdida o extravío de documentos. o No adecuada conservación. o Errores afectan a un conjunto limitado de expedientes. Soluciones: o Protección mediante medidas de seguridad físicas. 11

12 Garantías en tramitación en soporte papel Garantías de identidad: El interesado presenta el DNI. Garantías de autenticidad e integridad: Documentos en papel y firmas manuscritas. Acreditar fecha y hora en el que se tramita: Un funcionario habilitado genera un recibo que acredita la hora y lo sella como registro de salida. Adecuada custodia y control de acceso a las instalaciones. Control de acceso a las instalaciones y seguridad física en las salas y armarios en donde se custodia la documentación. 12

13 Sistema información para la tramitación en soporte electrónico. Características del soporte electrónico: Poco espacio, mucha información. Mayor velocidad de transmisión. Inmediatez del envío. Contiene METADATOS!. No hay garantías previas de originalidad y autoría. 13

14 Administración presencial: Servicios 2.0. Servicios

15 Tramitación en soporte electrónico. Identificación y autenticación del ciudadano Comunicaciones y notificaciones electrónicas Sede electrónica Autor Documento electrónico Expediente electrónico Archivo electrónico 15

16 Cuáles son las amenazas en este contexto?. Amenazas físicas de los sistemas de información en soporte papel y las salas o recursos de los sistemas de información. Documentación papel Expediente papel Personal Compromiso de información: pérdida de documentos, robo, errores de tratamiento. Acciones no autorizadas: abuso de privilegios, fraude. INTENCIONADAS Archivo y recursos TI Soporte papel en tránsito Daños físicos: deterioro de soportes, fuego, inundación. ACCIDENTES FISICOS Edificios Eventos naturales: Terremoto, riada, inundación. EVENTOS NO PREDECIBLES 16

17 Cuáles son las amenazas en este contexto?. Amenazas lógicas de los sistemas de información que pueden producir incidentes informáticos. Usuarios Administradores Desarrolladores Aplicaciones Hardware servidores y red Soportes lógicos Proveedores de telecomunicaciones CPD Errores: De introducción de datos, de programación, de administración de sistemas. Acciones no autorizadas: Hacking, spam, phishing,malware Avería o corte de suministro: fallo hardware, corte eléctrico. Daños físicos: deterioro de soportes, fuego, inundación. NO INTENCIONADAS INTENCIONADAS AVERIAS LOGICAS ACCIDENTES 17

18 Riesgos de seguridad en soporte electrónico. Amenazas: o Agresor ya NO requiere siempre el acceso físico a instalaciones. Casuísticas: o Errores de usuario que participa en el proceso de tramitación. o Pérdida o extravío de documentos. o Alteración de datos en sistemas informáticos. o Errores en la administración o programación de sistemas de información. o Caídas o averías de hardware o software. o Fallos técnicos de los prestadores de servicios. Soluciones: o Protección mediante medidas de seguridad físicas. o Protección mediante seguridad lógica de las piezas clave del sistema de información que da soporte al proceso de tramitación electrónica. 18

19 Y qué garantías podemos dar en tramitación en soporte electrónico? Seguridad de la información basada en tecnología: Certificado electrónico (Autenticación del actor). Firma electrónica (Autenticación e integridad de los actores). Cifrado de datos (Confidencialidad) Sellado de tiempo (Autenticación e integridad del tiempo). Evidencias electrónicas (Trazabilidad de las acciones) Seguridad jurídica basada en la legislación de e Admin: Ley 59/2003, de firma electrónica. Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas. 19

20 Por tanto, es necesaria la regulación como marco de garantías. REGULACIONES NORMAS. LOPD / RDLOPD. Ley 15/1999. Personas físicas. ESQUEMA NACIONAL DE SEGURIDAD. R.D. 3/2010. CIUDADANOS. 20

21 Contexto legal de la Administración electrónica. Administración electrónica Protección de datos de carácter personal Ley 39/2015 Firma electrónica RGPD Ley 59/2003 (Firma-e) R.D. 3/2010 (ENS) R.D. 4/2010 (ENI) Ley 15/1999 (LOPD) R.D. 1720/2007 (RMS-LOPD) 21

22 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 22

23 Los medios electrónicos establecidos por la Ley 39/2015. Aparecen nuevas piezas que dan soporte a los procedimientos administrativos que emplean medios electrónicos. Documento electrónico: documento de la administración firmado digitalmente. Sede electrónica: sitio Web de la Administración que acredita su identidad mediante certificado electrónico. Expediente electrónico: sistema informático que garantiza la integridad de los documentos electrónicos que forman el expediente. Archivo electrónico: gestor documental que garantiza la integridad de los expedientes electrónicos. 23

24 Los medios electrónicos establecidos por la Ley 39/2015. Los actos administrativos deben dejar trazabilidad ahora en los medios electrónicos. Registro electrónico: mecanismo de registro y acreditación del intercambio de información entre Administración y ciudadanos. Notificación telemática: mecanismo de comunicación al ciudadano para acreditar la notificación fehaciente a través de medios electrónicos. 24

25 Documento electrónico. Definición: información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado, y susceptible de identificación y tratamiento diferenciado. Un documento administrativo electrónico es, por tanto, el objeto digital administrativo que contiene la información objeto (datos y firma) y los datos asociados a ésta (metadatos). Regulación: R.D. 4/2010 del Esquema Nacional de Interoperabilidad. La Norma Técnica de Interoperabilidad de Documento electrónico establece los componentes del documento electrónico, incluyendo contenido, firma electrónica y metadatos mínimos obligatorios, y su formato, así como las condiciones para su intercambio y reproducción; para los aspectos relativos a la gestión y conservación de los documentos electrónicos. 25

26 Documento electrónico. Debemos siempre considerar que un documento electrónico está constituido por 3 partes: El contenido, entendido como el conjunto de datos en que se sustancia la información de un documento electrónico. La firma electrónica definida como un conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que: a. permite detectar cualquier cambio ulterior de los datos firmados, b. está vinculada al firmante de manera única y a los datos a los que se refiere c. y ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. Los metadatos, elemento que proporciona contexto al contenido, estructura y firma de un documento, contribuyendo al valor probatorio y fiabilidad de éste a lo largo del tiempo como evidencia electrónica de las actividades y procedimientos. 26

27 Sede electrónica. La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, creó el concepto de «sede electrónica», justificado por «la necesidad de definir claramente la «sede» administrativa electrónica con la que se establecen las relaciones, promoviendo un régimen de identificación, autenticación, contenido mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad». Las sedes electrónicas, que sustituyen a las actuales oficinas virtuales, son un punto de acceso electrónico a aquellos servicios que requieran la autenticación de los ciudadanos o de la administración, dotado de especiales condiciones de identificación, seguridad y responsabilidad que garantizan una información veraz, actualizada y completa. Mediante el dominio específico reservado a las mismas (.gob.es) y el certificado de sede queda asegurada su identificación, de manera que el ciudadano tiene la certeza de que se encuentra en un sitio de la administración y de que nadie ha realizado una suplantación del mismo, así como que las conexiones que se establezcan en las sedes electrónicas son seguras para salvaguardar la necesaria confidencialidad en los intercambios de datos que se realicen. 27

28 Expediente electrónico. Definición: conjunto de documentos electrónicos correspondientes a un procedimiento administrativo, cualquier a que sea el tipo de información que contengan. Para garantizar la vinculación de documentos electrónicos que conforman un expediente, la Ley define el índice electrónico como la relación de documentos electrónicos de un expediente electrónico, firmada por la Administración, órgano o entidad actuante, según proceda y cuya finalidad es garantizar la integridad del expediente electrónico y permitir su recuperación siempre que sea preciso. Regulación: R.D. 4/2010 del Esquema Nacional de Interoperabilidad. La Norma Técnica de Interoperabilidad de Expediente Electrónico tiene por objeto establecer la estructura y el formato del expediente electrónico, así como las especificaciones de los servicios de remisión y puesta a disposición. 28

29 Expediente electrónico. Debemos siempre considerar que un expediente electrónico está constituido por 4 partes: Los documentos electrónicos, entendido como el conjunto de datos en que se sustancia la información de un documento electrónico. El índice electrónico, entendido como un objeto digital que contiene la identificación sustancial de documentos electrónicos que componen el expediente debidamente ordenada para reflejar la disposición de los documentos así como otros datos para preservar la integridad y permitir la recuperación del mismo. La firma electrónica que garantiza la autenticidad e integridad del contenido del indice, y por extensión, de los documentos que conforman el expediente electrónico así como su estructura. Los metadatos, conjunto de datos que proporciona contexto al contenido, estructura y firma del expediente, contribuyendo al valor probatorio y fiabilidad de éste a lo largo del tiempo como evidencia electrónica de las actividades y procedimientos. 29

30 Archivo electrónico. La Administración tiene la obligación de archivar los documentos electrónicos relativos a actos administrativos que afecten a los derechos o intereses de los particulares en el mismo formato en el que se originaron, o en otro cualquiera que asegure la identidad e integridad de la información necesaria para reproducirlo. Se debe asegurar la posibilidad de trasladar los datos a otros formatos y soportes que garanticen el acceso. Los distintos soportes deben contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos. 30

31 Registro electrónico Los registros electrónicos cumplen en la Administración electrónica con la función esencial de posibilitar a los ciudadanos la presentación, por vía electrónica, de sus solicitudes, formularios, declaraciones y demás documentos relacionados con los procedimientos administrativos que les afectan, obteniendo el recibo o justificante oportuno. Por su parte, los órganos administrativos registran, a través de ellos, los documentos electrónicos que emiten en el ejercicio de sus competencias. Los registros electrónicos cumplen respecto de los procedimientos electrónicos, la misma función que los registros administrativos clásicos, de entrada y salida de documentos, han cumplido respecto de los documentos en papel. 31

32 Notificaciones telemáticas seguras. Este servicio pone a disposición de cualquier persona física o jurídica que lo solicite la posibilidad de recibir por vía telemática las notificaciones que actualmente recibe en papel. Hay que señalar que se trata de un servicio de utilización voluntaria y gratuita, que requiere determinadas especificaciones técnicas en el equipo que utilice el usuario: Uso de certificado personal estándar de firma electrónica puesto que el acceso a su contenido por el usuario requiere firma electrónica de acuse de recibo. 32

33 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 33

34 Alcance del R.D. 3/2010 El alcance del Esquema Nacional de Seguridad está determinado por las Leyes 39 /2015 y 40/2015. Resultará de aplicación a todos los sistemas de información, con independencia de que exista o no tratamiento de datos personales o que su tramitación sea a través de sede electrónica. Establece por tanto los requisitos de seguridad que deben alcanzarse en el proceso de transformación digital de las AA.PP. para garantizar la seguridad jurídica del proceso administrativo mediante el uso de medios electrónicos. 34

35 El ciudadano es el beneficiario de la protección jurídica. Cualesquiera personas físicas, personas jurídicas y entes sin personalidad que se relacionen, o sean susceptibles de relacionarse, con las Administraciones Públicas. Destinatario, beneficiario o parte en los procedimientos administrativos para los que una unidad administrativa tiene competencias públicas encomendadas. 35

36 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 36

37 Pilares del R.D. 3/2010 ENS MISIÓN DEL ENS: GENERAR CONFIANZA EN EL USO DE LA TECNOLOGIA. OBJETIVOS: ESTABLECER LA POLÍTICA DE SEGURIDAD EN LA UTILIZACIÓN DE MEDIOS ELECTRÓNICOS CONSTITUIDA POR LOS PRINCIPIOS BÁSICOS Y LOS REQUISITOS MÍNIMOS PARA UNA PROTECCIÓN ADECUADA DE LA INFORMACIÓN. PROMOVER LA GESTIÓN CONTINUADA DE LA SEGURIDAD, AL MARGEN DE IMPULSOS PUNTUALES, O DE SU AUSENCIA. PROTEGER LA DISPONIBILIDAD, AUTENTICIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DE LOS DATOS ALMACENADOS O TRANSMITIDOS, DE LOS SERVICIOS PROPORCIONADOS Y DE LOS SISTEMAS DE INFORMACIÓN NECESARIOS PARA SU SUMINSTRO. 37

38 Objetivos del R.D. 3/2010 ENS FINALIDAD RD 3/2010 (ENS). Preámbulo. La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los Ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan. 38

39 Dimensiones de la seguridad de la información. DISPONIBILIDAD INTERRUPCIÓN CONFIDENCIALIDAD INTERCEPTACIÓN MODIFICACIÓN FABRICACIÓN INTEGRIDAD AUTENTICACIÓN y TRAZABILIDAD 39

40 Disponibilidad de la información o servicios [D]. Garantiza la accesibilidad y operatividad de la información o los servicios en los tiempos que se requieren para el desarrollo normal de la actividad. Garantizar que todo funciona según n lo previsto y en los tiempos requeridos. 40

41 Confidencialidad de la información [C]. Garantiza que la información solo será comprensible y utilizable por el destino autorizado permaneciendo oculta para el resto que pueda tener acceso. Garantizar que solo accede a la información n quien está autorizado para ello. 41

42 Integridad de la información [I]. Detectar la modificación o alteración no autorizada, aunque no la impide. Verificar que el contenido no ha sido manipulado. 42

43 Autenticidad de los actores [A]. Garantiza la identidad de las entidades mediante algún tipo prueba: Algo que se sabe. Algo que se tiene. Algo que se es. Puede ser en ambos sentidos. Verificar que se es quien se dice ser. 43

44 Trazabilidad de los accesos y modificaciones [T]. Poder evidenciar quién ha realizado una determinada actividad y cuándo se ha producido. Es fundamental para poder demostrar la corrección de la transacción y que no ha sido realizada por un usuario no autorizado. No poder demostrar la trazabilidad pone en duda al sistema de tratamiento. Conocer quién, cuándo y cómo c ha podido tratar la información. n. 44

45 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 45

46 Estructura del R.D. 3/2010 ENS ESTRATEGIA TÁCTICA OPERACIÓN 46

47 Líneas estratégicas Basadas en pilares de la seguridad ya implantados por otras normas de referencia (ISO 27001). Seguridad holística (Cadena de eslabones). Orientada a la gestión del riesgo. Estrategias proactivas y reactivas (prevención, detección y recuperación). Líneas de defensa: No un solo muro de protección sino medidas complementarias. Necesaria detección tempana. Reevaluación periódica: Ciclo de mejora continua basado en la revisión mediante auditorías. Seguridad como función diferenciada: Seguridad independiente de la gestión operativa de sistemas.

48 Qué proteger? (Obligaciones de la AA.PP.) La e-administración incrementa los requisitos internos de seguridad. Disponibilidad: Servicios online= Servicios 24 x 7 x 365. Necesidad de garantizar continuidad de negocio. Confidencialidad: Las AA.PP. son también bancos de datos. Integridad: Veracidad de la información. Evidencia digital de transacciones. Autenticación: Demostrar la veracidad de la identidad de las partes (ciudadano y la propia Administración) para evitar suplantación. 48

49 Qué garantizar? (Derechos del ciudadano) El ciudadano adquiere nuevos derechos en el uso de los servicios de la administración. Disponibilidad: Acceso 24 x 7 x 365 a datos en trámitación o copias. Conservación de documentos electrónicos tramitados (Conservación). Confidencialidad: Protección de la intimidad (Privacidad). Integridad: Que se garantice la corrección de la información aportada (Calidad de los datos). Autenticación: Tener garantías de la identificación correcta de la AA.PP. (Sede electrónica) Funcionamiento de los medios para la comprobación de la veracidad de la identidad. 49

50 Medidas de seguridad a desplegar org Marco organizativo Quién lo hará? op op.pl op.acc op.exp op.ext op.cont op.mon mp mp.if mp.per mp.eq mp.si mp.sw mp.s Marco operacional Planificación Control de acceso Explotación Servicios externos Continuidad del servicio Monitorización del sistema Medidas de protección Protección de las instalaciones e infraestructuras Gestión del personal Protección de los equipos Protección de los soportes de información Protección de las aplicaciones informáticas Protección de los servicios Procesos de seguridad Medidas concretas

51 Niveles basados en 3 categorías Artículo 43 ENS. Categorías de seguridad. TRES NIVELES DE SEGURIDAD EN BASE AL IMPACTO : BÁSICO MEDIO ALTO LAS MEDIDAS SE INCREMENTAN EN BASE AL PRINCIPIO DE PROPORCIONALIDAD. 51

52 Criterio de valoración atendiendo a daños. El criterio para estimar los perjuicios causados por un incidente de seguridad debe atender a las siguientes escalas de valoración: Reducción de la capacidad operativa. Daños causados sobre los activos de la organización. Incumplimiento de legislación. Perjuicios al ciudadano. Otros criterios. 52

53 Sistemas de información. Modelo de arquitectura empresarial basada en capas Tres grandes áreas: Capa de negocio. Capa de aplicaciones. Capa de tecnología. 53

54 Sistemas de información La categoría de un Sistema de información es la valoración de «Servicio»e «Información». Información de ciudadanos Aplicación gestión expedientes Hardware servidores Administración electrónica del Ayuntamiento. PROPIETARIO DE INFORMACION Sede electrónica Red Troncal Ayuntamiento Web Registro telemático Correo electrónico Hardware servidores PROPIETARIO DE LOS SERVICIOS CPD 1 Contenido= Información CPD 2 Servicios para transportar el contenido

55 Dependencias afectan a procesos Es necesario identificar los servicios TI y qué infraestructuras y recursos son necesarios para suministrarlos. De esta forma se puede calcular qué consecuencias tiene un incidente en cualquiera de los elementos de soporte necesarios. 55

56 Valoración del impacto C I D 1 B Sede electrónica M M Tramites administrativos M M B Pagos Contabilidad Dirección RR.HH. B M M B A B A M M A M B M M M B A B A M B M M A A M M A A M M M M B A B A M M M M M A A M

57 Amenazas Medidas de seguridad Salvaguardas Incendio Corte Eléctrico Fallecimiento empleado Virus Fuga de datos Impacto Vulnerabilidades

58 Relación de causas y efectos pensando en el ciudadano. Causas o daños en las dependencias y estimar Información Soportes Aplicaciones software Hardware Ubicaciones físicas Consecuencias en los servicios suministrados al ciudadano. Sede electrónica Recaudación Urbanismo Servicios sociales

59 Cuánta seguridad es necesaria? = Categoría del sistema. Artículo 27. Cumplimiento de requisitos mínimos. 1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta: Los activos que constituyen el sistema. La categoría del sistema, según lo previsto en el artículo 43. Las decisiones que se adopten para gestionar los riesgos identificados.

60 Categorización de los sistemas de información. Se deberán valorar las consecuencias de un incidente sobre diferentes trámites para estimar qué consecuencias tendría un problema de seguridad y establecer así la categoría del sistema. SERVICIO 1 SERVICIO 2 TRAMITE 1 60

61 Toma de decisiones ordenada por relevancia. MAPA DE RIESGOS. La zona 3 es prioritaria y urgente. La zona 2 es la segunda relevante. Los riesgos de la zona 1 se aceptan. 61

62 Gestión del riesgo es algo cotidiano en nuestras vidas. REDUCIR Poner alarma Comprar puerta blindada EVITAR No comprarla ACEPTAR No hacer nada TRANSFERIR Contratar seguro

63 La gestión del riesgo establece estrategia de seguridad. MEDIDAS PREVENTIVAS MEDIDAS DE RESPUESTA RIESGO Estrategias de gestión del riesgo Prevención Detección Respuesta

64 Considerar el factor humano como actor principal. Modelo del Queso Suizo James Reason (1995), Barreras para impedir amenazas cómo láminas de queso. Contempla dos tipos de errores: Activos: Son acciones u omisiones, incluyendo errores e incumplimientos, que tienen consecuencias adversas inmediatas. Latentes: Creadas por diseño deficiente, objetivos incompatibles, defectos de organización o malas decisiones de la Dirección. Cuando estos se alinean hacen que el riesgo se materialice, generando daños en las organizaciones.

65 El ENS establece medidas que optan por diferentes estrategias de gestión del riesgo. Prevención Detección Represión Corrección Recuperación RIESGO INCIDENTE DAÑOS RECUPERACIÓN Reducir probabilidades de las amenazas Reducir las consecuencias de los daños 65

66 Medidas de seguridad del ENS. 66

67 Esfuerzo progresivo según niveles. Nivel organizativo (4): idéntico esfuerzo en los 3 niveles. 67

68 Esfuerzo progresivo según niveles. Nivel Operacional (31): depende del alcance, extiende las cobertura de las medidas. Nivel BASICO: 13 medidas. Nivel MEDIO: 13 medidas más que nivel BASICO. Nivel ALTO: 12 medidas más que nivel MEDIO. 68

69 Esfuerzo según niveles Medidas de protección (40). Nivel BASICO: 30 medidas. Nivel MEDIO: 16 medidas más que nivel BASICO. Nivel ALTO: 16 medidas más que nivel MEDIO. 69

70 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 70

71 Responsabilidades del ENS GUÍA CCN CERT 801. RESPONSABILIDADES Y FUNCIONES Establece «requisitos» de protección Vigila el cumplimiento de los «requisitos» de protección DPD Maneja y opera los sistemas según «requisitos» de protección

72 Responsabilidades según ENS Vigila el cumplimiento Supervisión Responsable de la información Establecen «requisitos» de protección Responsable de seguridad Responsable del servicio Operación sistemas de información Administrador de seguridad Responsable del sistema de información Maneja y opera los sistemas según «requisitos» de protección

73 Comité de Seguridad de la Información. Se articularán y funcionarán como órganos colegiados de acuerdo con la normativa administrativa. El Comité de Seguridad tiene como responsabilidades: Atender las inquietudes de la Dirección en materia de seguridad y elaborar la estrategia de despliegue de la seguridad. Informar del estado de la seguridad y promover la mejora continua. Monitorizar los principales riesgos, hacer seguimiento de los incidentes y promover la realización de auditorías periódicas que permitan verificar el estado del ENS. Aprobar planes de mejora de la seguridad y priorizar las actuaciones cuando los recursos sean limitados. El ENS le atribuye la potestad de garantizar el cumplimiento del propio ENS.

74 Comité de Seguridad de la Información. El Comité de Seguridad de la Información, será la herramienta de toma de decisiones de la Organización. Es quien establece las necesidades de seguridad y establece los criterios de gestión del riesgo. Debe representar a todas las partes implicadas dentro del alcance del ENS.

75 Responsable de la información. El Responsable de la información es una persona que ocupa un alto cargo en la Organización. Es la persona a la que se deben comunicar las incidencias detectadas en la gestión de los datos (personales o no) sobre los que ostenta responsabilidad. Es el responsable último de cualquier error o negligencia que lleve a un incidente de integridad o confidencialidad. El ENS le atribuye la potestad para establecer el «Nivel de seguridad» de la información. Puede ser persona concreta u órgano colegiado según la estructura administrativa interna.

76 Responsable del Servicio. El Responsable del Servicio tiene la potestad para establecer los requisitos del servicio en materia de seguridad. Habitualmente, suele coincidir con los Responsables de Área o Departamento. También puede asignarse este rol al Comité de Seguridad. La prestación del servicio siempre debe atender a los requisitos de seguridad de la información que maneja y suele añadir requisitos de disponibilidad, accesibilidad, interoperabilidad. El ENS le atribuye la potestad para establecer el «Nivel de seguridad» del servicio. Puede ser persona concreta u órgano colegiado según la estructura administrativa interna.

77 Responsable de Seguridad de la Información. El Responsable de Seguridad tiene como responsabilidades: Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información según lo establecido en la Política de Seguridad. Promover la formación y concienciación en materia de seguridad. El ENS le atribuye la potestad de supervisar el cumplimiento del propio ENS. Debe ser una persona concreta.

78 Delegado de Protección de Datos (figura RGPD). El Responsable de Seguridad tiene como responsabilidades: Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones según el RGPD Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; Debe ser una persona concreta.

79 Posibles organigramas ENS+RGPD. Supervisión Comité de Seguridad Responsable de la información Responsable de seguridad Delegado de Protección de Datos Responsable del servicio Administrador de seguridad Responsable del sistema de información Operación de los sistemas de información

80 Organigramas posibles Según sugiere el documento CCN STIC 801 Responsabilidades y funciones del ENS Órganos de Gobierno Dirección ejecutiva Nivel operacional Alta dirección que entiende la misión de la Organización, determina los objetivos a alcanzar y responde de que se alcancen. Gerencias que entienden qué hace cada departamento y cómo se coordinan entre sí para alcanzar los objetivos marcados por Dirección. Se centra en cada actividad concreta y controla cómo se hacen las cosas.

81 Gobierno y gestión mediante el modelo de 3LD. Junta de Gobierno Comité de seguridad y privacidad (ENS+RGPD) Sistemas de información y Tratamientos CISO y DPO Auditores

82 Agenda. Tramitación electrónica, transformación digital de las AA.PP. Piezas del sistema de información de la tramitación electrónica. Por qué es necesario un Esquema Nacional de Seguridad. R.D. 3/2010, Esquema Nacional de Seguridad (ENS). Alcance. Objetivos. Estructura y contenido del ENS. Roles y responsabilidades del ENS. Fases para la adecuación e implantación del ENS+RGPD. 82

83 Procesos + Personas + Tecnología MEDIDAS DE SEGURIDAD GESTIÓN DE LA SEGURIDAD

84 El proceso de adecuación al ENS.

85 El proceso de adecuación al RGPD. 85

86 Aprovechar las sinergias entre ENS y RGPD. Cumplimiento cubierto por las medidas del ENS Problemática técnico organizativa Problemática jurídico organizativa La seguridad en ambos marcos (ENS y RGPD) supone las mismas medidas.

87 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. INTEGRACIÓN DE AMBOS MARCOS NORMATIVOS ENS RGPD CUMPLIMIENTO TOTAL

88 3. HOJA DE RUTA ENS Y RGPD

89 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. PROGRAMACIÓN DE LAS ACTUACIONES EN FASES (PDCA) FASE 1: PLAN DE ADECUACIÓN FASE 2: IMPLANTACIÓN + FASE 4: MEJORA CONTINUA FASE 3: REVISIÓN

90 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 1. PLAN DE ADECUACIÓN (PLAN) 1 IDENTIFICACIÓN DE LOS ROLES Y RESPONSABILIDADES CONJUNTOS ENS+RGPD. 2 DEFINIR Y APROBAR LA POLÍTICA DE SEGURIDAD Y PRIVACIDAD. 3 IDENTIFICAR Y VALORAR LOS ACTIVOS (SERVICIOS, INFORMACIÓN, SISTEMAS) 4 CATEGORIZACIÓN DE LOS SISTEMAS (BAJA, MEDIA, ALTA) y ELABORAR EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT) ANÁLISIS DIFERENCIAL DE LOS SISTEMAS RESPECTO DEL CUMPLIMIENTO DEL E.N.S. y del R.D. 1720/2007 ANALISIS Y GESTIÓN DEL RIESGO ELABORAR UNA DECLARACIÓN DE APLICABILIDAD INFORME DE INSUFICIENCIAS Y PLAN DE MEJORA DE LA SEGURIDAD

91 91

92 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 2: IMPLEMENTACIÓN (DO) IMPLEMENTAR EL PLAN DE MEJORA DE LA SEGURIDAD APROBADO INCLUYENDO LOS PROCEDIMIENTOS, NORMATIVA Y CONTROLES ESPECIFICADOS DEFINIR EL MODO DE MEDIR LA EFICACIA DE LOS CONTROLES MEDIR LA EFICACIA DE LOS CONTROLES 4 CONCIENCIAR A TODO EL PERSONAL AFECTADO DE LA TRANSCENDENCIA Y DE LA IMPORTANCIA DE LAS ACTIVIDADES DE SEGURIDAD DE LA INFORMACIÓN Y DE SU CONTRIBUCIÓN A LOS OBJETIVOS DEL SISTEMA DE GESTIÓN DEL ENS 5 COMENZAR A OPERAR EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, REGISTRANDO TODO AQUELLO QUE SE CONSIDERE RELEVANTE 6 MONITORIZAR PERMITIENDO UNA DETECCIÓN TEMPRANA DE EVENTOS DE SEGURIDAD Y UNA RESPUESTA ANTE INCIDENTES DE SEGURIDAD

93 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASE 2: IMPLEMENTACIÓN (DO) 93

94 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASES 3 Y 4: REVISIÓN Y MEJORA (CHECK y ACT) 1 AUTO EVALUACIONES Y CONTROLES PERIÓDICOS DEL ENS Y RGPD 2 ACCIONES DE MEJORA CONTINUA (CORRECTIVAS, PREVENTIVAS) DEL ENS Y RGPD. 3 AUDITORÍA DE CONFORMIDAD.

95 Garantizar la mejora continua. Ciclo de resolución DEFICIENCIA Acción correctiva Incidencias o carencias Todo en orden Ciclo de mantenimiento OBSERVACIÓN Ciclo de mejora Construir mejora continua (Sinergias con el ENS) Mantener el Sistema Ideas/Mejoras OPORTUNIDAD DE MEJORA 95

96 HOJA DE RUTA PARA ADAPTARSE AL ENS+RGPD. FASES 3 Y 4: REVISIÓN Y MEJORA (CHECK y ACT) 96

97 La responsabilidad activa y el ENS llevan implícita la mejora continua - Definir la Política de Seguridad - Establecer categorías y tratamientos - Realizar el análisis de riesgos - Seleccionar medidas ENS - Ejecutar el plan de adecuación al ENS - Implantar los controles - Adoptar acciones correctivas - Adoptar acciones preventivas - Realizar auditorias del ENS y RGPD

98 Reflexiones finales

99 CCN CERT ha procedido al desarrollo de guías. 99

100 CCN CERT ha procedido al desarrollo de guías. 100

101 La FREM también aporta guías para la adecuación. Las guías de la FREM tiene ejemplos particularizados a la problemática de Ayuntamientos con una guía especial para aquellos de menos de habitantes. Guía Estratégica en Seguridad para Entidades Locales (TOMO I). Guía para entidades locales. Guía Estratégica en Seguridad para Entidades Locales (TOMO II). Guía para entidades locales de menos de habitantes. 101

102 Las guías de la AEPD proporcionan detalles. Guía práctica de análisis de riesgos en los tratamientos en la protección de datos sujetos al RGPD. Guía práctica para las evaluaciones de impacto en la protección de datos sujetos al RGPD.

103 R.D. 3/2010 = Proporcionalidad según tipos de trámites y consecuencias. El ENS establece un conjunto suficiente de garantías si: Se implanta ANTES de poner en marcha las sedes electrónicas. Se audita su correcto funcionamiento por personal cualificado. Se diferencia 103

104 En seguridad siempre pensar en el eslabón más débil. 104

105 Es perdonable ser vencido, pero nunca ser sorprendido. Federico II de Prusia. 105

106 Muchas gracias 106