Esquema Nacional de Seguridad

Transcripción

1 IMPLANTACION DEL ENS CON LA HERRAMIENTA PublICA PLANIFICACION Y SEGUIMIENTO Sólo quedan 3 años Jesús Castellanos 23 de febrero de 2011

2 00Agenda 01 Esquema Nacional de Seguridad 02 Evolución 03 Cómo lo hacemos 04 PublICA 05 - Conclusiones

3 01 Esquema Nacional de Seguridad ENS Todas las Administraciones implicadas PublICA es un sistema de autoevaluación que permite conocer el nivel de cumplimiento de la Administración PublICA con respecto a las medidas de seguridad establecidas en el Esquema Nacional de Seguridad y planificar la adecuación. El Esquema Nacional de Seguridad establece en el art. 34 las condiciones de auditoria de los Sistemas de Información por lo que todos los sistemas deben ser evaluación al menos cada 2 años. El Esquema Nacional de Seguridad establece en la Disposición Transitoria las condiciones de adecuación de los Sistemas de Información existentes actualmente en la Administración PublICA. Si a enero de 2011 hay circunstancias que impiden la aplicación del ENS, se debe disponer de un plan de adecuación a ejecutar antes de enero de 2014.

4 01 Esquema Nacional de Seguridad ENS Estructura Marco legal Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Recomendaciones Guías serie 800 CCN-STIC Familia normas ISO CobIT ITIL PCI-DSS Ley Orgánica 15/1999 Real Decreto 1720/2007 MAGERIT PILAR ISO ITIL PCI NIST COBIT ISO ISO Ley 11/07 - Reglamento 1671/09 LOPD - RD 1720/07 Esquema Nacional de Seguridad

5 01 Esquema Nacional de Seguridad ENS Estructura Medidas de protección POLITCA DE SEGURIDAD NORMATIVA DE SEGURIDAD PROCEDIMIENTOS DE SEGURIDAD PROCESO DE AUTORIZACION 31 INSTALACIONES E INFRAESTRUCTURAS GESTION DEL PERSONAL PROTECCION DE LOS EQUIPOS PROTECCION DE LAS COMUNICACIONES PROTECCION DE SOPORTES DE INFORMACION PROTECCION DE APLICACIONES INFORMATICAS PROTECCION DE LA INFORMACION PROTECCION DE LOS SERVICIOS 4 40 PLANIFICACION CONTROL DE ACCESO EXPLOTACION SERVICIOS EXTERNOS CONTINUIDAD DEL SERVICIO MONITORIZACION DEL SISTEMA

6 02Evolución Antecedentes LOPD 15/1999 RD 1720/2007 Ley 11/ Marco de cumplimiento Plan de adecuación ISO Magerit CobiT ITIL PCI-DSS NIST LogICA CuadICA ArtICA Jornadas ASTICNET Mto Educación MITyC SCE Mto Cultura G Infraestructuras Museo Prado Mto Economía CNC

7 03Cómo lo hacemos De forma ordenada Metodología Inventario Sistemas Categorización Sistemas Evaluación Sistema Informe Cumplimiento Función Diferenciada Plan Adecuación Selección Proyectos Seguimiento Proyectos Cuadro de Mando Auditoría Mejora Continua

8 04PublICA Inventario PublICA permite la elaboración del inventario de los Sistemas que deben ser evaluados en función Distribución del inventario por multi organismos Organización por múltiples departamentos PublICA permite la explotación en modalidad Servicio

9 04PublICA Categorización PublICA permite categorizar los sistemas en función de su criticidad Función diferenciada PublICA prepara a evaluación del Sistema para entornos con múltiples roles, involucrando si fuera necesario a toda la organización PublICA se adapta a cualquier infraestructura por compleja o simple que sea

10 04PublICA Evaluación PublICA construye los cuestionarios en función del nivel y del rol que evalúa el sistema. Evaluación LITE según CCN-STIC-808 con hasta 385 verificaciones Evaluación PLUS extendida hasta 1325 verificaciones Navegación intuitiva basada en la estructura ENS con ayuda permanente en línea

11 04PublICA Informes PublICA genera de manera totalmente automática los informes necesarios para evaluar y planificar la adecuación ENS. Informe de cumplimiento CCN-STIC-808 Plan de adecuación detallado CCN-STIC-806 Declaración de aplicabilidad CCN-STIC-806 Cuestionario de auditoria CCN-STIC-802 Completos informes segregados por cada sistema evaluado

12 04PublICA Cuadro de mando Diseñado para medir el estado de cumplimiento del ENS dentro de la organización y para cada Sistemas evaluados : El nivel de cumplimiento por cada dominio del ENS Los proyectos que más ayudan a mejorar la seguridad El resumen de respuestas obtenidas El estado general de situación La cantidad de tareas propuestas Resumen gráfico de cumplimiento

13 04PublICA Selección de proyectos PublICA incorpora un catálogo de 25 proyectos para gestionar la adecuación al ENS. El plan de adecuación incorpora el resumen detallado de cada uno de los proyectos junto a las tareas especificas que la organización debe abordar en los próximos años. 1 Administración Segura de Red 14 Gestión de inventario 2 Análisis de vulnerabilidades 15 Intercambio y Comercio electrónico 3 Arquitectura segura de red 16 Monitorización y revisión 4 Obligaciones legales, RRHH y contratos 17 Normas y procedimientos 5 Clasificación de la información 18 Organización y gestión de la seguridad 6 Control de acceso Físico 19 Plan de contingencias 7 Copias de seguridad 20 Planificación de auditorias 8 Divulgación de la seguridad 21 Procedimientos de operaciones 9 Estándares de desarrollo 22 Redes y comunicaciones 10 Externalización de servicios de red 23 Seguridad en el Puesto Trabajo 11 Gestión de cambios en Sistemas y Redes 24 Tratamiento LOPD 12 Gestión de identidad 25 Virus en Sistemas compartidos 13 Gestión de incidencias

14 04PublICA Seguimiento PublICA permite realizar evaluación continua en la implantación de los proyectos seleccionados por la organización. Dispone de un mecanismo que permite heredar respuestas entre Sistemas y Periodos evaluados. Auditoría PublICA permite incorporar evidencias en la evaluación de cumplimiento que son almacenadas en el propio sistema.

15 04PublICA Mejora continua PublICA incorpora un completo cuadro de mando que permite realizar un mantenimiento continuo, generando cuadros de cumplimiento por periodos, evolutivos y comparativos

16 05Conclusiones Optimización de costes. Metodología de evaluación que permite basar el procesos de cumplimiento en un método claramente definido, evaluable, repetible Planificación de inversión. PublICA genera un plan de adecuación al ENS, de forma que los resultados de la evaluación, sirvan para planificar las acciones a acometer en los próximos años en lo relacionado con la seguridad, la gestión y la organización. Cumplimiento legal. El ENS no solo centra el cumplimiento legal es aspectos relacionados con el propio Real Decreto, sino que se hace mención al cumplimiento legal aplicable a cada entorno, que puede pasar desde la propiedad intelectual o la protección de datos Cumplimiento de plazos. El ENS establece Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación Soporte y acompañamiento. ICA acompaña en el proceso de evaluación transmitiendo el conocimiento funcional de sus soluciones

17 00Agenda Gracias por su atención