Por qué el ENS? Seguridad de la Información Físicos Lógicos incluidas las entidades locales

Transcripción

1

2 Por qué el ENS? Hoy en día todas las organizaciones deben tener en cuenta la Seguridad de la Información si no quieren quedarse obsoletas en sus medidas de actuación Cualquier empresa debe dedicar profesionales y medios a gestionar la seguridad de sus recursos, tanto Físicos como Lógicos Para la Administración Pública, incluidas las entidades locales, este proceso de obligado cumplimiento, implica la aceptación del Esquema Nacional de Seguridad (ENS)

3 Para qué el ENS? Para garantizar el uso seguro para los ciudadanos de los medios electrónicos. Para proteger la información sensible y garantizar su confidencialidad, integridad y disponibilidad. Un objetivo necesario en la Administración Pública es generar confianza en el uso de medios electrónicos los tramites realizados desde mi ordenador van a ser igual que si lo hiciera en una ventanilla, va a valer lo mismo?.

4 Quién debe cumplir el ENS? El Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para el conjunto de la administración española Ministerios, Consejerías autonómicas, Corporaciones municipales Universidades públicas Hospitales públicos Puestos y aeropuertos Servicios de Salud Institutos de desarrollo

5 A qué cosas afecta el ENS? El ENS es aplicable a : todos los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.

6 Plan de Adecuación al ENS Si aún no se cumple con los requisitos del ENS, las entidades deberán contar con un plan de adecuación Este plan de adecuación contendrá la siguiente información: 1. La política de seguridad. 2. Valoración de la Información que se maneja 3. Servicios que se prestan y su valoración. 4. Datos de carácter personal. 5. Categoría del sistema. 6. Declaración de aplicabilidad de las medidas del Anexo II del ENS. 7. Análisis de riesgos. 8. Insuficiencias del sistema. 9. Plan de mejora seguridad, incluyendo plazos estimados

7 Proceso de Implantación del ENS Marco Organizativo Categorización Marco Operacional Medidas de Protección Principales actividades en la implantación del Esquema Nacional de Seguridad ENS Definir la política de Seguridad y responsabilidades Clasificar los activos de información en categorías según su criticidad Definir recursos técnicos y humanos así como procedimientos. Identificar las medidas de protección según el criterio establecido.

8 Proceso de Implantación del ENS (2) Cómo abordamos un proyecto ENS? Diagnostico Inicial: Identificación de Servicios y tipos de información. Categorización en niveles Análisis de Riesgos y Aplicabilidad: Plan de tratamiento de riesgos. Aplicabilidad en base a la categorización de sistemas Auditoria de medidas implantadas (GAP) : Auditoría de análisis previo. Análisis de deficiencias y nivel de cumplimiento. Diseño del plan de seguridad: Elaboración del plan de Seguridad con recursos necesarios y plazos de ejecución Implantación del plan de Seguridad: implantación de medidas y procesos de seguridad Evaluación y auditoría de cumplimiento: pruebas y monitorización del sistema. Planificacion de auditorias de revision de medidas y políticas.

9 Cómo nos organizamos para un Proyecto ENS? Director de Proyecto Consultor Cliente Equipo multidisciplinar. Expertos en Sistemas de Información y Seguridad Acceso directo al consultor y director de proyecto Dirección de proyecto con + de 15 años de experiencia en Sistemas de Seguridad de la información

10 Nuestros valores + 15 años de experiencia certificaciones Presencia en todo el territorio nacional y sedes en Europa y Sudamérica Nuestra filosofía Profesionalidad Profesionales de en Sistemas y Seguridad de la Información con años de experiencia en el Sector PRACTICOS Comunicamos y hacemos participes a toda la organización en las buenas práticas en Seguridad de la Información mediante formaciones útiles y enfocadas a resultados.

11 Fases de implementación del ENS en Corporaciones Locales FASE I Objetivo: Establecer el plan de implementación y Política de seguridad 1. Catalogación de los tipos de información según su criticidad (estructura de tipos y niveles) 2. Definir y asignar responsables de velar por el cumplimiento de la política de seguridad de la organización. 3. Realizar el análisis y gestión de los riesgos del sistema y análisis de cumplimientos de las medidas exigidas en el ENS 4. Declaración de aplicabilidad de las medidas del Anexo II del ENS, seleccionando las medidas de protección en función de los tipos y niveles de la información 5.Elaborar el plan de Seguridad

12 Fases de implementación del ENS (2) FASE II Objetivo: Implementar el plan de Seguridad 1. Documentar los procesos y tareas de seguridad detallando cómo y quién hace las distintas tareas y como se identifican y resuelven los comportamientos anómalos 3. Documentar y establecer procedimientos para o o o o Procesos de Autorización, para todos los elementos del sistema, incluyendo Instalaciones, equipos, aplicaciones, medios de comunicación, accesos, soportes, etc. Registro, control y resolución de incidencias Continuidad de servicio plan de pruebas y monitorización del sistema 4. Formación para a todos los funcionarios sobre la política y procedimientos de seguridad 5. Pruebas y monitorización del sistema para evaluar las medidas adoptadas 6. Opcional: Mantenimiento del sistema y auditorias bianuales de revisión de la Política de Seguridad y medidas adoptadas.