Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

Transcripción

1 Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte) José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR

2 Índice 1. El Esquema Nacional de Seguridad 2. Establecer el Sistema de Gestión de SI 3. Conclusiones 2

3 1 - El Esquema Nacional de Seguridad Instrumento para el desarrollo de la administración electrónica, mediante las garantías de seguridad que aporta a ciudadanos y AAPP. Está definido Regulación legal. Generar confianza Para quienes, para qué y exclusiones. Plazos, para los nuevos SI y para los existentes. Medidas de seguridad, y requisitos mínimos. Agentes implicados, guías de aplicación. y basado en la experiencia En Seguridad. En implantación de SGSI ISO En auditoría y certificación de SGSI - ISO / Acreditación ENAC. 3

4 1 El Esquema Nacional de Seguridad No es lo mismo ENS y SGSI ISO pero muy parecido en cuanto a requisitos ENS ISO Obligatorio, según plazos definidos Voluntario. Basado en la normalización internacional y nacional Ámbito nacional Relación con LOPD, pero independiente Administración, entidades de derecho público Alcance fijo / establecido Auditoría, según requisitos y Guía de seguridad Requisitos e inventario de medidas de seguridad. Específico, y con requisitos mínimos. Enfoque más a operación y tecnología, basado en el análisis y gestión de riesgos Con agentes implicados (CCN, INTECO) Internacional Correspondencia / integración con otros SG. Requisitos legales. Cualquier organización Alcance adecuado para la organización Auditoría de certificación, según protocolos ISO y acreditación ENAC Requisitos, y lista de objetivos de control y controles Orientado a gestión, y soportado en la evaluación de riesgos, los requisitos legales y voluntarios. Entidades de acreditación y certificación. (Ley 21/1992, de Industria, y RD 2200/95) 4

5 2 El Sistema de Gestión de SI Gestionando la Seguridad de los Sistemas de Información Enfoque ISO 27001: SGSI Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. (ENS / UNE EN-ISO 27001) Ventajas: Integrable con otros SG. Enfoque a procesos y orientado a la mejora contínua. Toma de decisiones basada en la evaluación de riesgos, la legislación y los resultados. Integra el cumplimiento de la legislación. Alcance ampliable. Certificable, con control por la Entidad Nacional de Acreditación ENAC (reconocimiento). 5

6 2 El Sistema de Gestión de SI. Implantación Establecer alcance y los límites Definir política de seguridad Organización y responsabilidades Realizar análisis y evaluación de riesgos Evaluar opciones para su tratamiento Seleccionar objetivos de control y controles Aprobación de la Dirección del Riesgo residual Autorización para implantar el SGSI Declaración de Aplicabilidad A 1 Política de SI 2 Estructura organizativa de la SI 3 Clasificación y control de activos 4 Seguridad ligada al personal 5 Seguridad física y del entorno Adoptar las acciones correctivas y preventivas Implantar mejoras identificadas C P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles Objetivos de control y controles (ISO ) Medidas de seguridad (ENS) 6 Gestión de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Gestión de Incidentes de Seguridad 10. Gestión Continuidad de Negocio 11 Conformidad y Cumplimiento legislación D Revisar internamente el SGSI Realizar auditorias internas del SGSI 6

7 2 El Sistema de Gestión de SI Medidas de seguridad, según categoría del SI (nivel de seguridad en cada dimensión), y un mínimo a implantar. ENS (CCN-STIC-804) Marco organizativo (4) Marco operacional (31) Medidas de protección (40) Declaración de aplicabilidad 7

8 2 El Sistema de Gestión de SI Auditoría del ENS (art 34, Anexo III) Bienal, y ante modificaciones sustanciales (autoevaluación a sistemas de categoría básica). Metodología según criterios, métodos de trabajo y conducta reconocidos, y la normalización aplicable. Informe de auditoría: dictaminará sobre el grado de cumplimiento, identifica no conformidades y deficiencias, propone medidas correctoras y recomendaciones. Comunicación del informe al Responsable del sistema y al Responsable de seguridad. El Responsable del sistema puede retirar de la operación el sistema o servicio (Cat. A). CCN-STIC-802 Guía de Auditoría: Equipo auditor cualificado, e independiente (de actividad de consultoría o similares, no recomendará productos concretos). CCN-STIC-804 Guía de Implantación (Medidas de seguridad, y lo que se considera evidencia suficiente de su cumplimiento) 8

9 2 - El Sistema de Gestión de SI Declaración de conformidad con el ENS, y distintivos de seguridad: Publicados en las sedes electrónicas, y fácilmente accesibles. Contenido a publicar: Identificar al declarante. El sistema o sistemas, y servicios a los que se refiere. El mecanismo de control del cumplimiento del ENS. Fecha y lugar de emisión, y firma del titular del organismo emisor. Y otros distintivos como: certificaciones en accesibilidad, interoperabilidad o calidad. Indicando datos de la entidad emisora y ámbito al que se aplica. 30 Enero 2011: Publicar Declaración o Plan de adecuación CCN-STIC-809 art. 41 del ENS 9

10 3 El Sistema de Gestión de SI Certificación: Acto por el que una tercera parte testifica que ha obtenido la adecuada confianza en la conformidad de un determinado producto, proceso o servicio, debidamente identificado, con una norma u otro documento normativo especificado. Comprobación de que un SGSI cumplen con una serie de requisitos especificados en ISO Certificación acreditada 10

11 3 El Sistema de Gestión de SI CUESTIONARIO PREVIO Y SOLICITUD PLANIFICACIÓN DE LA AUDITORÍA ANÁLISIS DE LA DOCUMENTACIÓN FASE I INFORME / S VISITA PREVIA FASE I AUDITORÍAS DE RENOVACIÓN (Cada tres años) AUDITORÍA DEL SISTEMA FASE II INFORME AUDITORÍAS DE SEGUIMIENTO (Anuales) CONCESIÓN DEL CERTIFICADO PLAN DE ACCIONES CORRECTORAS 1 mes AUDITORÍA EXTRAORDINARIA 11

12 4 Datos ISO Datos de implantación (Dec 2008) 12

13 2 Datos ISO

14 Fin de la presentación Muchas gracias 14