Esquema Nacional de Seguridad 15/12/2011

Transcripción

1 Página 1 Esquema Nacional de Seguridad 15/12/2011 Gemma Déler PMP, CISA, ITIL Director Adjunto Unidad Tecnologías de la Información APPLUS NORCONTROL gemma.deler@applus.com

2 Página 2 Quiénes somos? Multinacional española líder en ensayo, inspección, certificación y servicios tecnológicos. Referente global en el ámbito de la evaluación de la conformidad IDIADA Ingeniería del automóvil y ensayo Norcontrol Inspección, Asistencia Técnica y Consultoría 18% Velosi Inspección y control de calidad Conocimiento experto multisectorial: 8% AUTO Inspección de vehículos 20% RTD Ensayos no destructivos 15% LGAI Laboratorios y certificación 5% 34% Más de personas en más de 60 países, con proximidad.

3 Página 3 ENS: nuestros servicios Definición del Alcance. El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007. Inventario de los activos de información, de servicios, y de los sistemas que manejan dicha información Valoración de los activos. (dentro del marco establecido por la metodología de valoración del Esquema Nacional de Seguridad). Determinación de la categoría del sistema de información Selección de las medidas de seguridad a aplicar descritas en el Anexo II del citado ENS, según: Las dimensiones de seguridad y sus niveles Y para determinadas medidas de seguridad, de acuerdo con la categoría del sistema. Redacción y aprobación de la Declaración de Aplicabilidad. Confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Plan de Adecuación y planificación de la implantación de las medidas señaladas en la Declaración de Aplicabilidad Implantación de los controles o salvaguardas de seguridad de acuerdo con el Plan y la Planificación Auditoría de seguridad inicial y periódica (mejora continua). Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007. Concienciación, divulgación, sensibilización, introducción, implantación de los elementos comunes en la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías de la información así como el lenguaje que facilite su interacción. Implantar / complementar el sistema para su gestión además de la práctica de auditoría de seguridad periódica básica para la adaptación y la mejora continua.

4 Página 4 Esquema Nacional de Seguridad De nuevo estamos frente a una práctica que requiere el establecimiento de un sistema que permita gestionar la seguridad para proporcionar la confianza. No se trata de un tema nuevo, por lo que hay abundante literatura, experiencia y múltiples formatos de Planes Directores, de implementación que recogen el conjunto de actuaciones que la entidad debe realizar para poner en marcha y mantener la práctica. Estos deben identificar las actividades a realizar y definir los objetivos esperados. Puntos importantes del plan son que queden establecidos el tiempo necesario para la puesta en marcha, la secuencia, las prioridades y dependencias, los costes, los riesgos Al hablar de la administración (autonómica, central, local ) debe quedar recogido el requisito legal y cumplir con el Esquema Nacional de Seguridad. Para ello debe realizarse: Política de seguridad Inventario y valoración de la información afectada, incluidos los datos personales y de los servicios prestados Categorización de los sistemas Declaración de aplicabilidad Plan de implantación de la seguridad

5 Página 5 Marco de Seguridad El ENS establece un marco de seguridad para la provisión de confianza en la prestación de los servicios de la e-administración. Éste se suma a otros marcos a implantar para la provisión de confianza, por ejemplo LOPD, ISO 27001, ISO 20000, PCI-DSS, gestión de evidencias electrónicas Se hace necesario contar con un marco de seguridad global que de garantías tanto en la operación diaria como a largo término. Un marco que sea capaz de evolucionar, que de respuesta a las necesidades de la Administración que desde TI se apoya y que sea sostenible

6 Página 6 Ha avanzado el año GRC: Gobierno, Riesgo y Cumplimiento es un marco que toma cada vez más fuerza ya que: Las TIC se han convertido en una infraestructura necesaria. Esta infraestructura debe estar completamente alineada con los objetivos de la organización a la que presta los servicios. Los servicios se deben prestar en forma eficaz y eficiente. Las organizaciones, por su actividad, deben cumplir con leyes, regulaciones y otros requisitos. Se trata de un paraguas por el que se asegura que nuestra infraestructura está orientada y es eficiente al proveer los servicios necesarios para satisfacer la necesidad de la organización en cada momento. Gobierno Objetivos, Políticas Requisitos: Leyes, Regulación, Normas, contratos Gestión ISO ISO ISO Aproximación integrada Análisis Evaluación Gestión Magerit ISO ISO Riesgo Cumplimiento Controles técnicos Evidencias Auditoría ENS ISO CobIT

7 Página 7 ISO Dirigir Procesos de negocio Proyectos TI Gobierno Corporativo de TI Evaluar Monitorizar Operaciones TI Es importante la comunicación con la organización (el negocio). Para realizar el paso de hablar de tecnología a hablar del uso de la tecnología. ISO posiciona las TIC a un nivel estratégico, desde el punto de vista de la demanda, de cómo contribuyen al negocio en lugar de cómo se realiza la provisión de la misma. ISO está dirigida a Dirección. Para que ésta pueda evaluar en forma objetiva el uso actual y futuro de las TIC, dirigir y monitorizar el uso de TIC en sus organizaciones. ISO busca coordinar ambos mundos de manera que TI contribuya a la necesidad de dar cumplimiento a las obligaciones legales, regulatorias y éticas a la vez que busca el uso efectivo y eficiente de TI. ISO es un modelo que se construye de arriba abajo: topdown. Modelo de Gobierno Corporativo de TI. Figura 1 ISO/IEC 38500

8 Página 8 A la situación de: Beneficios de implantar el ENS dentro de un marco GRC Conscientes que los ambientes tecnológicos son cada vez más complejos y la dependencia de TI (que pasa a ser infraestructura) mayor Aprovechar la oportunidad para: Pasar de la situación: En la que existe un sentimiento de estar frente a un puzzle de regulaciones que a veces se solapan Enfrentarse a procesos de auditoría en parte redundantes Repetición de medidas y controles (para varias regulaciones y propósitos): control de acceso, cifrado, políticas Tener dificultades de justificar y conseguir los recursos necesarios para el correcto desempeño Difícil sostenibilidad Alineamiento con los objetivos de la organización (de TI hacia afuera) Desempeño y rendimiento interno aprovechando adecuadamente los recursos Asegurar que hay una comunicación apropiada (permitiendo un despliegue ordenado, gestionado y sostenible) Aprovechar las prácticas existentes Asegurar que existen los procesos apropiados para garantizar la seguridad a la vez que el cumplimiento de la ley y otros, la consistencia y la transparencia Conseguir la sostenibilidad en un entorno rápidamente cambiante en el que la adaptación es clave

9 Gracias por su atención Página 9