Esquema Nacional de la Seguridad RSA, la División de Seguridad de EMC
Real Decreto 3/2010 El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
ENS: Plazos de aplicación Primer plazo: 30 de Enero de 2011 Si no se puede implantar hay que desarrollar un Plan de Adecuación antes del 30 de Enero de 2011 Implantación final: 30 de Enero de 2014
Principios Básicos Función diferenciada de Seguridad Seguridad integral Reevaluación periódica Gestión seguridad basada en el riesgo Líneas de defensa Prevención reacción y recuperación
Requisitos Mínimos Análisis Organización e implantación del proceso de seguridad Análisis y gestión de los riesgos Control Físico Gestión de personal Profesionalidad Autorización y control de los accesos Protección de las instalaciones Control Funcional Adquisición de productos Seguridad por defecto Integridad y actualización del sistema Protección de la información almacenada y en tránsito Prevención ante otros sistemas de información interconectados Registro de actividad Gestión y Mejora Continua Incidentes de seguridad Continuidad de la actividad Mejora continúa del proceso de seguridad
Proceso Continuo Análisis Selección de procesos Identificación Activos Categorización BÁSICO/MEDIO/ALTO Selección de Medidas Auditoria Plan de Implantación Revisión Actualización Mejora
Principios de gestión del ENS Para cubrir todos estos principio se necesita una gestión integral y continua de los distintos factores de la seguridad: Políticas Riesgos Incidentes Controles técnicos Control de Personal Control de Proveedores Disponibilidad de los procesos Gestión de la Auditoría Los proveedores de seguridad hemos estado ofreciendo soluciones completas para reducir el coste de la gestión y control de todo el proceso mediante egrc
Introducción al egrc Enterprise Governance, Risk and Compliance Corporativa: se aplica a todos los departamentos y procesos de la entidad Gobierno: es la cultura, políticas, procesos, leyes e instituciones que definen la estructura que dirige y gestiona una entidad. Riesgo: es el efecto de lo incierto en los objetivos de la entidad; la gestión del riesgo son las actividades dirigidas a controlar la organización en la realización de sus actividades mientras se gestionan el impacto de los eventos negativos. Cumplimiento: es el acto de adhesión a, y ser capaz de demostrar la adhesión a, leyes y reglamentos externos, así como las políticas y procedimientos internos.
RSA Archer egrc Administración de continuidad del negocio Automatice el enfoque para la continuidad del negocio y la planificación de la recuperación de desastres, y permita una administración rápida y efectiva de las crisis mediante una solución centralizada. Administración de amenazas Rastree las amenazas mediante un sistema centralizado de advertencias prematuras que ayuda a prevenir los ataques antes de que afecten a la empresa. Administración de auditorías Administre de manera centralizada la planificación, la priorización, la dotación de personal, los procedimientos y la creación de informes para auditorías a fin de mejorar la colaboración y la eficiencia. Administración de políticas Administre políticas de manera centralizada, asócielas con los objetivos y las pautas, y promueva el conocimiento para apoyar una cultura de gobierno corporativo. Administración de riesgos Identifique los riesgos de su negocio, evalúelos mediante estudios y métricas en línea, y responda mediante corrección o aceptación. Administración del cumplimiento de normas Documente su marco de trabajo de control, evalúe la eficacia operacional y del diseño, y responda a los problemas de cumplimiento de regulaciones y políticas. Administración de proveedores Centralice los datos de los proveedores, administre las relaciones, evalúe el riesgo de los proveedores y garantice el cumplimiento de normas para sus políticas y controles. Administración de incidentes Informe los incidentes y las violaciones éticas, administre su escalación, rastree las investigaciones y analice las resoluciones. Administración empresarial Administre las relaciones y las dependencias dentro de su jerarquía y su infraestructura empresariales para soportar las iniciativas de GRC.
Modelo de Gestión Integral mediante egrc OBJETIVOS CORPORATIVOS Gestión de Gobierno, Riesgos y Cumplimiento Definir Política Mapear los Controles Evaluar Riesgos Añadir Contexto Monitorizar Auditar Informar Correlar Recolectar IDENTIDADES INFRASTRUCTURA INFORMACIÓN Gestionar Monitorizar Detectar Aplicar
La visión de RSA para la gestión integral de la seguridad Event Aggregation IPS Auth FW envision AV WAF AD WLAN EP URL DLP Identity Data Enhancement Location Division Department Geo Info Regulation Data Asset Value Business Reporting Incidents CIRT Eng. Legal Archer Threats HR Policies SOC Investigations
Cobertura de Gestión del ENS con egrc Artículo 14. Gestión de personal Artículo 13. Análisis y gestión de los riesgos Artículo 9. Reevaluación periódica Artículo 18. Adquisición de productos de seguridad Artículo 34. Auditoría de la seguridad Artículo 5. La seguridad como un proceso integral. Artículo 24. Incidentes de seguridad (Registro) Artículo 6. Gestión de la seguridad basada en los riesgos Artículo 35. Informe del estado de la seguridad Artículo 7. Prevención, reacción y recuperación
Ventajas Principales de Gestión del ENS mediante egrc Reducción de Costes Reducción de costes de gestión operativa de la seguridad en cada proceso bajo control, automatización de los puntos de control Reducción de tiempos para la obtención de los informes del estado de la seguridad (Art. 35) Reducción de costes de preparación de auditorías (Art. 34) Mejora de la Visibilidad Ver en cada momento el nivel de adecuación al ENS Visibilidad global de los incidentes y su impacto en el cumplimiento (Art. 24) Facilita la Adecuación al Modelo Gestión de la seguridad basada en los riesgos y su gestión (Art. 6, Art. 13) Aplicación de manera integral (Art. 5)
Conclusiones El ENS requiere una extensión de la gestión de la seguridad: Aplicación de la seguridad de manera integral a todos los servicios Una gestión de la seguridad basada en los riesgos, su definición y control y el impacto en las políticas de la entidad La supervisión, no solo de los sistemas y comunicaciones, sino también de las personas y proveedores El modelo de gestión de la seguridad mediante herramientas de egrc facilita la adecuación del ENS: Reduciendo los costes de cumplimiento Mejorando la visibilidad de la seguridad Facilitando la adecuación al modelo desde el principio del proceso
GRACIAS!