*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Documentos relacionados
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Implantación del Esquema Nacional de Seguridad. Alberto López Responsable de Proyectos Dirección de Operaciones

ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables

EXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC. Francisco Alonso Batuecas Responsable de Seguridad de la SES

EL PROCESO DE AUDITORÍA DE CERTIFICACIÓN DEL ENS

Por qué el ENS? Seguridad de la Información Físicos Lógicos incluidas las entidades locales

Como puede ayudar ADA 24/7 a su implantación

El Esquema Nacional de Seguridad

DECLARACION DE CONFORMIDAD AL PLAN DE ADECUACION DEL ENS

Plan de Seguridad de la Información de de Abril de de 2008

MEDIDAS DE SEGURIDAD DEL ENS

CERTIFICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD

Resumen Ejecutivo. Inclusión de los sistemas de información de una organización dentro del Esquema Nacional de

A conocer por medios electrónicos el estado de tramitación de los procedimientos en los que sean interesados

Congreso DINTEL ENS 2011

II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

Implantación del ENS

Principios de la Seguridad Informática

Implantación ENS en la Universidad de Almería

XII Encuentros Técnicos y VII Foro Tecnológico de los OCEx 1

ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD CONTROL DE CAMBIOS. Versión Identificación del cambio Apartado Fecha

Evaluación con el Esquema Nacional de Seguridad (ENS): la aplicación en el repositorio institucional de la UAB

Protección y Prevención frente a Incidentes de Seguridad

El Esquema Nacional de Seguridad

ANEXO E Gestión de roles y responsabilidades

MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO

Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

SEGURIDAD, NUEVOS RETOS

ENS Estado de implantación Herramienta INÉS

Gestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta

Seguridad de la Información y las Telecomunicaciones

SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO


Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

DATOS IDENTIFICATIVOS DEL DOCUMENTO

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

Adecuación al Esquema Nacional de Seguridad en Gobierno de Navarra

SE0001 Política de Seguridad de la Información

ENS. Evolución e iniciativas en las Universidades. Victor Barahona UAM-CERT / CRUE TIC

La Seguridad de las AAPP

MÓDULO FORMATIVO 3: ADMINISTRACIÓN DE SERVICIOS DE TRANSFERENCIA DE ARCHIVOS Y CONTENIDOS MULTIMEDIA

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Esquema Nacional de Seguridad.

Curso Superior en Gestión de Incidencias y Auditoría de Seguridad Informática

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Guía del Curso UF1353 Monitorización de los Accesos al Sistema Informático

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE UNIÓN DE MUTUAS

Esquema de arquitectura y seguridad.

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

ORGANIZACIÓN DE LA SEGURIDAD DE LA

Nuevas Tecnologías: Riesgos y Amenazas

Adecuación al Esquema Nacional de Seguridad

PLANES DE SEGURIDAD PARA LA EMPRESA

Medidas organizativas y técnicas para el cumplimiento GDPR

Estado de adecuación de la ULPGC al Esquema Nacional de Seguridad. Manuel Jerez Cárdenes

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

ESQUEMA NACIONAL DE SEGURIDAD (A TRAVÉS DE VIDEOCONFERENCIA)

TÉCNICAS DE HACKING ÉTICO

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Esquema Nacional de Seguridad

LAS PREGUNTAS CLAVE DEL ESQUEMA NACIONAL DE SEGURIDAD

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa. Administración electrónica y seguridad de la información

Plan Director de Seguridad de la Información

Master en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD)

Esquema Nacional de Seguridad 15/12/2011

SGPIC: Sistemas de Gestión para la Protección de Infraestructuras Críticas (IC). Gestión y Protección de IC. Mantenimiento Continuo.

La Convergencia de la Seguridad: la seguridad integral

ESQUEMA NACIONAL DE SEGURIDAD INTRODUCCION

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Métrica v2.1 - Fase 0: Plan de Sistemas de Información. Enginyeria del Software. Curs 99/2000. Francisca Campins Verger

MAPA DE PUESTO DEPARTAMENTO DE TALENTO HUMANO

Mapping security controls for. Miguel Ángel Arroyo Moreno IS Auditor SVT Cloud & Security Services

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

Dirección y Gerencia

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

Planes de Acción. Aspecto Relevantes:

1- RESULTADOS DE APRENDIZAJE Y CRITERIOS DE EVALUACIÓN

CONSTRUYENDO APLICACIONES CONFORMES AL ENS.

ISO , por dónde empezamos?

Auditoría Reglamentaria de Prevención de Riesgos Laborales

Esquema Nacional de Seguridad: Actuaciones de CESICAT

SERVICIOS EN SEGURIDAD DE LA INFORMACION SISTESEG BOGOTA/COLOMBIA

PATRIMONIO AUTÓNOMO FONDO COLOMBIA EN PAZ PA-FCP. CONVOCATORIA PÚBLICA No. 020 de 2018 ANÁLISIS PRELIMINAR DE LA CONTRATACIÓN

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

Guía del Curso Técnico en Seguridad Informática

Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Homologado y Baremable en Oposiciones de la Administración Pública)

DEFINICIÓN Y EJECUCIÓN DEL PLAN DIRECTOR DE SEGURIDAD DE LOS SS.II. DEL MAPA

Gestión de la Seguridad de la Información con Herramienta SIM en el Ministerio de Economía y Hacienda

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

SEGURIDAD DE LA INFORMACIÓN Y CUMPLIMIENTO. Francisco Valencia Director General Secure&IT

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Transcripción:

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 14 Marzo 2011

ÍNDICE S21Sec, Servicios de Seguridad Informática El Esquema Nacional de Seguridad Servicio Integral de Adecuación al ENS Plan de Adecuación Asesoramiento Proceso Implantación ENS Mantenimiento y Mejora Continua Factores Críticos de Éxito Pág. 2

S21Sec, Servicios de Seguridad Informática 8 oficinas en España 3 oficinas internacionales 2 partners internacionales Pág. 3

El mayor equipo en España de Seguridad Digital: 200 especialistas Un modelo de Gestión integral de la Seguridad 24 horas. CIS NUESTRA DIFERENCIA Desde los inicios, apostando por la innovación y el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa Y siempre, calidad y certificaciones Pág. 4

Esquema Nacional de Seguridad (ENS) El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, de obligado cumplimiento para las Administraciones Públicas. Desarrollado en base a lo establecido en el artículo 42.2 de la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. Objetivo: La creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Si hubiera circunstancias que impidan la plena aplicación de lo exigido en el ENS, se deberá definir un Plan de Adecuación que establezca los plazos de ejecución, no pudiendo ser estos superiores a 48 meses. Pág. 5

Servicio Integral Adecuación ENS DESARROLLO DEL PLAN DE ADECUACIÓN Análisis de Servicios y Sistemas Categorización de Sistemas Análisis Situación Actual Cumplimiento Desarrollo Plan de Adecuación IMPLANTACION DE MEDIDAS DEL ENS Necesidades Tecnológicas Proyectos Cumplimiento ENS Auditorías Técnicas Proyectos Internos MANTENIMIENTO Y MEJORA CONTINUA Gobierno de la Seguridad Auditorías Periódicas Formación y Concienciación SERVICIO INTEGRAL ADECUACIÓN ENS Pág. 6

Servicio Integral Adecuación ENS Servicio Integral de Adecuación al ENS: Fase 1: Elaboración de un Plan de Adecuación con fecha 30 de enero de 2011, en base a lo establecido en la Disposición Transitoria del Real Decreto 3/2010, Adecuación de Sistemas. Fase 2: Ejecución del Plan de Adecuación en un plazo no superior a 36 meses, en base a lo establecido en la Disposición Transitoria. Fase 3: Mantenimiento y Mejora Continua. El proyecto de adecuación al ENS tiene como objeto la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) que satisfaga los requisitos establecidos en el ENS, empleando como base el marco metodológico establecido en la Norma ISO 27001. Para el desarrollo del Plan de Adecuación y la posterior implantación de los proyectos que lo constituyen son consideradas las Guías del Centro Criptológico Nacional (CCN-STIC). Pág. 7

Plan de Adecuación ENS Pág. 8

Plan de Adecuación ENS La metodología empleada para el desarrollo del Plan de Adecuación al ENS es la que se detalla a continuación: 1. Organización y Planificación 2. Análisis de Servicios y Sistemas 3. Categorización de Sistemas 4. Análisis Situación Actual de Cumplimiento 5. Elaboración del Plan de Adecuación FASE PLAN Modelo PDCA ISO 27001 Pág. 9

Plan de Adecuación ENS Análisis de Servicios y Sistemas. Analizar los servicios de la organización incluidos en el alcance del ENS, identificando los sistemas que soportan dichos servicios y la información asociada a los mismos. Documentación del alcance del ENS, detallando los servicios y sistemas incluidos en el ámbito del ENS. Categorización de los Sistemas. Categorización de los sistemas en base a los criterios definidos por el ENS. Determinación de las dimensiones de seguridad relevantes: Confidencialidad, disponibilidad, integridad, autenticidad, trazabilidad. Evaluación del impacto (Bajo, Medio, Alto) para cada sistema en función de cada una de las dimensiones de seguridad: 1. Alcanzar sus objetivos. 2. Proteger los activos a su cargo. 3. Cumplir las obligaciones de servicio. 4. Respetar la legalidad vigente. 5. Respetar los derechos de las personas. Categorización de cada sistema en función del impacto en las dimensiones de seguridad: Básico, Medio, Alto. Pág. 10

Plan de Adecuación ENS Análisis de la Situación Actual de Cumplimiento. En función de la categoría del sistema establecida durante la fase anterior, se determinan las medidas del ENS que resultan aplicables. Realización de un diagnóstico de situación actual de cumplimiento del ENS. Desarrollo del Informe de Análisis de Situación Actual de Cumplimiento del ENS. Desarrollo del Plan de Adecuación. Desarrollo del Plan de Adecuación en el que se establezcan las medidas a adoptar para garantizar la adecuación al ENS. El Plan contemplará todos los aspectos exigidos en la Guía de Seguridad CCN-STIC 806: 1. Política de Seguridad 2. Información que se maneja, con su valoración. 3. Servicios que se prestan, con su valoración. 4. Datos de carácter personal. 5. Categoría del sistema o sistemas. 6. Declaración de aplicabilidad de las medidas del Anexo II del RD 3/2010, 7. Análisis de riesgos. 8. Insuficiencias del sistema. 9. Plan de mejora de seguridad. Pág. 11

Plan de Adecuación ENS MARCO ORGANIZATIVO Política de Seguridad Normativa de Seguridad Procedimientos de Seguridad Proceso de Autorización Auditorías de Seguridad MARCO OPERACIONAL Planificación Control de Acceso Explotación Servicios Externos Continuidad de Servicio Monitorización de Sistemas MEDIDAS DE PROTECCION Instalaciones e Infraestructuras Gestión de Personal Protección de Equipos Protección de Comunicaciones Protección de Soportes Protección de Aplicaciones Protección de Información Protección de Servicios Pág. 12

Plan de Adecuación ENS Porcentaje de Cumplimiento del ENS 12% 15% Sistema Analizado Dimensiones Nivel Dimen. Medidas de Seguridad del ENS Estado ENS Resumen Situación Evaluación Medidas ENS Recomendaciones Propuestas 13% Cumpliento Total (CT) Cumpliento Parcial (CP) MEDIDAS DE NIVEL BÁSICO Cumpliento Nulo (CN) Marco Organizativo La SGTSI ha desarrollado documentalmente una Política de Seguridad aplicable a los sistemas incluidos en el alcance de aplicación del ENS, aunque no ha sido formalmente aprobada. El contenido de la Política de Seguridad es el siguiente: 60% No Aplica (N/A) Introducción Tareas del Ministerio de la Presidencia Marco Normativo Alcance de la Política de Seguridad Acreditaciones Agenda de Com. Bajo Org.1 Política de Seguridad CP Utilización Prevención, Detección y Respuesta ante Incidentes y Recuperación de los Servicios Organización de la Seguridad Datos de Carácter Personal Gestión de Riesgos Aprobar la Política de Seguridad por parte del órgano superior competente. Nivel Básico: Porcentaje de Cumplimiento del ENS de la SGPD Desarrollo de la Política Obligaciones del Personal Acreditaciones Agenda de Com. Bajo Org.2 Normativa de Seguridad CP Terceras Partes Incumplimiento de la Política de Seguridad No se han definido documentos normativos referentes al uso correcto de equipos, servicios e instalaciones, así como la definición de uso indebido, responsabilidades y consecuencias de su incumplimiento. Se recomienda definir Normativas de Seguridad que describan los siguientes aspectos: El uso correcto de los equipos, servicios e instalaciones. La definición de uso indebido La responsabilidad de cumplir la normativa de seguridad y consecuencias de su Medidas de protección Marco Operacional Marco Organizativo 7% 25% 39% 93% 75% 61% CT CP CN N/A Pág. 13

Asesoramiento Implantación Esquema Nacional Seguridad Pág. 14

Implantación ENS Una vez que ha sido desarrollado el Plan de Adecuación, es necesario proceder a la implantación de los proyectos que lo constituyen. S21Sec propone un enfoque de carácter global, considerando la seguridad desde un punto de vista integral. Las acciones y proyectos que resulta necesario implantar para garantizar la adecuación al Esquema Nacional de Seguridad se pueden agrupar en las siguientes categorías: 1. Necesidades Tecnológicas para Cumplimiento ENS. 2. Proyectos para el Cumplimiento ENS. 3. Auditorías Técnicas. 4. Proyectos Internos. Pág. 15

Implantación ENS 1. Necesidades Tecnológicas Solución de Monitorización y Gestión de Eventos de Seguridad Solución de IDS/IPS Software Antivirus Solución de Monitorización de Políticas y Seguridad de Servidores Solución de Cifrado de Datos Pág. 16

Implantación ENS 1. Necesidades Tecnológicas Monitorización de eventos de los diferentes dispositivos de la red del cliente. Gestión remota desde el Security Operation Center (SOC-CERT) de S21sec en Madrid de los dispositivos de seguridad: IDS, firewalls, consola de antivirus, Horizon, (Mantenimiento, actualizaciones periódicas, actuación frente incidentes y bajo demanda, informes periódicos, ) Pág. 17

Implantación ENS 2. Proyectos para Cumplimiento ENS Desarrollo del Cuerpo Normativo Consultoría de Securización de Arquitectura de Red Guías de Securización de Sistemas Metodología de Programación Segura Estructura Organizativa de Seguridad Análisis de Riesgos Plan de Continuidad de Negocio Formación y Concienciación Oficina Técnica ENS Pág. 18

Implantación ENS 3. Auditorías Técnicas Auditoría Bienal ENS Análisis de Vulnerabilidades Test de Intrusión Auditorías de Código de Aplicaciones Pág. 19

Implantación ENS 4. Proyectos Internos Implantación de Medidas de Seguridad ENS. 1. Implantación de medidas de control de acceso lógico. 2. Implantación de medidas de control de acceso físico. 3. Implantación de Guías de Securización de Sistemas. 4. Implantación de medidas de desarrollo seguro de software. 5. Implantación de normativas y procedimientos de seguridad 6. Implantación de recomendaciones de auditorías periódicas. 7. Otros Mantenimiento de Logs de Sistemas (Registros de Auditoría). Segmentación y Securización de Arquitectura de Red. Implantación del Plan de Continuidad de Negocio. Pág. 20

Mantenimiento y Mejora Continua Pág. 21

Mantenimiento y Mejora Continua Para garantizar la efectiva implantación del ENS es fundamental considerar el modelo conocido como PDCA (Plan-Do-Check-Act). PLANIFICAR (PLAN) Establecer el Alcance del SGSI Mejorar el SGSI CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA (PDCA) EJECUTAR (DO) Diseñar e Implantar el SGSI ACTUAR (ACT) Monitorizar y Revisar el SGSI REVISAR (CHECK) Pág. 1 Pág. 22

Cuadro de Mandos: Bitacora ENS Bitacora constituye una herramienta eficaz para ayudar al cumplimiento del ENS. Establecimiento de un cuadro de mandos que permite revisar y controlar, a través de los eventos monitorizados, el cumplimiento de: Esquema Nacional de Seguridad. Estándar PCI DSS ISO 27001, ISO 27002, Legislación vigente de protección de datos de carácter personal (LOPD, RLOPD). Herramienta de gestión de logs de los sistemas incluidos en el alcance del ENS (host, firewalls, routers, servidores, bases de datos, aplicaciones, ). Permite disponer de indicadores, alertas y cuadros de mando en relación al cumplimiento, entre otras, de las siguientes medidas de seguridad establecidas por el ENS: Control de Acceso Lógico (requisitos de acceso, mecanismos de autenticación, acceso local, acceso remoto ) Protección frente a Código Malicioso. Gestión de Incidencias. Protección de las Comunicaciones. Registro de Accesos. Monitorización del sistema: Detección de Intrusión. Inventario de Activos. Pág. 23

Cuadro de Mandos: Bitacora ENS Monitorización de Sistemas, Bases de Datos y Aplicaciones Pág. 24

Cuadro de Mandos: Bitacora ENS Control de Acceso Lógico Pág. 25

Cuadro de Mandos: Bitacora ENS Protección contra Software Malicioso Pág. 26

Cuadro de Mandos: Bitácora ENS Protección de las Comunicaciones Relación de reconfiguraciones u operaciones de administración llevadas a cabo en un determinado período de tiempo. Registro de cambios: activación y desactivación de políticas, creación, baja o modificación de sus reglas. Análisis del tráfico permitido, clasificado por puerto origen / destino. Comparativa de paquetes permitidos vs descartados en modalidad drop y reject. Top ten de IPs y puertos denegados o rechazados. Detección de anomalías en el sentido del tráfico. Pág. 27

Factores Críticos de Éxito Pág. 28

Factores Críticos de Éxito Enfoque global para la gestión de la seguridad. Formalización de las iniciativas de seguridad. Plan de Adecuación. Apoyo por parte de la Dirección. Aprobación de la Política de Seguridad y del Cuerpo Normativo de Seguridad. Establecimiento de una Estructura Organizativa de Seguridad responsable de garantizar la adecuación al ENS: Creación de un Comité de Seguridad. Asignación de roles y responsabilidades. Formación y concienciación en materia de seguridad. Revisión y mejora continua del SGSI. Pág. 29

*[ MUCHAS GRACIAS] Contacto: vgil@s21sec.com Pág. 30

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback