Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting
Índice 1. Introducción 2. Puntos a tener en cuenta para hacer coexistir la distinta normativa vigente 2.1.1 Comparativa ENS LOPD 2.1.2 Auditoría RD 1720/2007 vs Auditoría 3/2010 2.2 Comparativa ENS ISO 27001 2.3 Roles y Responsabilidades comunes 2. Conclusiones 2
2. Desarrollo Comparativa ENS LOPD LOPD: Medidas de índole técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que está expuesto, ya provengan de la acción humana o del medio físico o natural. ENS: Principios básicos y requisitos mínimos a aplicar por las AAPP para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias. 3
2. Desarrollo Comparativa ENS LOPD RDLOPD Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. ENS Sistema de información: conjunto organizado de recursos para que la información ió se pueda recoger, almacenar, procesar o tratar, t mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. 4
2. Desarrollo Comparativa ENS LOPD RDLOPD Lo relevante es el dato de carácter personal. Las medidas de seguridad únicamente tienen como objetivo este tipo de información. ENS Lo fundamental es el sistema de información en su conjunto. Abarca todo tipo de información. ió El dato de carácter personal es considerado como uno de los tipos de información. 5
2. Desarrollo Comparativa ENS LOPD PUNTOS SIMILARES: ENS Política de Seguridad Normas de Seguridad Declaración de Aplicabilidad RDLOPD Documento de Seguridad Responsable de Seguridad Responsable de Seguridad Deberes y obligaciones del personal Identificación única de usuarios Autorización y control de accesos Auditoría de Seguridad Gestión de incidencias Protección instalaciones e infraestructura Protección de los soportes de información Protección de aplicaciones informáticas Protección de las telecomunicaciones Funciones y obligaciones del personal Identificación y autentificación Control de accesos Auditoría de medidas de seguridad Registro de incidencias Procedimiento de notificación, gestión y respuesta ante las incidencias Control de acceso físico Gestión de soportes y documentos Gestión y distribución de soportes Pruebas con datos reales Telecomunicaciones 6
2. Desarrollo Comparativa ENS LOPD Auditoría RD 1720/2007 vs Auditoría 3/2010 1. Son auditorías diferentes (en cuanto al alcance y criterios) pero con intersecciones. 2. Es posible realizarlas l conjuntamente? t Es decir: mismo tiempo y mismo equipo auditor? Sí, pero debe tenerse en cuenta: a. Diferente alcance: RD 1720/2007 FFAA YFFNAA vs RD 3/2010 FFAA (los afectados por art. 2 de Ley 11/2007). Es posible que un sistema de nivel bajo según el ENS trate datos de nivel medio o alto según RD 1720/2007. 7
2. Desarrollo Comparativa ENS LOPD Auditoría RD 1720/2007 vs Auditoría 3/2010 b. Ci Criteriosi de categorización ió diferentes: tipología de datos (y finalidad d en algunas excepciones) vs perjuicio o impacto en sistemas o personas. c. Medidas del RD 1720/2007 son mínimos aplicables SIEMPRE (aunque no se deriven del análisis de riesgos) y las del ENS adicionales si no entran en conflicto. 3. Hay que emitir un único informe de auditoría o varios? Es posible dos o uno en el que se distinga si las deficiencias afectan a una u otra Norma. 8
2. Desarrollo Comparativa ENS LOPD Aclaraciones Otros requisitos recogidos en la Guía de Auditoría CCN-STIC-802: 1. Si los sistemas a auditar según el ENS tratan datos personales se pueden solicitar los informes de auditorías de protección de datos personales previos. 2. Si durante la auditoría del ENS se detectan no conformidades respecto al RD 1720/2007 debe obligatoriamente comunicarse y constar en el informe de auditoría del ENS (aunque no fuese ése el objetivo inicial). ii 9
2. Desarrollo Comparativa ENS ISO 27.001 Se debe desarrollar un SGSI para la implantación del ENS? El ENS impulsa el realizar una gestión continuada de la seguridad, necesaria para poder satisfacer al menos: los principios a) Seguridad integral, b) Gestión de riesgos, e) Reevaluación periódica y los requisitos mínimos: a) Organización e implantación del proceso de seguridad y o) Mejora continua del proceso de seguridad 10
2. Desarrollo Comparativa ENS ISO 27.001 Por tanto al ENS le falta la visión integrada de SISTEMA DE GESTIÓN que aporta ISO/IEC 27001 en las cláusulas 4 a 8. De esta forma, y siguiendo las pautas que nos marca la norma ISO/IEC 27001 podremos implantar, mantener, actualizar y mejorar nuestro sistema. 11
2. Desarrollo Comparativa ENS ISO 27.001 El CCN-CERT indica en sus FAQ que no es necesario que el SGSI esté implementado conforme a ISO 27001 pero indica que si es así el SGSI es conforme al ENS. Obviamente, habrá que extenderlo con las particularidades del ENS en cuanto a valoración de activos, medidas de seguridad/controles, etc. Además, no se requiere la certificación del mismo pero puede ser una demostración del compromiso de la AP en determinados Alcances clave. Y es relevante saber que todos los borradores de Guías de Seguridad se están preparando alineados con ISO 27001. 12
2. Desarrollo Comparativa ENS ISO 27.001 Marco Organizativo ISO 27001 Política de Seguridad org. 1 4.2.1.b Creación del SGSI A.5.1 Política de seguridad de la información A.6.1 Organización interna de la seguridad Normativa de seguridad d org. 2 A7U A.7 Uso Adecuado d de los Activos y clasificación ió A.8.2.3 Proceso Disciplinario A.11.4.1 Política de uso de los servicios de red A.11.7 Política de uso de portátiles y teletrabajo A.12.3.1 1 Política de uso de los servicios i criptográficos A.12.5.1 Procedimientos de control de cambios A.13.2.1 Procedimientos de gestión de incidencias A.14.1.3 Planes de continuidad A1521C A.15.2.1 Cumplimiento i de las políticas y normas Procedimientos de seguridad org. 3 A.10.1.1 Documentación de los procedimientos de operación 13
2. Desarrollo Comparativa ENS ISO 27.001 Marco Operacional ISO 27001 Planificación op.pl Análisis de Riesgos op.pl. 1 4.2.1.d a 4.2.1.e Identificación, análisis y valoración de riesgos Arquitectura de seguridad op.pl. 2 A.9.1 Áreas seguras A.9.2 Seguridad de los equipos A.12.2 Tratamiento correcto de las aplicaciones Adquisición de nuevos componentes op.pl. 3 A.6.1.4 Proceso de Autorización de Recursos para el Tratamiento de la Información A.10.3 Planificación y Aceptación del Sistema A.12.1.1 Análisis y especificación de los requisitos de seguridad Dimensionamiento/ Gestión de op.pl.4 A.10.3 Planificación y Aceptación del Sistema Capacidad Componentes certificados op.pl.5 NO HAY UN CONTROL EQUIVALENTE 14
2. Desarrollo Comparativa ENS ISO 27.001 Medidas de Protección ISO 27001 Protección de mp.if A.9 Seguridad Física y Ambiental instalaciones e Infraestructuras Áreas separadas y control de mp.if. 1 A.9.1.1 1 Perímetro de seguridad física acceso Identificación de personas mp.if. 2 A.9.1.2 Controles físicos de entrada Acondicionamiento de los locales mp.if. 3 A.9.1.4 Protección contra las amenazas externas y de origen ambiental Energía Eléctrica mp.if. 4 A.9.2.2 Instalaciones de suministro Protección frente a incendios mp.if. 5 A.9.1.4 Protección contra las amenazas externas y de origen ambiental Protección frente a inundaciones mp.if. 6 A.9.1.4 Protección contra las amenazas externas y de origen ambiental 15
2. Desarrollo Comparativa ENS ISO 27.001 Puede observarse, a su vez, un alineamiento claro del ENS con ISO 27001, en cuanto a la FASE DE PLAN del PDCA 4.2.1.a - Alcance: Detallado en la Ley 11/2007 de Administración Electrónica y el RD 3/2010. 4.2.1.b - Política de Seguridad. RD 3/2010. Futura guía CCN- STIC-805. 421c- 4.2.1.c Definición de parte de la Metodología en el RD 3/2010 y en la guía CCN-STIC-803 de Valoración en el ENS (ampliación de la valoración de activos, de las consideraciones sobre los valores que puede tener cada Dimensión que otorga valor al Activo, incluyendo las de Trazabilidad y Autenticidad). 16
2. Desarrollo Comparativa ENS ISO 27.001 4.2.1.d Inventariado y Valoración de Activos. Detalle en RD 3/2010 y CCN-STIC-803 para incluir sistemas, información y servicios, y asignación de responsabilidades muy detalladas, introduciendo incluso 2 nuevas figuras adicionales a las del RD 3/2010. Amenazas y vulnerabilidades incluidas implícitamente en la obligatoriedad de implantar medidas de seguridad que mitigan la Frecuencia o el Impacto de algunas. Otras serán fruto del Análisis de Riesgos requerido. 4.2.1.e Referencia a metodologías reconocidas. 4.2.1.f Se asume que las opciones de tratamiento son las mismas. Se explicita una relación de controles/medidas de seguridad a seleccionar. 17
2. Desarrollo Comparativa ENS ISO 27.001 4.2.1.j. Se añade la obligatoriedad de realizar una Declaración de Aplicabilidad, incluyendo un formato tipo para la misma, aunque bastante diferenciado del habitual en 27001. En cuanto a la FASE DE DO, pueden deducirse las acciones necesarias para la implantación de las evidencias suficientes de la guía CCN-STIC-804. La FASE DE CHECK se deduce fácilmente de la realización de auditorías, controles periódicos, revisiones por dirección, etc. La FASE DE ACT de Acciones Correctivas y Preventivas y análisis de causa-raíz no se menciona explícitamente y es MUY importante en el Proceso de Mejora Continua. 18
2. Desarrollo Comparativa ENS ISO 27.001 POSIBLES AMPLIACIONES??? Cómo mantener el SGSI requerido por el ENS una vez implantado? Cada cuánto revisamos la Política? Cada cuánto actualizamos el Análisis de Riesgos aunque no haya cambios significativos? Cada cuánto? Existe una medida de seguridad para requerir productos certificados (OP.PL.5 Componentes certificados), pero debería explicitarse también la conveniencia de proveedores con SGSIs certificados (en ISO 27001). 19
2. Desarrollo Roles y Responsabilidades ROLES Y RESPONSABILIDADES ENS RDPLOD ISO 27001 COMITÉ DE SEGURIDAD, formado por: Responsable de la Información (RINF) Responsable de Servicios (RSRV) Responsable de la Seguridad (RSEG) Responsable del Sistema (RSIST) Responsable de Seguridad COMITÉ DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, formado por: A.6 Aspectos Organizativos de la Seguridad de la Información A.10 Función diferenciada 20
2. Desarrollo Roles y Responsabilidades ROLES Y RESPONSABILIDADES SEGREGACIÓN DE FUNCIONES 21
3. Conclusiones Podemos hacer coexistir la distinta normativa implantada en la organización con la implantación del ENS, teniendo en cuenta: La información y el trabajo hecho del que ya partimos ante una implantación del ENS: documento de seguridad (LOPD), procedimientos diversos, controles ya implantado, registros, responsables, etc. La norma ISO/IEC 27001, es una referencia para cubrir la carencia de GESTIÓN que actualmente presenta el ENS, concretamente con las cláusulas 4 a 8. 22
3. Conclusiones Concienciación y formación continua de TODOS los usuarios de los sistemas de información en materia de seguridad. Haciéndonos servir de herramientas que nos ayuden a la implantación, verificación, mantenimiento, actualización y mejora continua de nuestro sistema de gestión. de lo contrario.. Si no velamos por mantener nuestro sistema de gestión,duro será el trabajo de implantar, pero aún más duro será ver que, con el paso de tiempo, todo el trabajo realizado vaya quedando obsoleto y no haya servido para nada. 23
Muchas gracias 24