SlideShare une entreprise Scribd logo
1  sur  28
Télécharger pour lire hors ligne
El Esquema Nacional de Seguridad y su aplicación en las AA.PP.
Organizadores:




¿Qué es? ¿Quién lo conoce?

EL ESQUEMA NACIONAL
DE SEGURIDAD
Organizadores:




                  sólo 4 meses



ES MUY RECIENTE
REAL DECRETO 3/2010 (29/1/2010)
El Esquema Nacional de Seguridad (I)

• La Ley 11/2007 o Ley de Acceso Electrónico de                    Organizadores:
  los Ciudadanos a los Servicios Públicos (LAECSP)
  indica :
   – Artículo 42. Esquema Nacional de Interoperabilidad y
     Esquema Nacional de Seguridad.
      • 1. […] Esquema Nacional de Interoperabilidad […]
      • 2. El Esquema Nacional de Seguridad tiene por objeto
        establecer la política de seguridad en la utilización de
        medios electrónicos en el ámbito de la presente Ley, y
        está constituido por los principios básicos y requisitos
        mínimos que permitan una protección adecuada de la
        información.
El Esquema Nacional de Seguridad (II)
  – Articulo 42 (Cont.)
                                                                      Organizadores:
     • 3. Ambos Esquemas se elaborarán con la participación
       de todas las Administraciones y se aprobarán por Real
       Decreto del Gobierno, a propuesta de la Conferencia
       Sectorial de Administración Pública y previo informe de
       la Comisión Nacional de Administración Local, debiendo
       mantenerse actualizados de manera permanente.
     • 4. En la elaboración de ambos Esquemas se tendrán en
       cuenta las recomendaciones de la Unión Europea, la
       situación tecnológica de las diferentes Administraciones
       Públicas, así como los servicios electrónicos ya existentes.
       A estos efectos considerarán la utilización de estándares
       abiertos así como, en su caso y de forma
       complementaria, estándares que sean de uso
       generalizado por los ciudadanos.
Organizadores:




CONFIANZA
Objetivos:
• Confianza en los Sistemas de                  Organizadores:

  Información
  – A través de medidas de seguridad de los
    sistemas, los datos, las comunicaciones y
    los servicios electrónicos.
  – Que los Sistemas de Información cumplan
    sus especificaciones funcionales, sin
    interrupciones o modificaciones fuera de
    control, y sin que la información pueda
    llegar al conocimiento de personas no
    autorizadas
ENS basado en el consenso
• Para su articulación se ha tenido en cuenta:
                                                                Organizadores:
    – Normativa nacional sobre Administración electrónica
    – Legislación de protección de datos de carácter personal
    – Ley de firma electrónica
    – Documento nacional de identidad electrónico
    – Centro Criptológico Nacional
    – Sociedad de la información
    – Reutilización de la información en el sector público
    – Órganos colegiados responsables de la Administración
      Electrónica;
    – Regulación de diferentes instrumentos y servicios de la
      Administración
    – Directrices y guías de la OCDE
    – Disposiciones nacionales e internacionales sobre
      normalización
Relaciones con otras leyes
                      Ley                Organizadores:
                    11/2007
                    LAECSP

         Ley
                                 Ley
      37/2007
                               59/2003
      Reutiliza.
                               Firma-e
        Info.
                   Esquema
                   Nacional
                      de
                   Seguridad
        Ley
                                 Ley
      30/1992
                               56/2007
      Reg. Jur.
                                 LISI
       AA.PP.

                      Ley
                    15/1998
                     LOPD
Alcance
• Establecer los principios básicos y    Organizadores:

  requisitos mínimos que permiten
  una protección adecuada de la
  información y los servicios de los
  sistemas que tratan información de
  las Administraciones públicas en el
  ámbito de la Ley 11/2007
• No solo la web o la sede electrónica
Principios básicos
                         •Proceso integral, todos los elementos técnicos, humanos,
 Seguridad integral.      materiales y organizativos, relacionados con el sistema                 Organizadores:


                         •El análisis y gestión de riesgos. Siempre actualizado.
 Gestión de riesgos       Minimizar riesgos hasta niveles aceptables mediante medidas
                          de seguridad.


Prevención, reacción y   •Contemplar prevención, detección y corrección, para
                          conseguir que las amenazas no se materialicen. La
    recuperación.         recuperación permitirá la restauración de la información.


                         •Estrategia de protección constituida por múltiples capas de
 Líneas de defensa.       seguridad. Las líneas de defensa constituidas por medidas de
                          naturaleza organizativa, física y lógica.


    Reevaluación         •Las medidas de seguridad se reevaluarán y actualizarán
                          periódicamente, para adecuar su eficacia a la constante
     periódica.           evolución de los riesgos y sistemas de protección.


                         • Se diferenciará el responsable de la información, el responsable del
Función diferenciada       servicio y el responsable de la seguridad. La política de seguridad
                           detallará atribuciones y mecanismos de coordinación.
Requisitos mínimos
• Todos los órganos superiores de las       Organizadores:

  Administraciones públicas deberán
  disponer formalmente de su política de
  seguridad.
• Esta será aprobada por el titular del
  órgano superior correspondiente.
• Se establecerá en base a los principios
  básicos indicados y se desarrollará
  aplicando los siguientes requisitos
  mínimos.
Requisitos mínimos
 Organización e
                       Análisis y                                            Organizadores:
implantación del                         Gestión de
                     gestión de los                       Profesionalidad.
  proceso de                             personal.
                        riesgos.
   seguridad.


 Autorización y      Protección de
                                       Adquisición de      Seguridad por
 control de los            las
                                        productos.           defecto.
   accesos.          instalaciones.


                    Protección de la   Prevención ante
  Integridad y
                      información       otros sistemas      Registro de
actualización del
                     almacenada y       de información       actividad.
    sistema.
                       en tránsito.    interconectados.


                                                Mejora continua
           Incidentes de      Continuidad de
                                                del proceso de
             seguridad.        la actividad.
                                                  seguridad
Artículo 14. Gestión de personal
  – 14.4) Para corregir, o exigir            Organizadores:
    responsabilidades en su caso, cada
    usuario que acceda a la información
    del sistema debe estar identificado de
    forma única, de modo que se sepa,
    en todo momento, quién recibe
    derechos de acceso, de qué tipo son
    éstos, y quién ha realizado
    determinada actividad
• Artículo 16. Autorización y control        Organizadores:

 de los accesos.
  – El acceso al sistema de información
    deberá ser controlado y limitado a
    los usuarios, procesos, dispositivos y
    otros sistemas de información,
    debidamente autorizados,
    restringiendo el acceso a las
    funciones permitidas.
Art 21. Protección de información
almacenada y en tránsito.
                                           Organizadores:
  – 21.2. Forman parte de la seguridad
    los procedimientos que aseguren la
    recuperación y conservación a largo
    plazo de los documentos electrónicos
    producidos por las Administraciones
    públicas en el ámbito de sus
    competencias.
Artículo 23. Registro de actividad.
  – Con la finalidad exclusiva de lograr el cumplimiento
    del objeto del presente real decreto, con plenas       Organizadores:

    garantías del derecho al honor, a la intimidad
    personal y familiar y a la propia imagen de los
    afectados, y de acuerdo con la normativa sobre
    protección de datos personales, de función pública o
    laboral, y demás disposiciones que resulten de
    aplicación, se registrarán las actividades de los
    usuarios, reteniendo la información necesaria para
    monitorizar, analizar, investigar y documentar
    actividades indebidas o no autorizadas, permitiendo
    identificar en cada momento a la persona que actúa.
Categorización de Sistemas
• Equilibrio entre la información que maneja y el               Organizadores:
  esfuerzo de seguridad en función de sus riesgos.
• Determinar dimensiones de seguridad
  relevantes y nivel
      • Disponibilidad [D], Autenticidad [A], Integridad [I],
        Confidencialidad [C] y Trazabilidad [T].
• Categorías Sistemas de Información
   – BASICA, MÉDIA o ALTA
• Implantar medidas de seguridad para la
  categoría del sistema (ver tabla).
MEDIDAS DE
Dimensiones
                                          SEGURIDAD

 Afectadas      B        M        A
                                         org           Marco organizativo
 categoría    aplica     =        =      org.1         Política de seguridad
 categoría    aplica     =        =      org.2         Normativa de seguridad
 categoría    aplica     =        =      org.3         Procedimientos de seguridad
 categoría    aplica     =        =      org.4         Proceso de autorización
                                                                                                   Organizadores:
                                         op            Marco operacional
                                         op.pl         Planificación
 categoría     n.a.      +       ++      op.pl.1       Análisis de riesgos
 categoría    aplica     =        =      op.pl.2       Arquitectura de seguridad
 categoría    aplica     =        =      op.pl.3       Adquisición de nuevos componentes
     D         n.a.    aplica     =      op.pl.4       Dimensionamiento / Gestión de capacidades
 categoría     n.a.     n.a.    aplica   op.pl.5       Componentes certificados
                                         op.acc        Control de acceso

    AT        aplica     =        =      op.acc.1      Identificación

  ICAT        aplica     =        =      op.acc.2      Requisitos de acceso

  ICAT         n.a.    aplica     =      op.acc.3      Segregación de funciones y tareas

  ICAT        aplica     =        =      op.acc.4      Proceso de gestión de derechos de acceso

  ICAT        aplica     +       ++      op.acc.5      Mecanismo de autenticación

  ICAT        aplica     +       ++      op.acc.6      Acceso local (local logon)

  ICAT        aplica     +        =      op.acc.7      Acceso remoto (remote login)
                                         op.exp        Explotación

 categoría    aplica     =        =      op.exp.1      Inventario de activos

 categoría    aplica     =        =      op.exp.2      Configuración de seguridad

 categoría     n.a.    aplica     =      op.exp.3      Gestión de la configuración

 categoría    aplica     =        =      op.exp.4      Mantenimiento

 categoría     n.a.    aplica     =      op.exp.5      Gestión de cambios

 categoría    aplica     =        =      op.exp.6      Protección frente a código dañino
categoría    n.a.    aplica     =      op.exp.7    Gestión de incidencias

   T         n.a.     n.a.    aplica   op.exp.8    Registro de la actividad de los usuarios

categoría    n.a.    aplica     =      op.exp.9    Registro de la gestión de incidencias

   T         n.a.     n.a.    aplica   op.exp.10   Protección de los registros de actividad

categoría   aplica     =        +      op.exp.11   Protección de claves criptográficas
                                       op.ext      Servicios externos
                                                                                                        Organizadores:
categoría    n.a.    aplica     =      op.ext.1    Contratación y acuerdos de nivel de servicio

categoría    n.a.    aplica     =      op.ext.2    Gestión diaria

   D         n.a.     n.a.    aplica   op.ext.9    Medios alternativos
                                       op.cont     Continuidad del servicio

   D         n.a.    aplica     =      op.cont.1   Análisis de impacto

   D         n.a.     n.a.    aplica   op.cont.2   Plan de continuidad

   D         n.a.     n.a.    aplica   op.cont.3   Pruebas periódicas
                                       op.mon      Monitorización del sistema

categoría    n.a.     n.a.    aplica   op.mon.1    Detección de intrusión

categoría    n.a.     n.a.    aplica   op.mon.2    Sistema de métricas

                                       mp          Medidas de protección
                                       mp.if       Protección de las instalaciones e infraestructuras
categoría   aplica     =        =      mp.if.1     Áreas separadas y con control de acceso
categoría   aplica     =        =      mp.if.2     Identificación de las personas
categoría   aplica     =        =      mp.if.3     Acondicionamiento de los locales
    D       aplica     +        =      mp.if.4     Energía eléctrica
    D       aplica     =        =      mp.if.5     Protección frente a incendios
    D        n.a.    aplica     =      mp.if.6     Protección frente a inundaciones
categoría   aplica     =        =      mp.if.7     Registro de entrada y salida de equipamiento
    D        n.a.     n.a.    aplica   mp.if.9     Instalaciones alternativas
                                       mp.per      Gestión del personal

categoría    n.a.    aplica     =      mp.per.1    Caracterización del puesto de trabajo

categoría   aplica     =        =      mp.per.2    Deberes y obligaciones
categoría   aplica     =        =      mp.per.3    Concienciación
categoría   aplica     =        =      mp.per.4    Formación
   D         n.a.     n.a.    aplica   mp.per.9    Personal alternativo
                                       mp.eq       Protección de los equipos
categoría   aplica     +        =      mp.eq.1     Puesto de trabajo despejado
   A         n.a.    aplica     +      mp.eq.2     Bloqueo de puesto de trabajo

                                                                                                      Organizadores:
categoría   aplica     =        +      mp.eq.3     Protección de equipos portátiles
   D         n.a.    aplica     =      mp.eq.9     Medios alternativos
                                       mp.com      Protección de las comunicaciones
categoría   aplica     =        +      mp.com.1    Perímetro seguro
   C         n.a.    aplica     +      mp.com.2    Protección de la confidencialidad
   IA       aplica     +       ++      mp.com.3    Protección de la autenticidad y de la integridad
categoría    n.a.     n.a.    aplica   mp.com.4    Segregación de redes
   D         n.a.     n.a.    aplica   mp.com.9    Medios alternativos
                                       mp.si       Protección de los soportes de información
    C       aplica     =        =      mp.si.1     Etiquetado
   IC        n.a.    aplica     +      mp.si.2     Criptografía
categoría   aplica     =        =      mp.si.3     Custodia
categoría   aplica     =        =      mp.si.4     Transporte
    C        n.a.    aplica     =      mp.si.5     Borrado y destrucción
                                       mp.sw       Protección de las aplicaciones informáticas
categoría    n.a.    aplica     =      mp.sw.1     Desarrollo
categoría   aplica     +       ++      mp.sw.2     Aceptación y puesta en servicio
                                       mp.info     Protección de la información
categoría   aplica     =        =      mp.info.1   Datos de carácter personal
   C        aplica     +        =      mp.info.2   Calificación de la información
   C         n.a.     n.a.    aplica   mp.info.3   Cifrado
   IA       aplica     +       ++      mp.info.4   Firma electrónica
   T         n.a.     n.a.    aplica   mp.info.5   Sellos de tiempo
   C        aplica     =        =      mp.info.6   Limpieza de documentos
   D         n.a.    aplica     =      mp.info.9   Copias de seguridad (backup)
                                       mp.s        Protección de los servicios
categoría   aplica     =        =      mp.s.1      Protección del correo electrónico
categoría   aplica     =        =      mp.s.2      Protección de servicios y aplicaciones web
    D        n.a.    aplica     +      mp.s.8      Protección frente a la denegación de servicio
    D        n.a.     n.a.    aplica   mp.s.9      Medios alternativos
Organizadores:




¿QUÉ PODEMOS APORTAR
A LAS AA.PP?
Control y auditoría de acceso
• Mediante certificados digitales                  Organizadores:
    – Emitidos por un Prestador de Servicios de
      Certificación o por la propia organización
• Mediante tarjetas inteligentes o RFID
    – Tarjetas de contacto y de proximidad
• Mediante huella dactilar u otros sistemas de
  reconocimiento biométrico
• Integrado con la infraestructura de seguridad
  de la organización (Active Directory, LDAP,
  BBDD, etc.)
• Independiente de los dispositivos empleados y
  100% compatible con el DNI electrónico.
• Soporta acceso Web, Citrix/TS, VPN y VDI.
Plataforma de Validación de
certificados
                                                     Organizadores:
• Servidor central para la validación
  del estado de certificados digitales
• Mejora el rendimiento y fiabilidad de
  las aplicaciones de firma electrónica.
   – Multi-PSC. DNIe compatible.
   – Integración con aplicaciones Microsoft
     (Office, Exchange, IIS, SharePoint, etc.)
   – Funciones avanzadas
       • Listas negras/blancas, caché inteligente,
         descarga de CRLs
   – Alta disponibilidad
   – Auditoría y alertas configurables
   – Integrado con @firma. Alto rendimiento.
Motor de firma digital integral
• Servidor de firma digital
                                                      Organizadores:
• Único motor de firma realizado Íntegramente
  en plataforma .NET
• Arquitectura SOA
• Integrado con SharePoint Server
   – Firma de documentos, formularios y portafirmas
   – Integración con flujos de trabajo.
• Múltiples formatos
   – CMS/PKCS7, CAdES, XMLDSig, XAdES, PDF,
     PAdES,…
• Alto rendimiento y coste asequible
• Firma en cliente o en servidor.
• Soporte de la mayoría de smart cards y HSM.
Pero no te fíes de        Organizadores:


nosotros…

Es mejor que lo pruebes
por ti mismo…
• Tienes en tu bolsa:
   – Una tarjeta criptográfica TC-FNMT con su PIN y PUK
     iniciales
                                                            Organizadores:
   – Una dirección web y un código (en el anverso de la
     tarjeta) para descargar todo el software necesario.
     Incluye una licencia completa de nuestro software de
     logon IDOne.
• Te invitamos a que lo pruebes y nos comentes tu
  opinión
• Y además te regalamos un micro-lector de
  tarjetas si nos entregas la encuesta rellena.
Organizadores:




rames@smartaccess.es

MUCHAS GRACIAS

Contenu connexe

Tendances

Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de infcoromoto16
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Eulen Seguridad - Seguridad de la Información y de las TIC
Eulen Seguridad  - Seguridad de la Información y de las TICEulen Seguridad  - Seguridad de la Información y de las TIC
Eulen Seguridad - Seguridad de la Información y de las TICRicardo Cañizares Sales
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 

Tendances (19)

Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de inf
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Manual seguridad informatica
Manual seguridad informaticaManual seguridad informatica
Manual seguridad informatica
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hecho
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
Eulen Seguridad - Seguridad de la Información y de las TIC
Eulen Seguridad  - Seguridad de la Información y de las TICEulen Seguridad  - Seguridad de la Información y de las TIC
Eulen Seguridad - Seguridad de la Información y de las TIC
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
 

En vedette

CWC Sept2014
CWC Sept2014CWC Sept2014
CWC Sept2014TonyD2014
 
Tecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIeTecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIeRames Sarwat
 
El Almacen Central de Certificados Digitales
El Almacen Central de Certificados DigitalesEl Almacen Central de Certificados Digitales
El Almacen Central de Certificados DigitalesRames Sarwat
 
Firma electrónica en movilidad
Firma electrónica en movilidadFirma electrónica en movilidad
Firma electrónica en movilidadRames Sarwat
 
Firma biométrica de Consentimientos Informados en Hospitales
Firma biométrica de Consentimientos Informados en HospitalesFirma biométrica de Consentimientos Informados en Hospitales
Firma biométrica de Consentimientos Informados en HospitalesRames Sarwat
 

En vedette (6)

CWC Sept2014
CWC Sept2014CWC Sept2014
CWC Sept2014
 
Tecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIeTecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIe
 
Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14
 
El Almacen Central de Certificados Digitales
El Almacen Central de Certificados DigitalesEl Almacen Central de Certificados Digitales
El Almacen Central de Certificados Digitales
 
Firma electrónica en movilidad
Firma electrónica en movilidadFirma electrónica en movilidad
Firma electrónica en movilidad
 
Firma biométrica de Consentimientos Informados en Hospitales
Firma biométrica de Consentimientos Informados en HospitalesFirma biométrica de Consentimientos Informados en Hospitales
Firma biométrica de Consentimientos Informados en Hospitales
 

Similaire à El Esquema Nacional de Seguridad y su aplicación en las AA.PP.

20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012Miguel A. Amutio
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...solecito222
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docxLizy Pineda
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docenteYanin Valencia
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010Miguel A. Amutio
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 

Similaire à El Esquema Nacional de Seguridad y su aplicación en las AA.PP. (20)

Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 201220120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
20120313 el Esquema Nacional de Seguridad (ENS) en SEGURINFO 2012
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
Actividade 1 gestión de sistemas de seguridad para redes viviana marcela beta...
 
Seguridad informatica christian rojas
Seguridad informatica christian rojasSeguridad informatica christian rojas
Seguridad informatica christian rojas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docx
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docente
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 

Dernier

VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 

Dernier (20)

VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 

El Esquema Nacional de Seguridad y su aplicación en las AA.PP.

  • 2. Organizadores: ¿Qué es? ¿Quién lo conoce? EL ESQUEMA NACIONAL DE SEGURIDAD
  • 3. Organizadores: sólo 4 meses ES MUY RECIENTE REAL DECRETO 3/2010 (29/1/2010)
  • 4. El Esquema Nacional de Seguridad (I) • La Ley 11/2007 o Ley de Acceso Electrónico de Organizadores: los Ciudadanos a los Servicios Públicos (LAECSP) indica : – Artículo 42. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad. • 1. […] Esquema Nacional de Interoperabilidad […] • 2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
  • 5. El Esquema Nacional de Seguridad (II) – Articulo 42 (Cont.) Organizadores: • 3. Ambos Esquemas se elaborarán con la participación de todas las Administraciones y se aprobarán por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administración Pública y previo informe de la Comisión Nacional de Administración Local, debiendo mantenerse actualizados de manera permanente. • 4. En la elaboración de ambos Esquemas se tendrán en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes. A estos efectos considerarán la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.
  • 7. Objetivos: • Confianza en los Sistemas de Organizadores: Información – A través de medidas de seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. – Que los Sistemas de Información cumplan sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas
  • 8. ENS basado en el consenso • Para su articulación se ha tenido en cuenta: Organizadores: – Normativa nacional sobre Administración electrónica – Legislación de protección de datos de carácter personal – Ley de firma electrónica – Documento nacional de identidad electrónico – Centro Criptológico Nacional – Sociedad de la información – Reutilización de la información en el sector público – Órganos colegiados responsables de la Administración Electrónica; – Regulación de diferentes instrumentos y servicios de la Administración – Directrices y guías de la OCDE – Disposiciones nacionales e internacionales sobre normalización
  • 9. Relaciones con otras leyes Ley Organizadores: 11/2007 LAECSP Ley Ley 37/2007 59/2003 Reutiliza. Firma-e Info. Esquema Nacional de Seguridad Ley Ley 30/1992 56/2007 Reg. Jur. LISI AA.PP. Ley 15/1998 LOPD
  • 10. Alcance • Establecer los principios básicos y Organizadores: requisitos mínimos que permiten una protección adecuada de la información y los servicios de los sistemas que tratan información de las Administraciones públicas en el ámbito de la Ley 11/2007 • No solo la web o la sede electrónica
  • 11. Principios básicos •Proceso integral, todos los elementos técnicos, humanos, Seguridad integral. materiales y organizativos, relacionados con el sistema Organizadores: •El análisis y gestión de riesgos. Siempre actualizado. Gestión de riesgos Minimizar riesgos hasta niveles aceptables mediante medidas de seguridad. Prevención, reacción y •Contemplar prevención, detección y corrección, para conseguir que las amenazas no se materialicen. La recuperación. recuperación permitirá la restauración de la información. •Estrategia de protección constituida por múltiples capas de Líneas de defensa. seguridad. Las líneas de defensa constituidas por medidas de naturaleza organizativa, física y lógica. Reevaluación •Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante periódica. evolución de los riesgos y sistemas de protección. • Se diferenciará el responsable de la información, el responsable del Función diferenciada servicio y el responsable de la seguridad. La política de seguridad detallará atribuciones y mecanismos de coordinación.
  • 12. Requisitos mínimos • Todos los órganos superiores de las Organizadores: Administraciones públicas deberán disponer formalmente de su política de seguridad. • Esta será aprobada por el titular del órgano superior correspondiente. • Se establecerá en base a los principios básicos indicados y se desarrollará aplicando los siguientes requisitos mínimos.
  • 13. Requisitos mínimos Organización e Análisis y Organizadores: implantación del Gestión de gestión de los Profesionalidad. proceso de personal. riesgos. seguridad. Autorización y Protección de Adquisición de Seguridad por control de los las productos. defecto. accesos. instalaciones. Protección de la Prevención ante Integridad y información otros sistemas Registro de actualización del almacenada y de información actividad. sistema. en tránsito. interconectados. Mejora continua Incidentes de Continuidad de del proceso de seguridad. la actividad. seguridad
  • 14. Artículo 14. Gestión de personal – 14.4) Para corregir, o exigir Organizadores: responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad
  • 15. • Artículo 16. Autorización y control Organizadores: de los accesos. – El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
  • 16. Art 21. Protección de información almacenada y en tránsito. Organizadores: – 21.2. Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por las Administraciones públicas en el ámbito de sus competencias.
  • 17. Artículo 23. Registro de actividad. – Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas Organizadores: garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
  • 18. Categorización de Sistemas • Equilibrio entre la información que maneja y el Organizadores: esfuerzo de seguridad en función de sus riesgos. • Determinar dimensiones de seguridad relevantes y nivel • Disponibilidad [D], Autenticidad [A], Integridad [I], Confidencialidad [C] y Trazabilidad [T]. • Categorías Sistemas de Información – BASICA, MÉDIA o ALTA • Implantar medidas de seguridad para la categoría del sistema (ver tabla).
  • 19. MEDIDAS DE Dimensiones SEGURIDAD Afectadas B M A org Marco organizativo categoría aplica = = org.1 Política de seguridad categoría aplica = = org.2 Normativa de seguridad categoría aplica = = org.3 Procedimientos de seguridad categoría aplica = = org.4 Proceso de autorización Organizadores: op Marco operacional op.pl Planificación categoría n.a. + ++ op.pl.1 Análisis de riesgos categoría aplica = = op.pl.2 Arquitectura de seguridad categoría aplica = = op.pl.3 Adquisición de nuevos componentes D n.a. aplica = op.pl.4 Dimensionamiento / Gestión de capacidades categoría n.a. n.a. aplica op.pl.5 Componentes certificados op.acc Control de acceso AT aplica = = op.acc.1 Identificación ICAT aplica = = op.acc.2 Requisitos de acceso ICAT n.a. aplica = op.acc.3 Segregación de funciones y tareas ICAT aplica = = op.acc.4 Proceso de gestión de derechos de acceso ICAT aplica + ++ op.acc.5 Mecanismo de autenticación ICAT aplica + ++ op.acc.6 Acceso local (local logon) ICAT aplica + = op.acc.7 Acceso remoto (remote login) op.exp Explotación categoría aplica = = op.exp.1 Inventario de activos categoría aplica = = op.exp.2 Configuración de seguridad categoría n.a. aplica = op.exp.3 Gestión de la configuración categoría aplica = = op.exp.4 Mantenimiento categoría n.a. aplica = op.exp.5 Gestión de cambios categoría aplica = = op.exp.6 Protección frente a código dañino
  • 20. categoría n.a. aplica = op.exp.7 Gestión de incidencias T n.a. n.a. aplica op.exp.8 Registro de la actividad de los usuarios categoría n.a. aplica = op.exp.9 Registro de la gestión de incidencias T n.a. n.a. aplica op.exp.10 Protección de los registros de actividad categoría aplica = + op.exp.11 Protección de claves criptográficas op.ext Servicios externos Organizadores: categoría n.a. aplica = op.ext.1 Contratación y acuerdos de nivel de servicio categoría n.a. aplica = op.ext.2 Gestión diaria D n.a. n.a. aplica op.ext.9 Medios alternativos op.cont Continuidad del servicio D n.a. aplica = op.cont.1 Análisis de impacto D n.a. n.a. aplica op.cont.2 Plan de continuidad D n.a. n.a. aplica op.cont.3 Pruebas periódicas op.mon Monitorización del sistema categoría n.a. n.a. aplica op.mon.1 Detección de intrusión categoría n.a. n.a. aplica op.mon.2 Sistema de métricas mp Medidas de protección mp.if Protección de las instalaciones e infraestructuras categoría aplica = = mp.if.1 Áreas separadas y con control de acceso categoría aplica = = mp.if.2 Identificación de las personas categoría aplica = = mp.if.3 Acondicionamiento de los locales D aplica + = mp.if.4 Energía eléctrica D aplica = = mp.if.5 Protección frente a incendios D n.a. aplica = mp.if.6 Protección frente a inundaciones categoría aplica = = mp.if.7 Registro de entrada y salida de equipamiento D n.a. n.a. aplica mp.if.9 Instalaciones alternativas mp.per Gestión del personal categoría n.a. aplica = mp.per.1 Caracterización del puesto de trabajo categoría aplica = = mp.per.2 Deberes y obligaciones
  • 21. categoría aplica = = mp.per.3 Concienciación categoría aplica = = mp.per.4 Formación D n.a. n.a. aplica mp.per.9 Personal alternativo mp.eq Protección de los equipos categoría aplica + = mp.eq.1 Puesto de trabajo despejado A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo Organizadores: categoría aplica = + mp.eq.3 Protección de equipos portátiles D n.a. aplica = mp.eq.9 Medios alternativos mp.com Protección de las comunicaciones categoría aplica = + mp.com.1 Perímetro seguro C n.a. aplica + mp.com.2 Protección de la confidencialidad IA aplica + ++ mp.com.3 Protección de la autenticidad y de la integridad categoría n.a. n.a. aplica mp.com.4 Segregación de redes D n.a. n.a. aplica mp.com.9 Medios alternativos mp.si Protección de los soportes de información C aplica = = mp.si.1 Etiquetado IC n.a. aplica + mp.si.2 Criptografía categoría aplica = = mp.si.3 Custodia categoría aplica = = mp.si.4 Transporte C n.a. aplica = mp.si.5 Borrado y destrucción mp.sw Protección de las aplicaciones informáticas categoría n.a. aplica = mp.sw.1 Desarrollo categoría aplica + ++ mp.sw.2 Aceptación y puesta en servicio mp.info Protección de la información categoría aplica = = mp.info.1 Datos de carácter personal C aplica + = mp.info.2 Calificación de la información C n.a. n.a. aplica mp.info.3 Cifrado IA aplica + ++ mp.info.4 Firma electrónica T n.a. n.a. aplica mp.info.5 Sellos de tiempo C aplica = = mp.info.6 Limpieza de documentos D n.a. aplica = mp.info.9 Copias de seguridad (backup) mp.s Protección de los servicios categoría aplica = = mp.s.1 Protección del correo electrónico categoría aplica = = mp.s.2 Protección de servicios y aplicaciones web D n.a. aplica + mp.s.8 Protección frente a la denegación de servicio D n.a. n.a. aplica mp.s.9 Medios alternativos
  • 23. Control y auditoría de acceso • Mediante certificados digitales Organizadores: – Emitidos por un Prestador de Servicios de Certificación o por la propia organización • Mediante tarjetas inteligentes o RFID – Tarjetas de contacto y de proximidad • Mediante huella dactilar u otros sistemas de reconocimiento biométrico • Integrado con la infraestructura de seguridad de la organización (Active Directory, LDAP, BBDD, etc.) • Independiente de los dispositivos empleados y 100% compatible con el DNI electrónico. • Soporta acceso Web, Citrix/TS, VPN y VDI.
  • 24. Plataforma de Validación de certificados Organizadores: • Servidor central para la validación del estado de certificados digitales • Mejora el rendimiento y fiabilidad de las aplicaciones de firma electrónica. – Multi-PSC. DNIe compatible. – Integración con aplicaciones Microsoft (Office, Exchange, IIS, SharePoint, etc.) – Funciones avanzadas • Listas negras/blancas, caché inteligente, descarga de CRLs – Alta disponibilidad – Auditoría y alertas configurables – Integrado con @firma. Alto rendimiento.
  • 25. Motor de firma digital integral • Servidor de firma digital Organizadores: • Único motor de firma realizado Íntegramente en plataforma .NET • Arquitectura SOA • Integrado con SharePoint Server – Firma de documentos, formularios y portafirmas – Integración con flujos de trabajo. • Múltiples formatos – CMS/PKCS7, CAdES, XMLDSig, XAdES, PDF, PAdES,… • Alto rendimiento y coste asequible • Firma en cliente o en servidor. • Soporte de la mayoría de smart cards y HSM.
  • 26. Pero no te fíes de Organizadores: nosotros… Es mejor que lo pruebes por ti mismo…
  • 27. • Tienes en tu bolsa: – Una tarjeta criptográfica TC-FNMT con su PIN y PUK iniciales Organizadores: – Una dirección web y un código (en el anverso de la tarjeta) para descargar todo el software necesario. Incluye una licencia completa de nuestro software de logon IDOne. • Te invitamos a que lo pruebes y nos comentes tu opinión • Y además te regalamos un micro-lector de tarjetas si nos entregas la encuesta rellena.