SlideShare une entreprise Scribd logo

Actualización del ENS. Presentación CCN-CERT / SGAD

Miguel A. Amutio
Miguel A. Amutio

Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor

Gouvernement et associations à but non lucratif
1  sur  40
Télécharger pour lire hors ligne
III ENCUENTRO ENS Presentación CCN-CERT / SGAD
Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
Digitalización acelerada con impacto global Organizaciones, públicas y privadas, en sus productos, procesos y servicios Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de:  Trabajo  Educación / Formación  Ocio  Entretenimiento  Consumo  Interacción social Genera hiperconectividad Se agudiza la dependencia de la tecnología, mayor:  complejidad  interdependencia  se incrementa la superficie de exposición a ciberamenazas y a fallos. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad.
+ Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Transformación digital. Perspectiva global. Dinámica permanente
El Sector Público y su cadena de suministro en el punto de mira de los ciberataques Orientados a la información  Con sustracción (con o sin revelación)  Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)  Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios  Con quiebra de la disponibilidad de los servicios, que afectaría al acceso a la información Combinación de los anteriores
El Sector Público y su cadena de suministro en el punto de mira de los ciberataques Fuente: Cyber brief (March 2021) April 6, 2021 - Version: 1.0 TLP:WHITE Disclosure is not limited. Information may be distributed freely.
Claves de la Orden Ejecutiva:  Eliminar las barreras para compartir información sobre amenazas y ciberincidentes entre el gobierno y sus proveedores.  Modernizar y reforzar la ciberseguridad del gobierno para responder a la evolución de las ciberamenazas: adopción de buenas prácticas, arquitecturas de mínimo privilegio (zero-trust) y de uso de servicios en la nube, adopción de doble factor de autenticación, cifrado de información en reposo y en tránsito, colaboración en la respuesta ante incidentes.  Mejorar la seguridad de la cadena de suministro de software para garantizar que los productos funcionen de forma segura y según lo previsto, mediante estándares, procedimientos, criterios, guías, aplicación del concepto de SBOM (Software Bill of Materials) y marcas de excelencia.  Establecer una comisión de examen de la ciberseguridad compuesta por miembros del gobierno y representantes del sector privado, para analizar incidentes y extraer lecciones.  Estandarizar el manual de procedimientos de respuesta ante vulnerabilidades e incidentes.  Mejorar la detección temprana de incidentes y vulnerabilidades. Implantación de agentes de punto final (EDR).  Mejorar las capacidades de investigación y remediación de incidentes mediante requisitos acerca de los registros de actividad (logs). Lectura a la luz de:  ENCS 2019 y gobernanza CNCS-CPCS-FNCS  ENS y su proyecto de actualización  Informe anual INES  Instrucciones Técnicas de seguridad y Guías CCN-STIC  Capacidades CCN-CERT y herramientas  Proyecto Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP  RD-l 12/2018, RD 43/2021 (NIS)  Proyecto de Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (RD 43/2021) Orden ejecutiva para mejorar la seguridad nacional
ACM sobre medidas urgentes en materia de ciberseguridad Plan de Choque de Ciberseguridad A destacar:  Protección frente al código malicioso (especialmente del tipo ransomware)  Extensión de los servicios para la detección de ciberamenazas en equipos de usuario  Implantación de la vigilancia de accesos remotos  Refuerzo de las capacidades de búsqueda de amenazas  Ampliación de las capacidades de ciberinteligencia  Extensión de la aplicación del uso del doble factor en autenticación  Despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes  Continuidad de negocio y la recuperación ante desastres, la concienciación y la formación por parte de proveedores del Sector Público  Revisión de la normativa de ciberseguridad Actualización del ENS mediante tramitación y aprobación urgente Promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector privado (proveedores del Sector Público estatal) 1º 2º 3º
Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
La seguridad, el largo camino… Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo Photo by Perry Grone on Unsplash Fuente: Miguel A. Amutio
Pilares de la ciberseguridad Administración Digital Órganos de Gobernanza y cooperación en la AGE de las AA.PP. RD-L 12/2018 Marco estratégico e institucional – RD 43/2021 CoCENS Servicios CCN-CERT Guías CCN-STIC (Serie 800) Fuente: Miguel A.Amutio
Desarrollo Conformidad Monitorización - INES Soporte Actualizado en 2015 Ámbito de aplicación Extendido a todo el Sector Público (leyes 39/2015 y 40/2015) 4 ITS publicadas Experiencia de aplicación Marco europeo (eIDAS) Escenario de ciberseguridad  Informe  Conformidad  Auditoría  Notificación de incidentes Acreditación con ENAC  Certificadores acreditados por ENAC  Entidades certificadas (públicas/privadas)  Consejo de Certificación del ENS (CoCENS)  > 80 guías CCN- STIC de la serie 800.  21 soluciones de ciberseguridad Referente de medidas de seguridad para otros ámbitos  7 ediciones del informe INES  1194 organismos, 934 incluidos en el informe, un 3,78% más que en 2019  La campaña permanece abierta todo el año  Ley Orgánica 3/2018  Real Decreto 43/2021
Elementos para la actualización Progreso de la transformación digital Intensificación de las ciberamenazas y ciberincidentes Avance de las tecnologías Evolución del marco legal Evolución del marco estratégico en ciberseguridad Extensión de la implantación del ENS Acumulación de experiencia de aplicación del ENS Mejor conocimiento de la situación (Informe INES) Extensión de guías CCN-STIC y servicios CCN-CERT + Todas vuestras aportaciones que nos habéis trasladado por canales formales e informales
Objetivos: 1. Mejorar y alinear el ENS Actualizar referencias al marco legal: • Referencias a leyes 39/2015 y 40/2015, RGPD, LO 3/2018, Directiva NIS, RD-l 12/2018, RD 43/2021, RD-l 14/2019, Reglamento de Ciberseguridad,… Precisar adecuadamente el ámbito de aplicación (art. 2): • Entidades del sector público (Ley 40/2015, arts. 2, 156). • Entidades del sector privado que les presten servicios o provean soluciones. • Sistemas de información que permitan los tratamientos de datos personales (LO 3/2018, art. 77.1, D. a. 1ª). • Sistemas que manejan o tratan información clasificada. Precisar adecuadamente ‘Prevención, detección y respuesta a incidentes de seguridad’ (art. 33): • Condiciones de notificación de incidentes de seguridad al CCN-CERT por entidades del sector público. • Actuaciones de respuesta por parte del CCN-CERT y de la SGAD (reconexión a servicios comunes). • Condiciones de notificación de incidentes de seguridad al INCIBE-CERT por entidades del sector privado que presten servicios a aquellas. Introducir mejoras: • Clarificar, precisar, eliminar aspectos no necesarios o excesivos, homogeneizar, simplificar, o actualizar diversos aspectos del texto, como los procedimientos de determinación de la conformidad con el ENS (art. 38) o el desarrollo del ENS (D.a. 2ª). (Sometido a cambios)
Objetivos: 2. Capacidad de ajustar requisitos Introducir la figura del perfil de cumplimiento especifico (art. 30): Conjunto de medidas de seguridad que resulten de aplicación a necesidades especificas, determinados sectores, colectivos de entidades (ej. EE.LL), o determinados ámbitos tecnológicos y que permitan alcanzar una aplicación del ENS más eficaz y eficiente, sin menoscabo de la protección perseguida y exigible.  Ejemplos: EE.LL., servicios en la nube  Opciones: Añadir o eliminar medidas Incluir medidas compensatorias Incrementar o decrementar el nivel de ciertas medidas Redefinir ciertas medidas para mejor adaptación a los sistemas y equilibrio de seguridad y operatividad. + Esquemas de acreditación de entidades para la implementación de configuraciones seguras (Sometido a cambios)
Objetivos: 3. Revisar principios, requisitos y medidas Fuentes: Experiencia, caudal de preguntas, canales formales e informales, INES, auditorías… Principios:  De ‘prevención, reacción y recuperación’ a ‘prevención, detección, respuesta y conservación’.  Se introduce el principio básico de ‘vigilancia continua’  Se clarifica la redacción del principio ‘diferenciación de responsabilidades’ Requisitos:  El requisito mínimo de ‘seguridad por defecto’ pasa a denominarse ‘mínimo privilegio’ Medidas del Anexo II, mejora de redacción y actualización:  Marco Operacional y Medidas de Protección.  Nueva familia: Servicios en la nube (1 medida). Nuevo sistema de codificación:  De los requisitos de las medidas.  De refuerzos, no siempre exigidos, que se suman a los requisitos base para fortalecer la seguridad y que podrán formar parte de los perfiles de cumplimiento. (Sometido a cambios)
Medidas de seguridad. Panorámica de evolución (Sometido a cambios) RD 2015 Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 31 Medidas de protección 40 Planificación (5) Control de acceso (7) Explotación (11) Servicios externos (3) Continuidad del servicio (3) Monitorización del sistema (2) Instalaciones e infraestructuras (8) Gestión del personal (5) Protección de los equipos (4) Protección de las comunicaciones (5) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (7) Protección de los servicios (4) NUEVO RD Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicio en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4)
Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
Fuente: CCN-CERT
Evaluar el estado de la seguridad 7ª edición – Informe INES 2020 Incremento del 11% en nº de fichas registradas. Se registraron 1194 organismos, 934 incluidos en el informe, aumentando en un 3,78% respecto al año anterior. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en:  el 64,93% en sistemas de categoría ALTA  el 68,24% en sistemas de categoría MEDIA,  el 84% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS.
Identificar medidas a reforzar a la luz de la experiencia con el tratamiento de incidentes Reforzar ante deficiencias detectadas en Informe INES y por CCN-CERT ante incidentes:  Protección frente a código dañino [op.exp.6]  Mecanismo con autenticación [op.acc.5] (no uso de doble factor)  Detección de intrusión [op.mon.1]  Copias de seguridad [mp.info.9]  Perímetro seguro [mp.com.1]  Segregación de redes [mp.com.4] (Redes NO segregadas)  Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]  Mantenimiento [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad)  Concienciación [mp.per.3] y formación [mp.per.4]  Protección de servicios y aplicaciones web [mp.s.2] Asentar protocolos de actuación ante ciberincidentes.
Medidas de seguridad. Panorámica de evolución por categoría (Sometido a cambios) RD 2015 Categoría básica 45 Marco organizativo (4) Marco operacional (16) Medidas de protección (25) Categoría media 63 Categoría alta 75 Marco organizativo (4) Marco operacional (26) Medidas de protección (33) Marco organizativo (4) Marco operacional (31) Medidas de protección (40) NUEVO RD Marco organizativo (4) Marco operacional (22) Medidas de protección (27) Categoría básica 53 Categoría media 68 Categoría alta 73 Marco organizativo (4) Marco operacional (29) Medidas de protección (35) Marco organizativo (4) Marco operacional (33) Medidas de protección (36)
Medidas de seguridad. Panorámica de evolución (Sometido a cambios) Acceso remoto Protección de los registros de actividad Medios alternativos (4) Instalaciones alternativas Personal alternativo Cifrado SE HAN ELIMINADO (9) Protección de la cadena de suministro Interconexión de sistemas Protección de servicios en la nube Medios alternativos Vigilancia Otros dispositivos conectados a la red Protección de la navegación web NUEVAS MEDIDAS (7) Mecanismo de autenticación (usuarios externos) Protección de dispositivos portátiles Perímetro seguro Aceptación y puesta en servicio Calificación de la información Sellos de tiempo Protección frente a denegación de servicio SE HAN SIMPLIFICADO (8) Segregación de funciones y tareas Dimensionamiento/gestión de la capacidad AUMENTAN CONSIDERABLEMENTE SU EXIGENCIA (9) Identificación Configuración de seguridad Gestión de la configuración de seguridad Mantenimiento y actualizaciones de seguridad Protección frente a código dañino Registro de la actividad Detección de intrusión Sistema de métricas Componentes certificados Requisitos de acceso Protección de gestión de derechos de acceso Gestión de cambios Gestión de incidentes Registro de la gestión de incidentes Deberes y obligaciones Protección de la confidencialidad Protección de la integridad y la autenticidad Separación de flujos de información en la red Criptografía Borrado y destrucción Datos personales Copias de seguridad AUMENTAN LIGERAMENTE SU NIVEL DE EXIGENCIA (14) RESUMEN DE LAS MODIFICACIONES A LAS MEDIDAS DE SEGURIDAD
Modificaciones de detalle del ANEXO II Marco operacional (I/IV) Planificación Control de Accesos  PLANIFICACIÓN  Se han reforzado significativamente la exigencia en la arquitectura de seguridad y en el dimensionamiento/gestión de la capacidad.  CONTROL DE ACCESO: piedra angular de la seguridad por el alto riesgo que supone un acceso no autorizado  Se incrementan significativamente los requisitos de identificación.  Se refuerzan levemente los requisitos de acceso y la protección de gestión de derechos de acceso  Se aligeran las exigencias en materia de segregación de tareas 33
Modificaciones de detalle del ANEXO II Marco operacional (II/IV) Explotación de los sistemas  EXPLOTACIÓN  Reforzadas significativamente en la configuración de seguridad y su gestión, mantenimiento y actualizaciones de seguridad, la protección frente a código dañino y el registro de la actividad de los usuarios  Aumenta moderadamente su exigencia en gestión de cambios e incidentes (se exige desde categoría BÁSICA)  Se elimina el control relativo a la protección de los registros de actividad, ya contemplado en otras medidas. 33
Marco operacional (III/IV) 33  RECURSOS EXTERNOS  Se incorporan nuevas medidas destinadas a los recursos externos provistos, cada vez más frecuentes en la administración digital: protección de la cadena de suministro, interconexión de sistemas,  CONTINUIDAD DEL SERVICIO  Se incorpora medios alternativos (que engloba todas las referentes a personal, equipos, instalaciones… alternativas que se han eliminado de las medidas de protección), Explotación de los servicios Modificaciones de detalle del ANEXO II
Marco operacional (IV/IV) 33  SERVICIO EN LA NUBE  Se introduce una nueva medida para la protección de servicios en la nube  MONITORIZACIÓN DEL SISTEMA  Se ha reforzado significativamente la exigencia de las medidas de detección de intrusión y sistema de métricas  Se ha incorporado una nueva medida de vigilancia, alentada por las más recientes prácticas internacionales, dirigida a asegurar el mantenimiento de la monitorización constante de la seguridad del sistema Monitorización del sistema Explotación de los servicios Modificaciones de detalle del ANEXO II
Medidas de protección (I/IV) 33  PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS  Se han realizado cambios editoriales y eliminado las instalaciones alternativas  GESTIÓN DEL PERSONAL  Se ha incrementado levemente la exigencia en deberes y obligaciones y eliminado personal alternativo  PROTECCIÓN DE LOS EQUIPOS  Se incorpora nueva medida en relación con los dispositivos conectados a la red  Se elimina la medida referida a medios alternativos Protección Instalaciones e Infraestructuras Protección de equipos Gestión del personal Modificaciones de detalle del ANEXO II
Medidas de protección (I/IV) 33  PROTECCIÓN DE LAS COMUNICACIONES  Experimentan un leve incremento de exigencia la protección de la confidencialidad, y la separación de flujos de información en la red.  Se obliga a cifrar las redes privadas virtuales, cuando la comunicación discurra fuera del propio dominio de seguridad.  Se aligera el perímetro seguro  Se eliminan los medios alternativos Protección de comunicaciones Modificaciones de detalle del ANEXO II
Medidas de protección (III/IV) 33  PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN  Se refuerzan levemente el borrado y destrucción  PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS  Se incrementa significativamente la exigencia en aceptación y puesta en servicio, a la vista de los nuevos vectores de ataque propiciados por importantes vulnerabilidades en el software Protección de los soportes de información Protección de las aplicaciones informáticas Modificaciones de detalle del ANEXO II
Medidas de protección (IV/IV) 33  PROTECCIÓN DE LA INFORMACIÓN  Se aligera calificación de la información  Se incrementa exigencia en datos de carácter personal y copias de seguridad  PROTECCIÓN DE LOS SERVICIOS  Se añade una nueva medida para la protección de la navegación web  Se aumenta la exigencia de protección frente a denegación de servicio  Se eliminan medios alternativos. Protección de la información Protección de los servicios Modificaciones de detalle del ANEXO II
Medidas eliminadas Nuevas medidas  [op.acc.7] acceso remoto se ha incluido en [op.acc.4] protección de gestión de derechos de acceso.  [op.exp.10] se ha recogido en [op.exp.8] protección de los registros de actividad.  Las medidas que hacían referencia a medios, instalaciones y personal alternativo ([op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9] [mp.com.9], [mp.s.9]), se han aglutinado en la nueva medida [op.cont.4] medios alternativos.  [mp.info.3] antigua medida de cifrado, se recoge ahora en otras medidas en las que se hace referencia expresa al cifrado de dispositivos portátiles, protección de la confidencialidad, criptografía y transporte ([mp.eq.3], [mp.com.2], [mp.si.2] y [mp.si.4] respectivamente).  [op.ext.3] Protección de la cadena de suministro para categoría ALTA.  [op.ext.4] Interconexión de sistemas desde categoría MEDIA.  [op.nub] medida para sistemas que suministran servicios en la nube a los organismos del sector público para todos los niveles y categorías.  [op.cont.4] Medios alternativos. Para nivel ALTO. Aúna todas las referencias que se hacían a medios, instalaciones y personal alternativo.  [op.mon.3] Vigilancia. Aplica a todas las categorías.  [mp.eq.4] Otros dispositivos conectados a la red. Aplica a todas las categorías.  [mp.s.3] Protección de la navegación web. Aplica a todas las categorías y se refuerza incluyendo la monitorización para categoría ALTA.
9 14 8 9 7 35 0 5 10 15 20 25 30 35 40 Se incrementa considerablemente la exigencia Se incrementa levemente la exigencia Se ha simplificado Se ha eliminado Nueva medida Se mantiene como estaba Resumen de modificaciones del ANEXO II
Medidas de protección. Nuevo sistema de codificación  Más moderno  Más adecuado, para facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría  Medidas del Anexo II o Se han codificado los requisitos de las medidas o Se han organizado de la siguiente forma:  Requisitos base  Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro. (Sometido a cambios) Instalaciones e Infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Planificación (5) Control de acceso (6) Explotación (10) Servicios externos (4) Servicios en la nube (4) Continuidad del servicio (4) Monitorización del sistema (3) Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización
Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
Implantar el Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP.
Reforzar las herramientas del CCN-CERT, de interés para el COCS Photo by Hack Capital on Unsplash
Qué esperamos por vuestra parte 1. Que seáis partícipes y agentes de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas. 2. Si trabajáis para el Sector Público (directa o indirectamente como proveedor), vuestra colaboración para la plena aplicación del ENS. 3. Si trabajáis para la AGE, vuestra colaboración en la implantación del Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP. ¿ ?
Más información Correo-e: ens@ccn-cert.cni.es
Muchas gracias

Recommandé

El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Industrial_Cyber_Security
Industrial_Cyber_SecurityIndustrial_Cyber_Security
Industrial_Cyber_Security
WillianMachadoFonsec
 
Best Practices for Security Awareness and Training
Best Practices for Security Awareness and TrainingBest Practices for Security Awareness and Training
Best Practices for Security Awareness and Training
Kimberly Hood
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
EyesOpen Association
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
Splunk
 
Isaca career paths - the highest paying certifications in the industry
Isaca career paths - the highest paying certifications in the industryIsaca career paths - the highest paying certifications in the industry
Isaca career paths - the highest paying certifications in the industry
Infosec
 
Critical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You BuyCritical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You Buy
Fidelis Cybersecurity
 
Cyber security investments 2021
Cyber security investments 2021Cyber security investments 2021
Cyber security investments 2021
Management Events
 

Recommandé

El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Industrial_Cyber_Security
Industrial_Cyber_SecurityIndustrial_Cyber_Security
Industrial_Cyber_Security
WillianMachadoFonsec
 
Best Practices for Security Awareness and Training
Best Practices for Security Awareness and TrainingBest Practices for Security Awareness and Training
Best Practices for Security Awareness and Training
Kimberly Hood
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
EyesOpen Association
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
Splunk
 
Isaca career paths - the highest paying certifications in the industry
Isaca career paths - the highest paying certifications in the industryIsaca career paths - the highest paying certifications in the industry
Isaca career paths - the highest paying certifications in the industry
Infosec
 
Critical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You BuyCritical Capabilities for MDR Services - What to Know Before You Buy
Critical Capabilities for MDR Services - What to Know Before You Buy
Fidelis Cybersecurity
 
Cyber security investments 2021
Cyber security investments 2021Cyber security investments 2021
Cyber security investments 2021
Management Events
 
CSSLP Course
CSSLP CourseCSSLP Course
CSSLP Course
Masoud Ostad
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete Deck
SlideTeam
 
Certiport presentation
Certiport presentationCertiport presentation
Certiport presentation
Ramesh Duraikannan
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
PECB
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - Implantação
André Santos
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB
 
IBM Security Strategy Overview
IBM Security Strategy OverviewIBM Security Strategy Overview
IBM Security Strategy Overview
xband
 
SABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 contextSABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 context
David Sweigert
 
Information & Cyber Security Risk
Information & Cyber Security RiskInformation & Cyber Security Risk
Information & Cyber Security Risk
Murray Security Services
 
Cybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationCybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your Organization
McKonly & Asbury, LLP
 
IT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community CollegeIT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community College
Atlantic Training, LLC.
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptx
SandeshUprety4
 
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks
 
Cyber Security Maturity Assessment
Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity Assessment
Doreen Loeber
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
PECB
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Practical Enterprise Security Architecture
Practical Enterprise Security Architecture
Priyanka Aash
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness Presentation
Cristian Mihai
 
MSSP - Security Orchestration & Automation
MSSP - Security Orchestration & AutomationMSSP - Security Orchestration & Automation
MSSP - Security Orchestration & Automation
Siemplify
 
Secure Embedded Systems
Secure Embedded SystemsSecure Embedded Systems
Secure Embedded Systems
Informatik-Forum Stuttgart e.V.
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Miguel A. Amutio
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
Miguel A. Amutio
 

Contenu connexe

Tendances

How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete Deck
SlideTeam
 
Certiport presentation
Certiport presentationCertiport presentation
Certiport presentation
Ramesh Duraikannan
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
PECB
 
Cybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationCybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your Organization
McKonly & Asbury, LLP
 
IT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community CollegeIT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community College
Atlantic Training, LLC.
 
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
PECB
 
Secure Embedded Systems
Secure Embedded SystemsSecure Embedded Systems
Secure Embedded Systems
Informatik-Forum Stuttgart e.V.
 

Tendances (20)

CSSLP Course
CSSLP CourseCSSLP Course
CSSLP Course
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete Deck
 
Certiport presentation
Certiport presentationCertiport presentation
Certiport presentation
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - Implantação
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
IBM Security Strategy Overview
IBM Security Strategy OverviewIBM Security Strategy Overview
IBM Security Strategy Overview
 
SABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 contextSABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 context
 
Information & Cyber Security Risk
Information & Cyber Security RiskInformation & Cyber Security Risk
Information & Cyber Security Risk
 
Cybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your OrganizationCybersecurity Risk Management Program and Your Organization
Cybersecurity Risk Management Program and Your Organization
 
IT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community CollegeIT Security Awarenesss by Northern Virginia Community College
IT Security Awarenesss by Northern Virginia Community College
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptx
 
Nozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company IntroductionNozomi Networks Q1_2018 Company Introduction
Nozomi Networks Q1_2018 Company Introduction
 
Cyber Security Maturity Assessment
Cyber Security Maturity Assessment Cyber Security Maturity Assessment
Cyber Security Maturity Assessment
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Practical Enterprise Security Architecture
Practical Enterprise Security Architecture
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness Presentation
 
MSSP - Security Orchestration & Automation
MSSP - Security Orchestration & AutomationMSSP - Security Orchestration & Automation
MSSP - Security Orchestration & Automation
 
Secure Embedded Systems
Secure Embedded SystemsSecure Embedded Systems
Secure Embedded Systems
 

Similaire à Actualización del ENS. Presentación CCN-CERT / SGAD

Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Miguel A. Amutio
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Miguel A. Amutio
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
Miguel A. Amutio
 

Similaire à Actualización del ENS. Presentación CCN-CERT / SGAD (20)

Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010La adecuación al ENS, situación actual y evolución del RD 3/2010
La adecuación al ENS, situación actual y evolución del RD 3/2010
 
Nuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digitalNuevos retos en ciberseguridad para la administración digital
Nuevos retos en ciberseguridad para la administración digital
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
Prevencion y Recuperacion de Incidentes. Seguridad de la Informacion
 
Revista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridadRevista SIC. El nuevo esquema nacional de seguridad
Revista SIC. El nuevo esquema nacional de seguridad
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADModelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Ciberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y EstrategiasCiberseguridad- Acciones y Estrategias
Ciberseguridad- Acciones y Estrategias
 
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesINAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
 

Plus de Miguel A. Amutio

The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
Miguel A. Amutio
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
Miguel A. Amutio
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
Miguel A. Amutio
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
Miguel A. Amutio
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
Miguel A. Amutio
 

Plus de Miguel A. Amutio (20)

Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
Conference THE FUTURE IS DATA Panel: Leaders of the European Open Data Maturi...
 
Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...Mejora de la adecuación de los sistemas de la Administración General del Esta...
Mejora de la adecuación de los sistemas de la Administración General del Esta...
 
The National Security Framework of Spain
The National Security Framework of SpainThe National Security Framework of Spain
The National Security Framework of Spain
 
Código de interoperabilidad - Introducción
Código de interoperabilidad - IntroducciónCódigo de interoperabilidad - Introducción
Código de interoperabilidad - Introducción
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
Quien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENSQuien hace el Esquema Nacional de Seguridad ENS
Quien hace el Esquema Nacional de Seguridad ENS
 
Quien hace el ENI
Quien hace el ENIQuien hace el ENI
Quien hace el ENI
 
European Cybersecurity Context
European Cybersecurity ContextEuropean Cybersecurity Context
European Cybersecurity Context
 
Contexto Europeo de Ciberseguridad
Contexto Europeo de CiberseguridadContexto Europeo de Ciberseguridad
Contexto Europeo de Ciberseguridad
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantesCryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
CryptoParty 2022. El Esquema Nacional de Seguridad para principiantes
 
Medidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración PúblicaMedidas del Estado para garantizar la seguridad en la Administración Pública
Medidas del Estado para garantizar la seguridad en la Administración Pública
 
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximosLa preservación digital de datos y documentos a largo plazo: 5 retos próximos
La preservación digital de datos y documentos a largo plazo: 5 retos próximos
 
Presente y futuro de la administración electrónica
Presente y futuro de la administración electrónicaPresente y futuro de la administración electrónica
Presente y futuro de la administración electrónica
 
Implementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in SpainImplementation of the European Interoperability framework in Spain
Implementation of the European Interoperability framework in Spain
 
La desinformación en la sociedad digital
La desinformación en la sociedad digitalLa desinformación en la sociedad digital
La desinformación en la sociedad digital
 
Isa2 success story: TESTA Network
Isa2 success story: TESTA NetworkIsa2 success story: TESTA Network
Isa2 success story: TESTA Network
 
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativoXIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
XIV Jornadas CCN-CERT - Apertura sesión ENS y cumplimiento normativo
 
10 años del ENS, perspectiva de evolución
10 años del ENS, perspectiva de evolución10 años del ENS, perspectiva de evolución
10 años del ENS, perspectiva de evolución
 
Implementation of the European Interoperability Framework in Spain
Implementation of the European Interoperability Framework in SpainImplementation of the European Interoperability Framework in Spain
Implementation of the European Interoperability Framework in Spain
 

Dernier

Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
m4Social
 

Dernier (16)

005. - Curso de modernización del Estado 2024.pdf
005. - Curso de modernización del Estado 2024.pdf005. - Curso de modernización del Estado 2024.pdf
005. - Curso de modernización del Estado 2024.pdf
 
Constitucion y derechos humanos sesion 1.pptx
Constitucion y derechos humanos sesion 1.pptxConstitucion y derechos humanos sesion 1.pptx
Constitucion y derechos humanos sesion 1.pptx
 
el nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptxel nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptx
 
Alojamiento temporal para emergen y desastrescias
Alojamiento temporal para emergen y desastresciasAlojamiento temporal para emergen y desastrescias
Alojamiento temporal para emergen y desastrescias
 
Contrataciones del Estado, Administración Pública
Contrataciones del Estado, Administración PúblicaContrataciones del Estado, Administración Pública
Contrataciones del Estado, Administración Pública
 
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
 
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docxPROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
 
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptxPRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
PRESENTACION Plan de Desarrollo Municipal 2024-2027 AL CTP.pptx
 
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
 
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENASEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
 
Club Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdfClub Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdf
 
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el TrabajoDecreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
 
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
 
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
 
Formato de revision de la stps para el cumplimiento
Formato de revision de la stps para el cumplimientoFormato de revision de la stps para el cumplimiento
Formato de revision de la stps para el cumplimiento
 
MAPA DE JILOTEPEC SECTORIAL DIVIDIDO POR SECTORES
MAPA DE JILOTEPEC SECTORIAL DIVIDIDO POR SECTORESMAPA DE JILOTEPEC SECTORIAL DIVIDIDO POR SECTORES
MAPA DE JILOTEPEC SECTORIAL DIVIDIDO POR SECTORES
 

Actualización del ENS. Presentación CCN-CERT / SGAD

  • 2. Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
  • 3. Digitalización acelerada con impacto global Organizaciones, públicas y privadas, en sus productos, procesos y servicios Personas, como ciudadanos, profesionales, estudiantes… Transforma nuestros medios, hábitos y expectativas de:  Trabajo  Educación / Formación  Ocio  Entretenimiento  Consumo  Interacción social Genera hiperconectividad Se agudiza la dependencia de la tecnología, mayor:  complejidad  interdependencia  se incrementa la superficie de exposición a ciberamenazas y a fallos. Los ciberincidentes crecen en frecuencia, alcance, sofisticación y severidad del impacto. Provocan daño y socavan la confianza en el uso de las tecnologías. La transformación digital ha de ir acompasada con la robustez en ciberseguridad.
  • 4. + Contexto de valores compartidos y derechos fundamentales de nuestra sociedad Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT. Transformación digital. Perspectiva global. Dinámica permanente
  • 5. El Sector Público y su cadena de suministro en el punto de mira de los ciberataques Orientados a la información  Con sustracción (con o sin revelación)  Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)  Con alteración (incluyendo el fraude por inserción de documentos falsos) Orientados a los servicios  Con quiebra de la disponibilidad de los servicios, que afectaría al acceso a la información Combinación de los anteriores
  • 6. El Sector Público y su cadena de suministro en el punto de mira de los ciberataques Fuente: Cyber brief (March 2021) April 6, 2021 - Version: 1.0 TLP:WHITE Disclosure is not limited. Information may be distributed freely.
  • 7. Claves de la Orden Ejecutiva:  Eliminar las barreras para compartir información sobre amenazas y ciberincidentes entre el gobierno y sus proveedores.  Modernizar y reforzar la ciberseguridad del gobierno para responder a la evolución de las ciberamenazas: adopción de buenas prácticas, arquitecturas de mínimo privilegio (zero-trust) y de uso de servicios en la nube, adopción de doble factor de autenticación, cifrado de información en reposo y en tránsito, colaboración en la respuesta ante incidentes.  Mejorar la seguridad de la cadena de suministro de software para garantizar que los productos funcionen de forma segura y según lo previsto, mediante estándares, procedimientos, criterios, guías, aplicación del concepto de SBOM (Software Bill of Materials) y marcas de excelencia.  Establecer una comisión de examen de la ciberseguridad compuesta por miembros del gobierno y representantes del sector privado, para analizar incidentes y extraer lecciones.  Estandarizar el manual de procedimientos de respuesta ante vulnerabilidades e incidentes.  Mejorar la detección temprana de incidentes y vulnerabilidades. Implantación de agentes de punto final (EDR).  Mejorar las capacidades de investigación y remediación de incidentes mediante requisitos acerca de los registros de actividad (logs). Lectura a la luz de:  ENCS 2019 y gobernanza CNCS-CPCS-FNCS  ENS y su proyecto de actualización  Informe anual INES  Instrucciones Técnicas de seguridad y Guías CCN-STIC  Capacidades CCN-CERT y herramientas  Proyecto Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP  RD-l 12/2018, RD 43/2021 (NIS)  Proyecto de Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (RD 43/2021) Orden ejecutiva para mejorar la seguridad nacional
  • 8. ACM sobre medidas urgentes en materia de ciberseguridad Plan de Choque de Ciberseguridad A destacar:  Protección frente al código malicioso (especialmente del tipo ransomware)  Extensión de los servicios para la detección de ciberamenazas en equipos de usuario  Implantación de la vigilancia de accesos remotos  Refuerzo de las capacidades de búsqueda de amenazas  Ampliación de las capacidades de ciberinteligencia  Extensión de la aplicación del uso del doble factor en autenticación  Despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes  Continuidad de negocio y la recuperación ante desastres, la concienciación y la formación por parte de proveedores del Sector Público  Revisión de la normativa de ciberseguridad Actualización del ENS mediante tramitación y aprobación urgente Promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector privado (proveedores del Sector Público estatal) 1º 2º 3º
  • 9. Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
  • 10. La seguridad, el largo camino… Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo Photo by Perry Grone on Unsplash Fuente: Miguel A. Amutio
  • 11. Pilares de la ciberseguridad Administración Digital Órganos de Gobernanza y cooperación en la AGE de las AA.PP. RD-L 12/2018 Marco estratégico e institucional – RD 43/2021 CoCENS Servicios CCN-CERT Guías CCN-STIC (Serie 800) Fuente: Miguel A.Amutio
  • 12. Desarrollo Conformidad Monitorización - INES Soporte Actualizado en 2015 Ámbito de aplicación Extendido a todo el Sector Público (leyes 39/2015 y 40/2015) 4 ITS publicadas Experiencia de aplicación Marco europeo (eIDAS) Escenario de ciberseguridad  Informe  Conformidad  Auditoría  Notificación de incidentes Acreditación con ENAC  Certificadores acreditados por ENAC  Entidades certificadas (públicas/privadas)  Consejo de Certificación del ENS (CoCENS)  > 80 guías CCN- STIC de la serie 800.  21 soluciones de ciberseguridad Referente de medidas de seguridad para otros ámbitos  7 ediciones del informe INES  1194 organismos, 934 incluidos en el informe, un 3,78% más que en 2019  La campaña permanece abierta todo el año  Ley Orgánica 3/2018  Real Decreto 43/2021
  • 13. Elementos para la actualización Progreso de la transformación digital Intensificación de las ciberamenazas y ciberincidentes Avance de las tecnologías Evolución del marco legal Evolución del marco estratégico en ciberseguridad Extensión de la implantación del ENS Acumulación de experiencia de aplicación del ENS Mejor conocimiento de la situación (Informe INES) Extensión de guías CCN-STIC y servicios CCN-CERT + Todas vuestras aportaciones que nos habéis trasladado por canales formales e informales
  • 14. Objetivos: 1. Mejorar y alinear el ENS Actualizar referencias al marco legal: • Referencias a leyes 39/2015 y 40/2015, RGPD, LO 3/2018, Directiva NIS, RD-l 12/2018, RD 43/2021, RD-l 14/2019, Reglamento de Ciberseguridad,… Precisar adecuadamente el ámbito de aplicación (art. 2): • Entidades del sector público (Ley 40/2015, arts. 2, 156). • Entidades del sector privado que les presten servicios o provean soluciones. • Sistemas de información que permitan los tratamientos de datos personales (LO 3/2018, art. 77.1, D. a. 1ª). • Sistemas que manejan o tratan información clasificada. Precisar adecuadamente ‘Prevención, detección y respuesta a incidentes de seguridad’ (art. 33): • Condiciones de notificación de incidentes de seguridad al CCN-CERT por entidades del sector público. • Actuaciones de respuesta por parte del CCN-CERT y de la SGAD (reconexión a servicios comunes). • Condiciones de notificación de incidentes de seguridad al INCIBE-CERT por entidades del sector privado que presten servicios a aquellas. Introducir mejoras: • Clarificar, precisar, eliminar aspectos no necesarios o excesivos, homogeneizar, simplificar, o actualizar diversos aspectos del texto, como los procedimientos de determinación de la conformidad con el ENS (art. 38) o el desarrollo del ENS (D.a. 2ª). (Sometido a cambios)
  • 15. Objetivos: 2. Capacidad de ajustar requisitos Introducir la figura del perfil de cumplimiento especifico (art. 30): Conjunto de medidas de seguridad que resulten de aplicación a necesidades especificas, determinados sectores, colectivos de entidades (ej. EE.LL), o determinados ámbitos tecnológicos y que permitan alcanzar una aplicación del ENS más eficaz y eficiente, sin menoscabo de la protección perseguida y exigible.  Ejemplos: EE.LL., servicios en la nube  Opciones: Añadir o eliminar medidas Incluir medidas compensatorias Incrementar o decrementar el nivel de ciertas medidas Redefinir ciertas medidas para mejor adaptación a los sistemas y equilibrio de seguridad y operatividad. + Esquemas de acreditación de entidades para la implementación de configuraciones seguras (Sometido a cambios)
  • 16. Objetivos: 3. Revisar principios, requisitos y medidas Fuentes: Experiencia, caudal de preguntas, canales formales e informales, INES, auditorías… Principios:  De ‘prevención, reacción y recuperación’ a ‘prevención, detección, respuesta y conservación’.  Se introduce el principio básico de ‘vigilancia continua’  Se clarifica la redacción del principio ‘diferenciación de responsabilidades’ Requisitos:  El requisito mínimo de ‘seguridad por defecto’ pasa a denominarse ‘mínimo privilegio’ Medidas del Anexo II, mejora de redacción y actualización:  Marco Operacional y Medidas de Protección.  Nueva familia: Servicios en la nube (1 medida). Nuevo sistema de codificación:  De los requisitos de las medidas.  De refuerzos, no siempre exigidos, que se suman a los requisitos base para fortalecer la seguridad y que podrán formar parte de los perfiles de cumplimiento. (Sometido a cambios)
  • 17. Medidas de seguridad. Panorámica de evolución (Sometido a cambios) RD 2015 Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 31 Medidas de protección 40 Planificación (5) Control de acceso (7) Explotación (11) Servicios externos (3) Continuidad del servicio (3) Monitorización del sistema (2) Instalaciones e infraestructuras (8) Gestión del personal (5) Protección de los equipos (4) Protección de las comunicaciones (5) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (7) Protección de los servicios (4) NUEVO RD Marco organizativo 4 Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional 33 Medidas de protección 36 Planificación (5) Control de acceso (6) Explotación (10) Recursos externos (4) Servicio en la nube (1) Continuidad del servicio (4) Monitorización del sistema (3) Instalaciones e infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4)
  • 18. Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
  • 20. Evaluar el estado de la seguridad 7ª edición – Informe INES 2020 Incremento del 11% en nº de fichas registradas. Se registraron 1194 organismos, 934 incluidos en el informe, aumentando en un 3,78% respecto al año anterior. Como conclusión general se determina que el nivel de cumplimiento global del ENS se sitúa en:  el 64,93% en sistemas de categoría ALTA  el 68,24% en sistemas de categoría MEDIA,  el 84% en sistemas de categoría BÁSICA. Es necesario mantener el esfuerzo para cumplir los requisitos especificados en el ENS.
  • 21. Identificar medidas a reforzar a la luz de la experiencia con el tratamiento de incidentes Reforzar ante deficiencias detectadas en Informe INES y por CCN-CERT ante incidentes:  Protección frente a código dañino [op.exp.6]  Mecanismo con autenticación [op.acc.5] (no uso de doble factor)  Detección de intrusión [op.mon.1]  Copias de seguridad [mp.info.9]  Perímetro seguro [mp.com.1]  Segregación de redes [mp.com.4] (Redes NO segregadas)  Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]  Mantenimiento [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad)  Concienciación [mp.per.3] y formación [mp.per.4]  Protección de servicios y aplicaciones web [mp.s.2] Asentar protocolos de actuación ante ciberincidentes.
  • 22. Medidas de seguridad. Panorámica de evolución por categoría (Sometido a cambios) RD 2015 Categoría básica 45 Marco organizativo (4) Marco operacional (16) Medidas de protección (25) Categoría media 63 Categoría alta 75 Marco organizativo (4) Marco operacional (26) Medidas de protección (33) Marco organizativo (4) Marco operacional (31) Medidas de protección (40) NUEVO RD Marco organizativo (4) Marco operacional (22) Medidas de protección (27) Categoría básica 53 Categoría media 68 Categoría alta 73 Marco organizativo (4) Marco operacional (29) Medidas de protección (35) Marco organizativo (4) Marco operacional (33) Medidas de protección (36)
  • 23. Medidas de seguridad. Panorámica de evolución (Sometido a cambios) Acceso remoto Protección de los registros de actividad Medios alternativos (4) Instalaciones alternativas Personal alternativo Cifrado SE HAN ELIMINADO (9) Protección de la cadena de suministro Interconexión de sistemas Protección de servicios en la nube Medios alternativos Vigilancia Otros dispositivos conectados a la red Protección de la navegación web NUEVAS MEDIDAS (7) Mecanismo de autenticación (usuarios externos) Protección de dispositivos portátiles Perímetro seguro Aceptación y puesta en servicio Calificación de la información Sellos de tiempo Protección frente a denegación de servicio SE HAN SIMPLIFICADO (8) Segregación de funciones y tareas Dimensionamiento/gestión de la capacidad AUMENTAN CONSIDERABLEMENTE SU EXIGENCIA (9) Identificación Configuración de seguridad Gestión de la configuración de seguridad Mantenimiento y actualizaciones de seguridad Protección frente a código dañino Registro de la actividad Detección de intrusión Sistema de métricas Componentes certificados Requisitos de acceso Protección de gestión de derechos de acceso Gestión de cambios Gestión de incidentes Registro de la gestión de incidentes Deberes y obligaciones Protección de la confidencialidad Protección de la integridad y la autenticidad Separación de flujos de información en la red Criptografía Borrado y destrucción Datos personales Copias de seguridad AUMENTAN LIGERAMENTE SU NIVEL DE EXIGENCIA (14) RESUMEN DE LAS MODIFICACIONES A LAS MEDIDAS DE SEGURIDAD
  • 24. Modificaciones de detalle del ANEXO II Marco operacional (I/IV) Planificación Control de Accesos  PLANIFICACIÓN  Se han reforzado significativamente la exigencia en la arquitectura de seguridad y en el dimensionamiento/gestión de la capacidad.  CONTROL DE ACCESO: piedra angular de la seguridad por el alto riesgo que supone un acceso no autorizado  Se incrementan significativamente los requisitos de identificación.  Se refuerzan levemente los requisitos de acceso y la protección de gestión de derechos de acceso  Se aligeran las exigencias en materia de segregación de tareas 33
  • 25. Modificaciones de detalle del ANEXO II Marco operacional (II/IV) Explotación de los sistemas  EXPLOTACIÓN  Reforzadas significativamente en la configuración de seguridad y su gestión, mantenimiento y actualizaciones de seguridad, la protección frente a código dañino y el registro de la actividad de los usuarios  Aumenta moderadamente su exigencia en gestión de cambios e incidentes (se exige desde categoría BÁSICA)  Se elimina el control relativo a la protección de los registros de actividad, ya contemplado en otras medidas. 33
  • 26. Marco operacional (III/IV) 33  RECURSOS EXTERNOS  Se incorporan nuevas medidas destinadas a los recursos externos provistos, cada vez más frecuentes en la administración digital: protección de la cadena de suministro, interconexión de sistemas,  CONTINUIDAD DEL SERVICIO  Se incorpora medios alternativos (que engloba todas las referentes a personal, equipos, instalaciones… alternativas que se han eliminado de las medidas de protección), Explotación de los servicios Modificaciones de detalle del ANEXO II
  • 27. Marco operacional (IV/IV) 33  SERVICIO EN LA NUBE  Se introduce una nueva medida para la protección de servicios en la nube  MONITORIZACIÓN DEL SISTEMA  Se ha reforzado significativamente la exigencia de las medidas de detección de intrusión y sistema de métricas  Se ha incorporado una nueva medida de vigilancia, alentada por las más recientes prácticas internacionales, dirigida a asegurar el mantenimiento de la monitorización constante de la seguridad del sistema Monitorización del sistema Explotación de los servicios Modificaciones de detalle del ANEXO II
  • 28. Medidas de protección (I/IV) 33  PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS  Se han realizado cambios editoriales y eliminado las instalaciones alternativas  GESTIÓN DEL PERSONAL  Se ha incrementado levemente la exigencia en deberes y obligaciones y eliminado personal alternativo  PROTECCIÓN DE LOS EQUIPOS  Se incorpora nueva medida en relación con los dispositivos conectados a la red  Se elimina la medida referida a medios alternativos Protección Instalaciones e Infraestructuras Protección de equipos Gestión del personal Modificaciones de detalle del ANEXO II
  • 29. Medidas de protección (I/IV) 33  PROTECCIÓN DE LAS COMUNICACIONES  Experimentan un leve incremento de exigencia la protección de la confidencialidad, y la separación de flujos de información en la red.  Se obliga a cifrar las redes privadas virtuales, cuando la comunicación discurra fuera del propio dominio de seguridad.  Se aligera el perímetro seguro  Se eliminan los medios alternativos Protección de comunicaciones Modificaciones de detalle del ANEXO II
  • 30. Medidas de protección (III/IV) 33  PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN  Se refuerzan levemente el borrado y destrucción  PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS  Se incrementa significativamente la exigencia en aceptación y puesta en servicio, a la vista de los nuevos vectores de ataque propiciados por importantes vulnerabilidades en el software Protección de los soportes de información Protección de las aplicaciones informáticas Modificaciones de detalle del ANEXO II
  • 31. Medidas de protección (IV/IV) 33  PROTECCIÓN DE LA INFORMACIÓN  Se aligera calificación de la información  Se incrementa exigencia en datos de carácter personal y copias de seguridad  PROTECCIÓN DE LOS SERVICIOS  Se añade una nueva medida para la protección de la navegación web  Se aumenta la exigencia de protección frente a denegación de servicio  Se eliminan medios alternativos. Protección de la información Protección de los servicios Modificaciones de detalle del ANEXO II
  • 32. Medidas eliminadas Nuevas medidas  [op.acc.7] acceso remoto se ha incluido en [op.acc.4] protección de gestión de derechos de acceso.  [op.exp.10] se ha recogido en [op.exp.8] protección de los registros de actividad.  Las medidas que hacían referencia a medios, instalaciones y personal alternativo ([op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9] [mp.com.9], [mp.s.9]), se han aglutinado en la nueva medida [op.cont.4] medios alternativos.  [mp.info.3] antigua medida de cifrado, se recoge ahora en otras medidas en las que se hace referencia expresa al cifrado de dispositivos portátiles, protección de la confidencialidad, criptografía y transporte ([mp.eq.3], [mp.com.2], [mp.si.2] y [mp.si.4] respectivamente).  [op.ext.3] Protección de la cadena de suministro para categoría ALTA.  [op.ext.4] Interconexión de sistemas desde categoría MEDIA.  [op.nub] medida para sistemas que suministran servicios en la nube a los organismos del sector público para todos los niveles y categorías.  [op.cont.4] Medios alternativos. Para nivel ALTO. Aúna todas las referencias que se hacían a medios, instalaciones y personal alternativo.  [op.mon.3] Vigilancia. Aplica a todas las categorías.  [mp.eq.4] Otros dispositivos conectados a la red. Aplica a todas las categorías.  [mp.s.3] Protección de la navegación web. Aplica a todas las categorías y se refuerza incluyendo la monitorización para categoría ALTA.
  • 33. 9 14 8 9 7 35 0 5 10 15 20 25 30 35 40 Se incrementa considerablemente la exigencia Se incrementa levemente la exigencia Se ha simplificado Se ha eliminado Nueva medida Se mantiene como estaba Resumen de modificaciones del ANEXO II
  • 34. Medidas de protección. Nuevo sistema de codificación  Más moderno  Más adecuado, para facilitar de manera proporcionada la seguridad de los sistemas de información, su implantación y su auditoría  Medidas del Anexo II o Se han codificado los requisitos de las medidas o Se han organizado de la siguiente forma:  Requisitos base  Posibles refuerzos de seguridad (R), alineados con el nivel de seguridad perseguido, que se suman (+) a los requisitos base de la medida, pero que no siempre son incrementales entre sí; de forma que, en ciertos casos, se puede elegir entre aplicar un refuerzo u otro. (Sometido a cambios) Instalaciones e Infraestructuras (7) Gestión del personal (4) Protección de los equipos (4) Protección de las comunicaciones (4) Protección de los soportes de información (5) Protección de aplicaciones informáticas (2) Protección de la información (6) Protección de los servicios (4) Planificación (5) Control de acceso (6) Explotación (10) Servicios externos (4) Servicios en la nube (4) Continuidad del servicio (4) Monitorización del sistema (3) Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización
  • 35. Índice ¿Qué está pasando? Actualización del ENS. Objetivos Actualización del ENS. Medidas Retos y conclusiones Photo by ThisisEngineering RAEng on Unsplash 1 2 3 4
  • 36. Implantar el Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP.
  • 37. Reforzar las herramientas del CCN-CERT, de interés para el COCS Photo by Hack Capital on Unsplash
  • 38. Qué esperamos por vuestra parte 1. Que seáis partícipes y agentes de la ciberseguridad, para contribuir a la defensa frente a las ciberamenazas. 2. Si trabajáis para el Sector Público (directa o indirectamente como proveedor), vuestra colaboración para la plena aplicación del ENS. 3. Si trabajáis para la AGE, vuestra colaboración en la implantación del Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP. ¿ ?
  • 39. Más información Correo-e: ens@ccn-cert.cni.es