Jornada "Assassinat al Catalonia Express" - Ascen Moro
CGDL2018 - Sessió: "Com mitigar els riscos de Ciberseguretat? L’Esquema Nacional de Seguretat"
1. Com mitigar els riscos de
Ciberseguretat? L'Esquema
Nacional de Seguretat.
Valentí Faura
Roger Pérez
#GovernDigital
2. Ciberseguretat, Ciberiscos,
ciberamenaces, res de nou o no?
Seguretat de la Informació Ciberseguretat
A ast Li itat Bunker Món Interconnectat
Atacant solitari i
oportunista
Atacant organitzat,
finançat i dirigit
Estratègia global de
protecció d'actius
Prioritat als actius crítics
Protegir el perímetre.
Reactiu
Monitorització.
Preventiu
Aquí no ha passat res
Comunicació i
Col·laboració
4. Quin model de prevenció podem establir
enfront als ciberatacs?
Basant-nos en els principis de la seguretat, vigilància i resiliència:
Polítiques i Procediments de Seguretat actualitzats, divulgats i seguits.
Analitzar i Gestionar els Riscos de Ciberseguretat.
Establir un Framework de control de Seguretat.
Formar i Conscienciar als empleats.
Realitzar Auditories de Seguretat.
Realitza la Dete ió i Gestió d’esdeve i e ts de Segu etat.
Disposa d’u e uip de Resposta dava t I id ies.
Realitza u Segui e t i avalua ió o tí ua d’a e a es i
vulnerabilitats.
5. És la Certificació ENS una solució davant
dels ciberiscos?
Marc de Control que cobreix tots els àmbits de ciberseguretat.
Guies i Instruccions tècniques de seguretat del CCN adaptades a les
ciberamenaces.
Framework de seguretat fet per l'Administració publica per a
l'administració publica.
I per cert no oblidar que la Certificació és obligatòria.
6. ENS: Antecedents
¿Desde cuando?
El ENS es aplicable:
A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las
entidades que integran la Administración local, así como las entidades de derecho público vinculadas o dependientes de éstas.
Proveedores que prestan servicios tecnológicos a las Administraciones Públicas.
A los ciudadanos en sus relaciones con las administraciones públicas
En las relaciones entre las diferentes administraciones públicas.
22 Junio de
2007:
Ley
11/2007
8 Enero
de 2010:
RD 3 2010
2010 2011 2012 2013 2014
8 Enero de 2011.
Requisito
obligatorio:
Plan de adecuación
al ENS
23 Octubre de 2017.
Requisito obligatorio:
Adecuación al RD 951/2015
2015 2016 2017
8 Enero de 2014.
Requisito
obligatorio:
Plena implantación
del ENS
23 Octubre
de 2015:
RD 951/2015
¿A quién va dirigido?
El 31 de Diciembre del 2009 se hace pública la ley.
Entrando en vigor el 8 de Enero de 2010 mediante el Real Decreto 3 2010.
Los sistemas existentes a la entrada en vigor de este Real Decreto, dispondrán de 12 meses para adecuarse a los requerimientos de seguridad.
Los nuevos sistemas aplicarán lo establecido en este real decreto desde la concepción.
Si a los 12 meses de la entrada en vigor hay circunstancias que impidan la plena aplicación de lo que exigen, se dispondrá de un plan de adecuación que
marque los plazos de adecuación, los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.
El 23 de Octubre de 2017 será obligatorio el cumplimiento de las modificaciones establecidas por el RD 951/2015
7. Mesures de Seguretat de l’ENS
MESURES DE
SEGURETAT
Marc Organitzatiu
Política de seguretat
Normativa de seguretat
Procediments de
seguretat
Procés d'autorització
Marc Operacional
Planificació
Control d'accés
Explotació serveis
externs
Continuïtat del servei
Monitorització del
sistema
Marc de Protecció
Protecció d’instal·lacions
Gestió del personal
Protecció dels equips
Protecció de
comunicacions
Protecció de suports
Protecció d'aplicacions
Protecció de la informació
Protecció dels serveis
4 31 40
75
TOTAL
MESURES
Les mesures de seguretat a implementar es classifiquen en els següents 3
grups diferenciats:
8. Guies i Instruccions Tècniques de seguretat
Guies: la Sèrie CCN-STIC-800 estableix les polítiques i procediments adequats per a la
implementació de les mesures contemplades en l'ENS.
• CCN-STIC-817 Gestión de Ciberincidentes.
• CCN-STIC-823 Seguridad en entornos Cloud.
• CCN-STIC-820 Protección contra DoS.
Instruccions tècniques de seguretat: instruccions d'obligat compliment, essencials per aconseguir
una adequada i homogènia implantació dels requisits i mesures recollides en l'ENS.
• Informe del Estado de la Seguridad
• Conformidad con el Esquema Nacional de Seguridad
• Auditoría de la seguridad de los sistemas de información .
• Notificación de incidentes de seguridad
• CCN-STIC-831 Registro de la actividad de los usuarios.
• CCN-STIC-807 Criptología de empleo en el ENS.
• CCN-STIC-812 Seguridad en servicios web.
9. Controls de l'ENS en la pràctica
Accessos
Seguretat
Protecció
Perímetre
Xifrat
• Gestió usuaris privilegiats
• Logs (SIEM)
• Doble Factor d’ Autenticació
• Firewall en cascada i de
diferents proveïdors
• Segmentació xarxa
• IDS/IPS
• Comunicacions
• Dispositius
• Dades
Govern
• Política i procediments
• Formació i conscienciació
• Indicadors de Seguretat
• Bastionat
• Desenvolupament segur
• Test d’intrusió/ anàlisi
de vulnerabilitats
• Incidents de Seguretat
• Prevenció Malware
• Components certificats
• Correu electrònic
• Serveis Webs
11. Beneficis de la Certificació de l’ENS
Beneficis certificació
Administració Pública
Beneficis certificació
Proveïdors de serveis IT
• Complir amb el RD 3/2010.
• Donar confiança a les
administracions públiques
• Poder optar a concursos
públics.
• Avantatge competitiu
respecte a altres proveïdors.
• Complir amb altres
disposicions legals.
• Complir amb el RD 3/2010.
• Satisfer requeriments i
donar confiança a usuaris i
altres organismes.
• Complir amb altres
disposicions legals.
• Permetre millorar de forma
contínua la seguretat dels
seus sistemes.
12. Conclusions i reptes
El epte de l’ENS s i pulsa la gestió o ti uada i el t a ta e t
homogeni dels riscos de ciberseguretat.
L'AEPD ha publicat que les mesures de seguretat a establir per
complir el RGPD -en el cas de les AAPP- estaran marcades pels criteris
establerts en l'Esquema Nacional de Seguretat.
La Certificació ENS es el camí per la ciberseguretat.
13. Agafa l’o ada del canvi
ORGANITZA
COL·LABORA
#GovernDigital
Gràcies, ;-)
governdigital.cat
Valentín Faura
Director RAS BDO
+34 639 337 722
valentin.faura@bdo.es
@GovernDigital
valentin.faura@bdo.es
roger.perez@bdo.es