LAS PALMAS DE GRAN CANARIA

Slides:



Advertisements
Presentaciones similares
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Advertisements

Auditoría Interna y Gobierno Corporativo en Instituciones Financieras
XVIII Exposición Latinoamericana del Petróleo
Auditoría General del Poder Ejecutivo Presidencia de la República
Industry Canada /strategis.ic.gc.ca Industrie Canada /strategis.ic.gc.ca 1 26 de septiembre de 2003, CCP.1 Taller ARM Acuerdo de Mutuo Reconocimiento.
XI Reunión de Responsables de Sistemas de Información
Autoevaluación de las Necesidades en materia de Facilitación del Comercio en OMC República Dominicana 11 diciembre del 2008 Santo Domingo, D. N.
Módulo N° 7 – Introducción al SMS
Auditorías - ISO Fecha: Jornada UNED.
Plan de Seguridad del Operador
UNIVERSIDAD "ALONSO DE OJEDA"
Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign Principio #4-
Asesorías Jurídicas de los Departamentos del Gobierno Vasco
Comprimido ARCHIformativo
ACREDITACIÓN DE CARRERAS DE GRADO LICENCIATURA EN QUÍMICA
PROTECCION DE DATOS DE CARÁCTER PERSONAL
1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
ASEGURAMIENTO DE LA CALIDAD
Convenio para realizar la
ISO GESTIÓN DE SERVICIOS DE TI
Normas de Control Interno para Tecnología de la Información Res
1 CONEAU Comisión Nacional de Evaluación y Acreditación Universitaria MINISTERIO DE EDUCACION 2 DE JULIO DE 2010.
1 CONEAU Comisión Nacional de Evaluación y Acreditación Universitaria MINISTERIO DE EDUCACION 2 DE JULIO DE 2010 ACREDITACIÓN DE CARRERAS DE INGENIERÍA.
PROCEDIMIENTOS OBLIGATORIOS MANUAL DE CALIDAD Y OPERACIONES
Secretaría del Trabajo y Previsión Social
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Reunión plenaria No. 82 Consejo Nacional de Operación de Gas Natural Medellín, agosto 20 de 2010 Consejo Nacional de Operación de Gas Natural 1.
Secretarías y Unidades Administrativas de las Entidades y Dependencias de la UNAM.
Mercantil Laboratorio SAC
SISTEMAS DE GESTION DE CALIDAD
Experiencias de Planeación Estratégica: El Caso del Banco de México
JORNADA INFORMATIVA REA 1 Valladolid, EL REGISTRO DE EMPRESAS ACREDITADAS: ANÁLISIS Y CONTENIDO Luis Valerio Benito Secretario General Cámara.
Módulo N° 6 – Reglamentación del SMS
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
Ilustre Colegio de Abogados del Señorío de Bizkaia 5 de julio de 2013
Red nacional de información
Módulo 13 Procesos de Verificación de la Implementación del SAA.
Ente Costarricense de Acreditación
1 Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información y Apoyo Sindicatura de Comptes de la Comunitat Valenciana Vitoria, 7 de mayo de.
FUNDAMENTOS DE CALIDAD EN LA GESTIÓN PÚBLICA
AREA DE SEGURIDAD DE LA INFORMACION
Documentación del Sistema de Gestión de Calidad
Tres niveles de la calidad
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
A R C O Derechos ARCO Acceso Rectificación Cancelación Oposición
Modulo 7: Gestión de la Calidad Tema 4: ISO20000
Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos.
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
MODERNIZACION ADMINISTRATIVA
Sesión de Videoformación para aplicar las medidas de Seguridad en materia de Protección de Datos Personales Servicio Integral de Protección de Datos del.
SGSI: Sistemas de Gestión de la Seguridad de la Información
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
Reunión GTIDEE Madrid /25 1 Antonio F. Rodríguez RD 4/2010 ENI.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
9 IS La nueva BINOCLE Consulting La nueva Iso 9001:2015
Universidad Latina CONTROL INTERNO.
MUNICIPALIDAD DE SAN BORJA MUNICIPALIDAD DE SAN BORJA
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Esquema Nacional de Seguridad
Guías y criterios. Aplicación de las Normas Técnicas de Interoperabilidad en la Administración Electrónica 13 de marzo de 2012.
Perspectiva Jurídica del Esquema Nacional de Seguridad Martín Pastrana Baños.
Nuevo marco normativo de los archivos y la gestión documental en la Administración General del Estado Aplicación de las Normas de Interoperabilidad en.
ISO
Transcripción de la presentación:

LAS PALMAS DE GRAN CANARIA Esquema Nacional De Seguridad (ENS) LAS PALMAS DE GRAN CANARIA Antonio Mª Manrique, 2 – 1º D CP: 35011 SANTA CRUZ DE TENERIFE Ángel Guimerá, 5 – 2ª Planta CP: 38003 BARCELONA Sicilia, 141 - Bajos CP:08013 Teléfono: 931850585 MADRID Ribera del Loira, 46 Edificio 2 – Bajo CP:28042 Teléfono: 915030697 ASTURIAS Ildefonso Sánchez del Río, 10 - 1º A-B CP:33001 • OVIEDO Teléfono: 985207559 www.seguridadinformacion.com

CREACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD (ENS) Su creación se contempla en la LEY 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y se regula a través de Real Decreto del Gobierno de España 3/2010, de 8 de enero. Es el marco, obligatorio para las administraciones públicas, para la protección de la información y su gestión a través de los medios electrónicos. Tiene como objetivo crear la confianza necesaria en el uso de la administración electrónica por parte de los ciudadanos y permitir.

INTRODUCCIÓN El ENS es un Sistema de Gestión de Seguridad de la Información, El ENS se desarrolla sobre las recomendaciones de la UE y los estándares internacionales en materia de seguridad de la información, especialmente la UNE/ISO 27001 Start Up es la empresa líder en España en implantaciones de la norma UNE-ISO/IEC 27001. El ENS integra el cumplimiento de la normativa nacional sobre Administración Electrónica, Firma Digital, LOPD, Reutilización de la Información, DNI electrónico, normativa del régimen jurídico y el procedimiento administrativo común.

CUMPLIMIENTO DEL ENS La Administración General del Estado El Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para: La Administración General del Estado Las Administraciones de las Comunidades Autónomas Las Entidades que integran la Administración Local Las entidades de derecho público vinculadas o dependientes de las mismas. Las Administraciones tienen un plazo de 48 meses desde la entrada en vigor del Real Decreto para cumplir el ENS 4

PROVEEDORES DE SERVICIOS La prestación de servicios de seguridad de los sistemas de información debe estar diferenciada de la prestación específica de los servicios de información En la contratación de servicios relacionados con la gestión de la información se establecerá contractualmente con los proveedores los niveles y políticas de seguridad exigidos Los proveedores de servicios TI de las administraciones públicas deberán contar con una gestión y un nivel de madurez de seguridad idóneos. En la adquisición de productos y servicios de seguridad de la información se valorará aquellos que tengan certificados relevantes de gestión o de productos. Los servicios electrónicos o de sistemas de información que estén externalizados deberán cumplir lo establecido para el cumplimiento del ENS. 5

PRINCIPIOS BÁSICOS Seguridad integral. La gestión de la seguridad debe ser un proceso integral. Gestión de riesgos. Un programa de seguridad debe responder a las necesidades de reducción de riesgos de la entidad. Prevención, reacción y recuperación. La utilización de estos tipos de medidas permitirá un enfoque integral de la seguridad. Líneas de defensa. El sistema debe contar con sucesivas capas de protección para que si ocurre un incidente, no sea capaz de desarrollar todo su potencial dañino Reevaluación periódica. El programa de seguridad debe ajustarse a los cambios que se vayan produciendo. Función diferenciada. Las funciones de responsable de la información, responsable del servicio y responsable de la seguridad deben estar separadas.

ELEMENTOS SUJETOS AL ENS Todos los elementos técnicos, humanos, materiales y organizativas, relacionados con la Administración Electrónica, y en particular: Los servicios, trámites y demás relaciones que se presten a ciudadanos electrónicamente. Las comunicaciones electrónicas relativas a la transmisión, almacenamiento y recepción de datos. Las sedes y registros electrónicos. Procedimientos que aseguren la conservación y accesibilidad a largo plazo de los documentos electrónicos Toda información que, estando en un soporte físico haya sido causa o consecuencia de la información electrónica. 7

PROYECTO DE IMPLEMENTACIÓN Planificar la implantación Organizar el Comité de Seguridad Realizar plan de acción Recopilar información Desarrollar Política de Seguridad Inventario de activos Categorización de sistemas Análisis de riesgos Documento de aplicabilidad Normativa de seguridad Revisar y actualizar Formación Planes de auditorías

TAREA 1 PLANIFICACIÓN Asignar formalmente los cargos de Responsable de Seguridad, Responsable del Servicio y Responsable de la Información. Crear y definir el/los Comité/s de Seguridad, responsable de velar por el cumplimiento de la política de seguridad de la organización. Definir y aprobar formalmente la Política de Seguridad. Deberá ser aprobada por el titular responsable de la acción de gobierno Recopilar los tipos y niveles de Información Administrativa a efectos de seguridad. 9

POLÍTICA DE SEGURIDAD Aprobación y entrada en vigor Introducción Alcance Misión Marco normativo Organización de la seguridad Datos de carácter personal Gestión de riesgos Desarrollo de la política de seguridad de la información Obligaciones del personal Terceras partes

TAREA 2 - DESARROLLO Definir el conjunto de activos sujetos al ENS, identificando los sistemas existentes en la organización. Determinar la categoría del sistema o sistemas identificados. Determinar las medidas de seguridad del Anexo 1 que aplican a los sistemas según su nivel. Documentar la Declaración de Aplicabilidad. Llevar a cabo el Análisis de Riesgos. Definir la Normativa de Seguridad detallando cómo y quién hace las distintas tareas.

CATEGORIZACIÓN DE SISTEMAS Activos SERVICIOS INFORMACIÓN SISTEMA   Criterios Portal web Gestión de Expedientes Información web Información de Expedientes Confidencialidad Sin valorar M B Integridad Autenticidad Trazabilidad Disponibilidad

CLASES DE MEDIDAS DE SEGURIDAD ESQUEMA NACIONAL DE SEGURIDAD (ENS) Medidas de protección Marco operacional Marco organizativo 13

ESQUEMA NACIONAL DE SEGURIDAD (ENS) MARCO ORGANIZATIVO Marco organizativo Política de seguridad Normativa de seguridad Procedimientos de seguridad Procesos de autorización Órganos de gestión Auditorías de seguridad: Cumplimiento legal y cumplimiento técnico ESQUEMA NACIONAL DE SEGURIDAD (ENS)

ESQUEMA NACIONAL DE SEGURIDAD (ENS) MARCO OPERACIONAL Planificación: Análisis de riesgos, arquitecturas de seguridad, componentes, etc. Control de accesos Explotación: Inventario de activos, gestión de procesos, registros, sistemas de protección Servicios externos Continuidad del servicio Monitorización del sistema Acreditación de conocimientos en la vida laboral ESQUEMA NACIONAL DE SEGURIDAD (ENS) Marco operacional

ESQUEMA NACIONAL DE SEGURIDAD (ENS) MEDIDAS DE PROTECCIÓN Protección de instalaciones e infraestructuras Gestión del personal Protección de equipos Protección de las comunicaciones Protección de soportes de información Protección de aplicaciones Protección de la información Protección de los servicios ESQUEMA NACIONAL DE SEGURIDAD (ENS) Medidas de protección

CORRESPONDENCIA ENS-ISO 27001 Requisito ISO 27001 11 Política de Seguridad 4.2.1.b) 12 Compromiso de la dirección 5.1.c) d) 13.1 13.2 Evaluación de riesgos 4.2.1.c) d) e) 13.3 Gestión de riesgos 4.2.1.f) g) 27.1 Documento de Aplicabilidad 4.2.1.g) 14 - 15 Formación 5.2.2 34.1 Auditorías 4.2.3.e) - 6 26 Mejora continua 8.1

CORRESPONDENCIA ENS-ISO 27001 Requisito ISO 27001 14.3 Uso aceptable de los activos A7.1.3 14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2 15.3 Controlar los riesgos de terceros A6.2 16 Gestión de altas y bajas de usuarios A11.2.1 17 Control de acceso A9.1 25 Copias de seguridad A10.5.1 - 14.1 24.1 Política de prevención de malware A10.4 24.2 Gestión de incidentes A13.1 - A13.2 27.2 LOPD A15.1.4 33.2 Firma electrónica A12.3 A15.1.6

IMPLEMENTACIÓN Elaboración del marco organizativo de la seguridad: Documentos de procedimientos de seguridad. Documentos de autorización. Documentos de cumplimiento técnico. Arquitectura de seguridad. Sistemas de registro, control y resolución de incidencias. Plan de continuidad de servicio. Plan de pruebas y monitorización del sistema. Medidas de protección. Actualización del sistema. Plan de auditoría bienal.

TAREA 3 – REVISAR Y MANTENER Formar a todo el personal sobre la política, normativa y procedimientos de seguridad. Evaluar la eficacia de las medidas adoptadas. Revisar el sistema de gestión de la seguridad y mantenerlo actualizado. Realización de una Auditoría bienal de Seguridad que revise la política de seguridad y su cumplimiento, así como el conjunto de riesgos, normativas, procedimientos y controles establecidos, realizada bajo estándares normalizados (p.ej ISO/IEC 27007).

Gracias por su atención Óscar Blanco Ramos oscar.blanco@seguridadinformacion.com START-UP S.L. www.seguridadinformacion.com - info@seguridadinformacion.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.