Esquema Nacional de Seguridad IMPLANTACION DEL ENS CON LA HERRAMIENTA “PublICA” PLANIFICACION Y SEGUIMIENTO … Sólo quedan 3 años Jesús Castellanos 23 de febrero de 2011

Esquema Nacional de Seguridad 00 Agenda 01 – Esquema Nacional de Seguridad 02 – Evolución 03 – Cómo lo hacemos 04 – PublICA 05 - Conclusiones

Esquema Nacional de Seguridad 01 ENS Todas las Administraciones implicadas PublICA™ es un sistema de autoevaluación que permite conocer el nivel de cumplimiento de la Administración PublICA con respecto a las medidas de seguridad establecidas en el Esquema Nacional de Seguridad y planificar la adecuación. El Esquema Nacional de Seguridad establece en el art. 34 las condiciones de auditoria de los Sistemas de Información por lo que todos los sistemas deben ser evaluación al menos cada 2 años. El Esquema Nacional de Seguridad establece en la Disposición Transitoria las condiciones de adecuación de los Sistemas de Información existentes actualmente en la Administración PublICA. Si a enero de 2011 hay circunstancias que impiden la aplicación del ENS, se debe disponer de un plan de adecuación a ejecutar antes de enero de 2014.

Esquema Nacional de Seguridad 01 ENS Estructura Marco legal Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Recomendaciones Guías serie 800 CCN-STIC Familia normas ISO 27000 CobIT ITIL PCI-DSS Ley Orgánica 15/1999 Real Decreto 1720/2007 MAGERIT PILAR Ley 11/07 - Reglamento 1671/09 – LOPD - RD 1720/07 ISO 27000 – ITIL – PCI – NIST – COBIT ISO 19011 - ISO 27007 Esquema Nacional de Seguridad

Esquema Nacional de Seguridad 01 ENS Estructura Medidas de protección 4 31 40 MARCO ORGANIZATIVO MARCO OPERACIONAL MEDIDAS DE PROTECCION POLITCA DE SEGURIDAD NORMATIVA DE SEGURIDAD PROCEDIMIENTOS DE SEGURIDAD PROCESO DE AUTORIZACION PLANIFICACION CONTROL DE ACCESO EXPLOTACION SERVICIOS EXTERNOS CONTINUIDAD DEL SERVICIO MONITORIZACION DEL SISTEMA INSTALACIONES E INFRAESTRUCTURAS GESTION DEL PERSONAL PROTECCION DE LOS EQUIPOS PROTECCION DE LAS COMUNICACIONES PROTECCION DE SOPORTES DE INFORMACION PROTECCION DE APLICACIONES INFORMATICAS PROTECCION DE LA INFORMACION PROTECCION DE LOS SERVICIOS

Mto Cultura G Infraestructuras Esquema Nacional de Seguridad 02 Evolución 1999 - 2007 Antecedentes LOPD 15/1999 RD 1720/2007 Ley 11/2007 ISO 27000 Magerit CobiT ITIL PCI-DSS NIST LogICA CuadICA ArtICA 2010 Marco de cumplimiento 2011 - 2013 Plan de adecuación PUBLICA V 0.1 PUBLICA V 1.0 PUBLICA V1.1 PUBLICA V1.2 LITE/PLUS RD 3/2010 ENS CORRECIONES RD 3/2010 GUIA 802 GUIA 804 B GUIA 809 B GUIA 800 B GUIA 808 B GUIA 807 B E F M A J S O N D GUIAS 801 803 805-6 … PUBLICA V 2.0 Jornadas ASTICNET Mto Educación Mto Economía CNC MITyC SCE Mto Cultura G Infraestructuras Museo Prado

Esquema Nacional de Seguridad 03 Cómo lo hacemos… … De forma ordenada Metodología Inventario Sistemas Categorización Sistemas Evaluación Sistema Función Diferenciada Informe Cumplimiento Plan Adecuación Selección Proyectos Cuadro de Mando Seguimiento Proyectos Auditoría Mejora Continua

Esquema Nacional de Seguridad 04 PublICA Inventario PublICA™ permite la elaboración del inventario de los Sistemas que deben ser evaluados en función Distribución del inventario por multi organismos Organización por múltiples departamentos PublICA™ permite la explotación en modalidad Servicio

Esquema Nacional de Seguridad 04 PublICA Categorización PublICA™ permite categorizar los sistemas en función de su criticidad Función diferenciada PublICA™ prepara a evaluación del Sistema para entornos con múltiples roles, involucrando si fuera necesario a toda la organización PublICA™ se adapta a cualquier infraestructura por compleja o simple que sea

Esquema Nacional de Seguridad 04 PublICA Evaluación PublICA™ construye los cuestionarios en función del nivel y del rol que evalúa el sistema. Evaluación LITE según CCN-STIC-808 con hasta 385 verificaciones Evaluación PLUS extendida hasta 1325 verificaciones Navegación intuitiva basada en la estructura ENS con ayuda permanente en línea

Esquema Nacional de Seguridad 04 PublICA Informes PublICA™ genera de manera totalmente automática los informes necesarios para evaluar y planificar la adecuación ENS. Informe de cumplimiento CCN-STIC-808 Plan de adecuación detallado CCN-STIC-806 Declaración de aplicabilidad CCN-STIC-806 Cuestionario de auditoria CCN-STIC-802 Completos informes segregados por cada sistema evaluado

Esquema Nacional de Seguridad 04 PublICA Cuadro de mando Diseñado para medir el estado de cumplimiento del ENS dentro de la organización y para cada Sistemas evaluados : El nivel de cumplimiento por cada dominio del ENS Los proyectos que más ayudan a mejorar la seguridad El resumen de respuestas obtenidas El estado general de situación La cantidad de tareas propuestas Resumen gráfico de cumplimiento

Esquema Nacional de Seguridad 04 PublICA Selección de proyectos PublICA™ incorpora un catálogo de 25 proyectos para gestionar la adecuación al ENS. El plan de adecuación incorpora el resumen detallado de cada uno de los proyectos junto a las tareas especificas que la organización debe abordar en los próximos años. 1 Administración Segura de Red 14 Gestión de inventario 2 Análisis de vulnerabilidades 15 Intercambio y Comercio electrónico 3 Arquitectura segura de red 16 Monitorización y revisión 4 Obligaciones legales, RRHH y contratos 17 Normas y procedimientos 5 Clasificación de la información 18 Organización y gestión de la seguridad 6 Control de acceso Físico 19 Plan de contingencias 7 Copias de seguridad 20 Planificación de auditorias 8 Divulgación de la seguridad 21 Procedimientos de operaciones 9 Estándares de desarrollo 22 Redes y comunicaciones 10 Externalización de servicios de red 23 Seguridad en el Puesto Trabajo 11 Gestión de cambios en Sistemas y Redes 24 Tratamiento LOPD 12 Gestión de identidad 25 Virus en Sistemas compartidos 13 Gestión de incidencias

Esquema Nacional de Seguridad 04 PublICA Seguimiento PublICA™ permite realizar evaluación continua en la implantación de los proyectos seleccionados por la organización. Dispone de un mecanismo que permite heredar respuestas entre Sistemas y Periodos evaluados. Auditoría PublICA™ permite incorporar evidencias en la evaluación de cumplimiento que son almacenadas en el propio sistema.

Esquema Nacional de Seguridad 04 PublICA Mejora continua PublICA™ incorpora un completo cuadro de mando que permite realizar un mantenimiento continuo, generando cuadros de cumplimiento por periodos, evolutivos y comparativos

Esquema Nacional de Seguridad 05 Conclusiones Optimización de costes. Metodología de evaluación que permite basar el procesos de cumplimiento en un método claramente definido, evaluable, repetible Planificación de inversión.   PublICA genera un plan de adecuación al ENS, de forma que los resultados de la evaluación, sirvan para planificar las acciones a acometer en los próximos años en lo relacionado con la seguridad, la gestión y la organización. Cumplimiento legal. El ENS no solo centra el cumplimiento legal es aspectos relacionados con el propio Real Decreto, sino que se hace mención al cumplimiento legal aplicable a cada entorno, que puede pasar desde la propiedad intelectual o la protección de datos Cumplimiento de plazos. El ENS establece ‘Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación Soporte y acompañamiento. ICA acompaña en el proceso de evaluación transmitiendo el conocimiento funcional de sus soluciones

Esquema Nacional de Seguridad 00 Agenda Gracias por su atención