Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • INTECO - Implantación Del ENS

    Cargado por

    David Fernández
    4 vistas12 páginas
    ENS

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    ENS

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    4 vistas12 páginas

    INTECO - Implantación Del ENS

    Cargado por

    David Fernández
    ENS

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 12

    Implantacin del Esquema Nacional de Seguridad

    Alberto Lpez
    Responsable de Proyectos
    Direccin de Operaciones

    ndice

    1. Qu es el Esquema Nacional de Seguridad?


    2. mbito de Aplicacin e Impacto.
    3. Visin General del Esquema.

    4. Implantacin del Esquema.

    1 Que es el ENS?
    El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
    Seguridad en el mbito de la Administracin Electrnica, regula el citado Esquema previsto
    en el artculo 42 de la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a
    los Servicios Pblicos. Su objeto es establecer la poltica de seguridad en la utilizacin de
    medios electrnicos y est constituido por principios bsicos y requisitos mnimos que
    permitan una proteccin adecuada de la informacin.
    La finalidad del Esquema Nacional de Seguridad es crear las condiciones
    necesarias para la confianza en el uso de los medios electrnicos, a travs de
    medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y
    los servicios electrnicos, que permita el ejercicio de derechos y el cumplimiento de
    deberes a travs de estos medios.
    El Esquema Nacional de Seguridad introduce los elementos comunes que han de
    guiar la actuacin de las Administraciones Pblicas en materia de seguridad de las
    tecnologas de la informacin y aporta un lenguaje comn para facilitar la
    interaccin de las Administraciones Pblicas, as como la comunicacin de los
    requisitos de seguridad de la informacin de las mismas a la industria.
    3

    2 mbito de Aplicacin e Impacto


    El mbito de aplicacin del Esquema Nacional de Seguridad es el establecido en el
    artculo 2 de la Ley 11/2007:
    A la Administracin General del Estado, Administraciones de las Comunidades
    Autnomas y las Entidades que integran la Administracin Local, as como las
    entidades de derecho pblico vinculadas o dependientes de las mismas.
    A los ciudadanos en sus relaciones con las Administraciones Pblicas.
    A las relaciones entre las distintas Administraciones Pblicas.

    Todos los sistemas existentes deben adecuarse al ENS en un plazo de 12 meses


    desde su aprobacin, aunque si hubiera circunstancias que impidieran la plena
    aplicacin, se dispondr de un plan de adecuacin que marque los plazos de
    ejecucin, en ningn caso superior a 48 meses desde la entrada en vigor del
    esquema.

    3 - Visin General del Esquema

    Cinco dimensiones de seguridad:


    Disponibilidad, Autenticidad ,
    Integridad , Confidencialidad y
    Trazabilidad.

    Gestin de la seguridad basada en


    los riesgos, debiendo realizarse un
    anlisis y gestin de los mismos con el
    objetivo de minimizarlos hasta unos
    niveles aceptables. Categorizacin
    de los activos: BSICO. MEDIO Y
    ALTO.

    Necesidad de realizar reevaluaciones


    peridicas. Mejora Continua.

    3 - Visin General del Esquema


    Marco Organizativo

    Poltica de Seguridad.
    Normativa de Seguridad.
    Procedimientos de Seguridad.
    Proceso de Autorizacin.

    ANEXO II

    Marco Operacional

    Planificacin.
    Control de Acceso.
    Explotacin.
    Servicios Externos.
    Continuidad del servicio.
    Monitorizacin del sistema.

    Medidas de Proteccin

    Proteccin de las instalaciones e infraestructuras.


    Gestin del Personal.
    Proteccin de los equipos.
    Proteccin de las comunicaciones.
    Proteccin de los soportes de informacin.
    Proteccin de las aplicaciones informticas.
    Proteccin de la informacin.
    Proteccin de los servicios.

    4 - Implantacin

    Planificacin
    Alcance (articulo 2 11/2007)
    Organizacin y Responsabilidades
    Poltica de Seguridad

    Mejora Continua

    Valoracin de Informacin y Servicios

    Acciones Correctivas

    Categora del sistema y aplicabilidad.

    Acciones Preventivas

    Anlisis y Evaluacin de Riesgos.


    Identificacin de Insuficiencias.
    Plan de Mejora

    Ejecucin
    Implantar el Plan de Mejora

    Seguimiento
    Plan de auditora (articulo 34)

    Implementar los Controles


    Formacin y Concienciacin

    Seguridad de la Informacin = Modelo en CONTINUA Evolucin


    7

    4 - Implantacin
    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011
    1. Definicin del Alcance.
    2. Organizacin y Responsabilidades.
    Responsables de Seguridad, de la Informacin y de los Servicios

    3. Poltica de Seguridad de la entidad.


    Objetivos o misin de la organizacin.
    Marco legal y regulatorio en el que se desarrollarn las actividades.
    Roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades
    del cargo, as como el procedimiento para su designacin y renovacin.
    Estructura del comit o los comits para la gestin y coordinacin de la seguridad,
    detallando su mbito de responsabilidad, los miembros y la relacin con otros elementos de la
    organizacin.
    Directrices para la estructuracin de la documentacin de seguridad del sistema, su gestin
    y acceso.

    RETOS:
    No tengo organizadas las responsabilidades .
    No tenemos poltica de seguridad.
    La poltica de seguridad de mi organizacin no cumple con dicha estructura.
    8

    4 - Implantacin
    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011
    4. Valoracin de Informacin y Servicios.
    Anexo I RD 3/2010.

    5. Categora del Sistema y Aplicabilidad.


    6. Anlisis de Riesgos.
    En funcin de la categora del sistema.

    7. Insuficiencias del Sistema.


    Incumplimiento formal de las medidas de seguridad exigidas en el Anexo II para la valoracin del
    sistema.
    Incumplimiento formal de las medidas de seguridad exigidas por el RD 1720/1997 para los datos
    de carcter personal tratados por el sistema.
    Existencia de riesgos no asumibles por el organismo.

    Dudas:
    Quin valora? Formalmente el Responsable del Servicio y de la Informacin.
    Quin acepta el riesgo residual? Formalmente los Responsables del Servicio y la
    Informacin
    9

    4 - Implantacin
    PLANIFICACIN: Plan de Adecuacin al ENS 31 Enero de 2011

    8. Plan de Mejora.
    Insuficiencias que subsanan.
    Plazo previsto de ejecucin, indicando fecha de inicio y fecha de
    terminacin, as como los principales hitos intermedios.
    Estimacin del coste que supondr.

    Prximos pasos:
    Implantacin de controles derivados del Plan de Mejora.
    Formacin y concienciacin.

    Plan de Auditora.
    Mejoras derivadas de Plan de Auditora.

    10

    Conclusiones

    Apoyo: desde arriba hacia abajo


    Definir desde el inicio un Responsable de Seguridad,
    encargado de llevar a cabo la adecuacin.
    Establecer fases progresivas para la adecuacin a travs del
    plan de adecuacin (tenemos 3 aos ms, pero luego seguimos).
    Reutilizar lo que ya tenemos.
    Entender el cumplimiento como un medio y no como un
    fin.

    11

    Muchas gracias

    12

    También podría gustarte