ESTRATEGIAS Y GOBIERNO TI EN LA UNIVERSIDAD ESPAÑOLA - "Estrategias TI aplicadas a la seguridad ENS y ENI" Miguel A. Amutio Gómez Jefe de Área de ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
ESTRATEGIAS Y GOBIERNO TI EN LA UNIVERSIDAD ESPAÑOLA
“Estrategias TI aplicadas a la seguridad ENS y ENI”
17 de julio de 2013
Miguel A. Amutio Gómez
Jefe de Área de Planificación y Explotación
Ministerio de Hacienda y Administraciones Públicas
“Estrategias TI aplicadas
a la seguridad ENS y ENI”
1. Un marco legal favorable.
2. Esfuerzo de adecuación colectivo.
3. Implantación de infraestructuras y
servicios comunes.
4. Liderazgo y colaboración.
5. Alineamiento temprano.
1. Un marco legal favorable
Esquema Nacional de Interoperabilidad
Esquema Nacional de Seguridad
Seguridad e Interoperabilidad: aspectos en los que es
obligado que las previsiones normativas sean comunes.
Esquemas Nacionales de
Seguridad e Interoperabilidad
Desarrollan lo previsto sobre seguridad e interoperabilidad en la Ley 11/2007, al
servicio de la realización de derechos de los ciudadanos.
Instrumentos legales -> seguridad jurídica.
Real Decreto 3/2010: Establece la política de seguridad en los servicios de
administración-e. Constituida por principios básicos y requisitos mínimos que permitan una
protección adecuada de la información.
Real Decreto 4/2010:. Conjunto de criterios y recomendaciones para la toma
de decisiones tecnológicas que garanticen la interoperabilidad.
Ámbito de aplicación: todas las AA.PP.
Adecuación: límite 30.01.2014
Resultan del esfuerzo colectivo: AGE, CC.AA., CC.LL.-FEMP, CRUE + Opinión Industria TIC.
Agenda Digital para Europa
Objetivos del ENS y del ENI
Crear condiciones necesarias de seguridad e interoperabilidad
en el uso de los medios electrónicos, que permitan a los ciudadanos y a las AA.PP., el ejercicio de derechos y
el cumplimiento de deberes a través de estos medios.
Implantar la gestión continuada de la seguridad, al margen de impulsos
puntuales, o de su ausencia.
Implantar un tratamiento homogéneo de la seguridad que facilite la
cooperación en la prestación de servicios de administración electrónica cuando participan diversas
entidades.
Proporcionar lenguaje y elementos comunes de seguridad e
interoperabilidad:
Para guiar la actuación de las AA.PP.
Para facilitar la interacción y la cooperación de las AA.PP.
Para facilitar la comunicación de requisitos a la Industria.
Facilitar a través de la interoperabilidad la implantación de
políticas de seguridad.
2. Esfuerzo de adecuación
colectivo
ENS y ENI
Adecuarse al ENS Las AA.PP. deberán disponer de política de seguridad en base a los principios básicos y aplicando los requisitos mínimos para una protección adecuada de la información. Aspectos principales de la adecuación: Se dispone de una política de seguridad aprobada (art. 11) Responsables y asignación de personas. Responsable de seguridad. (art. 10) Se ha realizado la categorización de los sistemas (art. 27) El análisis de riesgos está actualizado (art. 27) Se dispone de una declaración de aplicabilidad (anexo II) Se dispone de un plan de adecuación / de mejora de la seguridad aprobado (d.t) Se han implantado las medidas de seguridad (Anexo II). Se da publicidad a la conformidad en la sede electrónica (art. 41)
Instrumentos de apoyo a la
adecuación al ENS
+
Guías CCN-STIC publicadas: Servicios de respuesta ante incidentes CCN-CERT
800 - Glosario de Términos y Abreviaturas del ENS
801 - Responsables y Funciones en el ENS
Formación STIC: presencial / en-línea
802 - Auditoría de la seguridad en el ENS Esquema Nacional de Evaluación y Certificación
803 - Valoración de sistemas en el ENS
804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS
807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS
809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT
811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web
813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico
815 - Métricas e Indicadores en el ENS
817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS
821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS
823 - Cloud Computing en el ENS
824 - Informe del Estado de Seguridad
MAGERIT v3
Programas de apoyo: En elaboración:
Pilar y µPILAR 819 – Contratación en el ENS
820 - Denegación de Servicio
Adecuarse al ENI Aplicar principios de la interoperabilidad: cualidad integral, carácter multidimensional, soluciones multilaterales. Tratar las dimensiones de la interoperabilidad. Usar estándares, en las condiciones previstas en la normativa. Usar infraestructuras y servicios comunes. Reutilizar aplicaciones de las AA.PP., documentación y otros objetos de información. Tratar la interoperabilidad de la firma electrónica y de los certificados. Tratar la recuperación y conservación del documento electrónico. Aplicar las normas técnicas de interoperabilidad.
Normas Técnicas de
Interoperabilidad
Normas técnicas de interoperabilidad (RD 4/2010, disp. ad. 1ª). Desarrollan
aspectos concretos necesarios para la aplicación del ENI:
Catálogo de estándares.
Documento electrónico.
Digitalización de documentos. STORK
Expediente electrónico.
Política de firma electrónica y de certificados.
Protocolos de intermediación de datos. CISE
Relación de modelos de datos comunes.
Política de gestión de documentos electrónicos.
Requisitos de conexión a la Red de comunicaciones de las AA.PP. Españolas.
Procedimientos de copiado auténtico y conversión.
Modelo de datos para intercambio de asientos entre Entidades Registrales.
Reutilización de recursos de información (RD 1495/2011,d.f.1ª).
Declaración de conformidad con el ENI.
(*) Ya publicadas en el
+ http://www.boe.es/boe/dias/2011/07/30/
Guías de aplicación http://www.boe.es/boe/dias/2012/07/26/
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2012-13501
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2013-455
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2013-2380Seguimiento periódico del progreso de adecuación al ENS y al ENI
3. Implantación de infraestructuras y servicios comunes
Infraestructuras y servicios
comunes
Hay un ecosistema de infraestructuras y servicios comunes, incluyendo servicios en cloud,
evolucionando y en expansión, a disposición de todas las AA.PP.
Con soporte legal (Ley 11/2007, RD 3/2010 art. 28, RD 4/2010 art. 12 y sus normas técnicas), apoyan al
procedimiento administrativo y al despliegue masivo de servicios.
Facilitan la interoperabilidad: dinámicas any to any, any to all.
Facilitan la seguridad: Reducción de perímetro físico y lógico; ciertos servicios pasan a 'comunes'.
(No exhaustivo)4. Liderazgo y colaboración
Liderazgo En colaboración con CCN para el ENS.
Colaboración
> 200 personas a través de órganos colegiados con competencia en
administración-e de:
Administración General del Estado,
Comunidades Autónomas,
Corporaciones Locales (Federación Española de Municipios y Provincias - FEMP),
Universidades (Conferencia de Rectores de Universidades Españolas - CRUE),
Ámbito judicial (EJIS).
Perfiles de conocimiento diversos: TIC, archivos, jurídico, ...5. Alineamiento temprano
Con actuaciones de la UE
Alineamiento temprano con estrategias y
acciones de la UE: Estrategia Europea de
Interoperabilidad, Marco Europeo de Interoperabilidad.
Participación y contribución.
Reutilización de políticas, resultados y
productos.
Conexión de servicios comunes con los
equivalentes en la Unión Europea.
Red SARA → Red transeuropea sTESTA
@Firma → STORK
060 → Portal Your Europe / Tu Europa
EUGO → Ventanillas Únicas de la Directiva de Servicios
CTT → Portal JOINUP
... → Programa ISA
Participación en proyectos:
Servicios sectoriales transfronterizos.
Proyectos pilotos “LSP-CIP”: STORK, STORK2, epSOS, GEN6Con emergentes en
ciberseguridad
Estrategia Europea de Ciberseguridad (07.02.2013)
Reforzar la ciberresiliencia de los sistemas informáticos en la UE.
Publicada junto con Propuesta de Directiva de seguridad de la información y las redes.
Estrategia de Seguridad Nacional (31.05.2013)
Garantía de la seguridad de los sistemas de información y las redes de comunicaciones e
infraestructuras comunes a todas las AA.PP.
“Se finalizará la implantación del Esquema Nacional de Seguridad, previsto en la Ley
11/2007 …”
Proyecto de Estrategia Española de Ciberseguridad.
Pilar: la seguridad de información y servicios manejados por AA.PP.:
Asegurar la plena implantación del Esquema Nacional de Seguridad.
Fortalecer las capacidades de respuesta a incidentes del CCN-CERT.
Reforzar el uso de Red SARA como infraestructura común y segura de las AA.PP.
Optimizar el modelo de interconexión de las AA.PP. con las redes públicas de datos
maximizando su eficacia, disponibilidad y seguridad.
Propuesta de Directiva de seguridad de la información y las redes.
Las AA.PP. deberán:
Adoptar medidas organizativas y técnicas para gestionar los riesgos.
Adoptar medidas para prevenir y minimizar incidentes que afecten a sus redes y sistemas de
información y asegurar la continuidad de los servicios soportados por dichas redes y sistemas.
Notificar incidentes de seguridad graves.Muchas gracias Portal de la Administración Electrónica: http://administracionelectronica.gob.es Portal CCN-CERT – ENS: https://www.ccn-cert.cni.es
También puede leer
