P

rese

nta

ció

n C

orp

ora

tiva

MEDIDAS DE SEGURIDAD DEL ENS

Esquema Nacional de Seguridad (ENS)

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC Preguntas clave sobre las medidas de seguridad del ENS

Dónde se regulan las medidas de seguridad

A qué sistemas se aplica

Qué se entiende por SI

Cuál es el plazo para hacer la categorización

Qué ayudas existen

Qué es una medida de seguridad y qué tipos existen

Cuáles son las medidas de seguridad previstas en el ENS

Cómo saber qué medidas deben adoptarse

Necesidad de documentación de las medidas a aplicar

Por qué son importantes las medidas de seguridad

2

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC Dónde se regulan las medidas de seguridad

En el Real Decreto 3/2010, de 8 de enero, por el que se regula el

Esquema Nacional de Seguridad en el ámbito de la Administración

Electrónica (ENS), Anexo II.

A qué sistemas se aplica

A los sistemas de información de la:

• Administración General del Estado

• Administraciones de las Comunidades Autónomas

• Entidades que integran la Administración Local

• Entidades de derecho público vinculadas o dependientes de cualquiera de las anteriores.

Será de aplicación a todos los sistemas empleados para la prestación

de los servicios de la Administración electrónica y soporte del

procedimiento administrativo general.

Qué se entiende por Sistemas de Información

Conjunto organizado de recursos para que la información se pueda

recoger, almacenar, procesar o tratar, mantener, usar, compartir,

distribuir, poner a disposición, presentar o transmitir (Anexo IV ENS).

3

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

4

Cuál es el Plazo para cumplir las disposiciones el ENS

El ENS entró en vigor el 30 de enero de 2010 (día siguiente al de su

publicación en el BOE)

Se prevé un plazo de adecuación de los sistemas existentes de 12 meses

Si a los doce meses de la entrada en vigor (-> 30/01/2011) hubiera

circunstancias que impidieran su plena aplicación, se dispondrá de un plan

de adecuación que marque los plazos de ejecución los cuales, en

ningún caso, serán superiores a 48 meses desde la entrada en vigor

(30/01/2014).

Qué Ayudas existen

El Centro Criptológico Nacional elabora y difunde de seguridad de las

tecnologías de la información y las comunicaciones.

• https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2420&Itemid=211&lang=es#2

• 17 guías publicadas

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

5

Qué son las medidas de seguridad

Son el conjunto de disposiciones encaminadas a protegerse de los riesgos

posibles sobre el sistema de información, con el fin de asegurar sus

objetivos de seguridad.

Qué tipos de medidas existen

Puede tratarse de:

medidas de prevención,

medidas de disuasión,

medidas de protección,

medidas de detección y reacción,

medidas de recuperación.

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

6

Cuáles son las medidas de seguridad previstas en el ENS

Las recogidas en el Anexo l ENS

Se dividen en tres grupos o tipos:

• Marco organizativo [org]. Constituido por el conjunto de medidas

relacionadas con la organización global de la seguridad. 4 medidas

• Marco operacional [op]. Formado por las medidas a tomar para proteger

la operación del sistema como conjunto integral de componentes para un

fin. 31 medidas

• Medidas de protección [mp]. Se centran en proteger activos concretos,

según su naturaleza y la calidad exigida por el nivel de seguridad de las

dimensiones afectadas. 40 medidas

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

7

Marco organizativo

4 medidas

Política de seguridad Normativa de seguridad Procedimientos de

seguridad Proceso de autorización

Marco operacional

31 medidas

Planificación (5) Control de Accesos (7) Explotación (11) Servicios externos (3) Continuidad del servicio (3) Monitorización de los

sistemas (2)

Medidas de Protección

Protección de instalaciones e infraestructuras (8)

Gestión del personal (5) Protección de equipos (4) Protección de comunicaciones (5) Protección de soportes de información

(5) Protección de las aplicaciones

informáticas (2) Protección de la información (7) Protección de los servicios (4)

40 medidas

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

8

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC Cómo saber qué medidas deben adoptarse

Para seleccionar las medidas de seguridad a adoptar se deben seguir los siguientes

pasos:

1) Identificar los tipos de activos presentes.

2) Determinar las dimensiones de seguridad relevantes.

3) Determinar el nivel correspondiente a cada dimensión de seguridad.

4) Determinar la categoría del sistema.

5) Seleccionar las medidas de seguridad apropiadas de entre las contenidas en el Anexo I (tabla

anterior), de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas

medidas de seguridad, de acuerdo con la categoría del sistema.

Cuando en un sistema de información existan sistemas que requieran la aplicación de

un nivel de medidas de seguridad diferente al del sistema principal, podrán

segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de

seguridad correspondiente y siempre que puedan delimitarse la información y los

servicios afectados.

Las medidas serán proporcionales a:

Las dimensiones de seguridad relevantes en el sistema a proteger.

La categoría del sistema de información a proteger.

9

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

10

ENS

Categorización de sistemas de información

Dimensiones de seguridad

Categoría BÁSICA Categoría MEDIA Categoría ALTA

Se establecen en función de las

[D] Disponibilidad [A] Autenticidad [I] Integridad [C] Confidencialidad [T] Trazabilidad

Para cada una de ellas hay

que determinar el NIVEL aplicable:

Nivel BAJO Nivel MEDIO Nivel ALTO

Determinan las medidas de seguridad a aplicar

Relación entre las categorías de los sistemas de información, las dimensiones, niveles y medidas de seguridad en el ENS

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC Hay que dejar constancia de las medidas aplicables?

Sí. La relación de medidas seleccionadas se formalizará en un documento

denominado Declaración de Aplicabilidad, firmado por el responsable de la

seguridad del sistema.

Recuérdese que la política de seguridad de la organización detallará las atribuciones de cada

responsable y los mecanismos de coordinación y resolución de conflictos.

• Responsable de la información: determinará los requisitos de la información tratada;

• Responsable del servicio: determinará los requisitos de los servicios prestados;

• Responsable de seguridad: determinará las decisiones para satisfacer los requisitos de seguridad de la

información y de los servicios.

Por qué son importantes las medidas de

seguridad

Para lograr el cumplimiento de los principios básicos y requisitos mínimos

establecidos en el ENS.

11

P

rese

nta

ció

n C

orp

ora

tiva

avanTIC

12

avanTICAvanzando con la Sociedad de la Información

avanTICAvanzando con la Sociedad de la Información

Si desea información sobre los servicios y soluciones de AvanTIC visite nuestro sitio

www.avantic.net

C/ Rufino, nº 1, Planta Alta

CP 38320 La Laguna (La Cuesta)

Tel. 902.36.63.24 / 922.64.10.51

avantic@avantic.net

AvanTIC Estudio de Ingenieros S.L. C.I.F. B-38-769337 Reg.Merc. de Santa Cruz de Tenerife, Hoja TF-33864, Folio 102, Tomo 2.580, Inscripción 1ª