III ENCUENTRO ENS Presentación CCN-CERT / SGAD
III
ENCUENTRO ENS
PresentaciónCCN-CERT / SGAD
Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
12
34
Digitalización acelerada con impacto global
Organizaciones, públicas y privadas, en sus
productos, procesos y servicios
Personas, como ciudadanos, profesionales,
estudiantes…
Transforma nuestros medios, hábitos y
expectativas de:
▪ Trabajo
▪ Educación / Formación
▪ Ocio
▪ Entretenimiento
▪ Consumo
▪ Interacción social
Genera hiperconectividad
Se agudiza la dependencia de la tecnología,
mayor:
▪ complejidad
▪ interdependencia
▪ se incrementa la superficie de
exposición a ciberamenazas y a
fallos.
Los ciberincidentes crecen en frecuencia,
alcance, sofisticación y severidad del impacto.
Provocan daño y socavan la confianza en el
uso de las tecnologías.
La transformación digital ha de ir
acompasada con la robustez en
ciberseguridad.
+ Contexto de valores compartidos
y derechos fundamentales de nuestra sociedad
Fuente: Miguel A. Amutio. Parte de la pirámide de Gartner intervenida para reubicar a las personas en el centro, añadiéndose
las leyendas y el contexto de derechos y valores compartidos, con apoyo de edición del equipo de CCN-CERT.
Transformación digital. Perspectiva global.
Dinámica permanente
El Sector Público y su cadena de suministro en el
punto de mira de los ciberataques
Orientados a la información
▪ Con sustracción (con o sin revelación)
▪ Con destrucción (incluyendo el cifrado irrecuperable de datos y documentos)
▪ Con alteración (incluyendo el fraude por inserción de documentos falsos)
Orientados a los servicios
▪ Con quiebra de la disponibilidad de los servicios, que afectaría al acceso a la información
Combinación de los anteriores
El Sector Público y su cadena de suministro en el
punto de mira de los ciberataques
Fuente: Cyber brief (March 2021) April 6, 2021 - Version: 1.0 TLP:WHITE Disclosure is not limited. Information may be distributed freely.
Claves de la Orden Ejecutiva:
▪ Eliminar las barreras para compartir información sobre amenazas y ciberincidentes entre el gobierno y sus proveedores.
▪ Modernizar y reforzar la ciberseguridad del gobierno para responder a la evolución de las ciberamenazas: adopción de buenas
prácticas, arquitecturas de mínimo privilegio (zero-trust) y de uso de servicios en la nube, adopción de doble factor de
autenticación, cifrado de información en reposo y en tránsito, colaboración en la respuesta ante incidentes.
▪ Mejorar la seguridad de la cadena de suministro de software para garantizar que los productos funcionen de forma segura y según lo
previsto, mediante estándares, procedimientos, criterios, guías, aplicación del concepto de SBOM (Software Bill of Materials) y marcas de
excelencia.
▪ Establecer una comisión de examen de la ciberseguridad compuesta por miembros del gobierno y representantes del sector privado,
para analizar incidentes y extraer lecciones.
▪ Estandarizar el manual de procedimientos de respuesta ante vulnerabilidades e incidentes.
▪ Mejorar la detección temprana de incidentes y vulnerabilidades. Implantación de agentes de punto final (EDR).
▪ Mejorar las capacidades de investigación y remediación de incidentes mediante requisitos acerca de los registros de actividad (logs).
Lectura a la luz de:
▪ ENCS 2019 y gobernanza CNCS-CPCS-FNCS
▪ ENS y su proyecto de actualización
▪ Informe anual INES
▪ Instrucciones Técnicas de seguridad y Guías CCN-STIC
▪ Capacidades CCN-CERT y herramientas
▪ Proyecto Centro de Operaciones de Ciberseguridad de la AGE y sus OOPP
▪ RD-l 12/2018, RD 43/2021 (NIS)
▪ Proyecto de Plataforma Nacional de Notificación y
Seguimiento de Ciberincidentes (RD 43/2021)
Orden ejecutiva para mejorar la seguridad nacional
ACM sobre medidas urgentes en materia de ciberseguridad
Plan de Choque de Ciberseguridad
A destacar:
▪ Protección frente al código malicioso (especialmente del tipo ransomware)
▪ Extensión de los servicios para la detección de ciberamenazas en equipos de usuario
▪ Implantación de la vigilancia de accesos remotos
▪ Refuerzo de las capacidades de búsqueda de amenazas
▪ Ampliación de las capacidades de ciberinteligencia
▪ Extensión de la aplicación del uso del doble factor en autenticación
▪ Despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes
▪ Continuidad de negocio y la recuperación ante desastres, la concienciación y la formación por parte de
proveedores del Sector Público
▪ Revisión de la normativa de ciberseguridad
Actualización del ENS mediante tramitación y aprobación urgente
Promover e incentivar la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector
privado (proveedores del Sector Público estatal)
1º
2º3º
Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
12
34
La seguridad, el largo camino…Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
Photo by Perry Grone on UnsplashFuente: Miguel A. Amutio
Pilares de la ciberseguridad
Administración Digital
Órganos de Gobernanza y
cooperación en la AGE de las AA.PP.
RD-L 12/2018 Marco estratégico e
institucional – RD 43/2021
CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Fuente: Miguel A. Amutio
Desarrollo
Conformidad Monitorización -INES
Soporte
Actualizado en 2015 Ámbito de aplicación
✓Extendido a
todo el Sector
Público
(leyes 39/2015 y
40/2015)
4 ITS publicadas
✓Experiencia de
aplicación
✓Marco europeo
(eIDAS)
✓Escenario de
ciberseguridad
✓ Informe
✓ Conformidad
✓ Auditoría
✓ Notificación de
incidentes
✓Acreditación con ENAC
✓ Certificadores
acreditados por ENAC
✓ Entidades certificadas
(públicas/privadas)
✓ Consejo de
Certificación del ENS
(CoCENS)
✓ > 80 guías CCN-
STIC de la serie
800.
✓ 21 soluciones de
ciberseguridad
Referente de medidas
de seguridad para
otros ámbitos
✓ 7 ediciones del informe
INES
✓ 1194 organismos, 934
incluidos en el informe,
un 3,78% más que en
2019
✓ La campaña permanece
abierta todo el año
✓ Ley Orgánica 3/2018
✓ Real Decreto 43/2021
Elementos para la actualización
Progreso de la
transformación
digital
Intensificación de las
ciberamenazas y
ciberincidentes
Avance de
las
tecnologías
Evolución
del
marco legal
Evolución del marco
estratégico
en ciberseguridad
Extensión de la
implantación
del ENS
Acumulación de
experiencia de
aplicación
del ENS
Mejor conocimiento
de la situación
(Informe INES)
Extensión de
guías CCN-STIC y
servicios
CCN-CERT
+ Todas vuestras aportaciones que nos habéis trasladado por canales
formales e informales
Objetivos: 1. Mejorar y alinear el ENS
Actualizar referencias al marco legal: • Referencias a leyes 39/2015 y 40/2015, RGPD, LO 3/2018, Directiva NIS, RD-l 12/2018, RD 43/2021, RD-l
14/2019, Reglamento de Ciberseguridad,…
Precisar adecuadamente el ámbito de aplicación (art. 2):• Entidades del sector público (Ley 40/2015, arts. 2, 156).
• Entidades del sector privado que les presten servicios o provean soluciones.
• Sistemas de información que permitan los tratamientos de datos personales (LO 3/2018, art. 77.1, D. a. 1ª).
• Sistemas que manejan o tratan información clasificada.
Precisar adecuadamente ‘Prevención, detección y respuesta a incidentes de seguridad’ (art. 33):• Condiciones de notificación de incidentes de seguridad al CCN-CERT por entidades del sector público.
• Actuaciones de respuesta por parte del CCN-CERT y de la SGAD (reconexión a servicios comunes).
• Condiciones de notificación de incidentes de seguridad al INCIBE-CERT por entidades del sector privado que
presten servicios a aquellas.
Introducir mejoras: • Clarificar, precisar, eliminar aspectos no necesarios o excesivos, homogeneizar, simplificar, o actualizar diversos
aspectos del texto, como los procedimientos de determinación de la conformidad con el ENS (art. 38) o el
desarrollo del ENS (D.a. 2ª). (Sometido a cambios)
Objetivos: 2. Capacidad de ajustar requisitos
Introducir la figura del perfil de cumplimiento especifico (art. 30):
Conjunto de medidas de seguridad que resulten de aplicación a necesidades especificas,
determinados sectores, colectivos de entidades (ej. EE.LL), o determinados ámbitos tecnológicos y que
permitan alcanzar una aplicación del ENS más eficaz y eficiente, sin menoscabo de la protección
perseguida y exigible.
▪ Ejemplos: EE.LL., servicios en la nube
▪ Opciones:
Añadir o eliminar medidas
Incluir medidas compensatorias
Incrementar o decrementar el nivel de ciertas medidas
Redefinir ciertas medidas para mejor adaptación a los sistemas y equilibrio de seguridad y operatividad.
+ Esquemas de acreditación de entidades para la implementación de configuraciones seguras
(Sometido a cambios)
Objetivos: 3. Revisar principios, requisitos y medidas
Fuentes: Experiencia, caudal de preguntas, canales formales e informales, INES, auditorías…
Principios:
▪ De ‘prevención, reacción y recuperación’ a ‘prevención, detección, respuesta y conservación’.
▪ Se introduce el principio básico de ‘vigilancia continua’
▪ Se clarifica la redacción del principio ‘diferenciación de responsabilidades’
Requisitos:
✓ El requisito mínimo de ‘seguridad por defecto’ pasa a denominarse ‘mínimo privilegio’
Medidas del Anexo II, mejora de redacción y actualización:
▪ Marco Operacional y Medidas de Protección.
▪ Nueva familia: Servicios en la nube (1 medida).
Nuevo sistema de codificación:
▪ De los requisitos de las medidas.
▪ De refuerzos, no siempre exigidos, que se suman a los requisitos base para fortalecer la
seguridad y que podrán formar parte de los perfiles de cumplimiento.(Sometido a cambios)
Medidas de seguridad. Panorámica de evolución
(Sometido a cambios)
RD 2015
Marco organizativo
4 Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización
Marco operacional
31
Medidas de protección
40
Planificación (5)Control de acceso (7)Explotación (11)Servicios externos (3)Continuidad del servicio (3)Monitorización del sistema (2)
Instalaciones e infraestructuras (8)Gestión del personal (5)Protección de los equipos (4)Protección de las comunicaciones (5)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (7)Protección de los servicios (4)
NUEVO RD
Marco organizativo
4 Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización
Marco operacional
33
Medidas de protección
36
Planificación (5)Control de acceso (6)Explotación (10)Recursos externos (4)Servicio en la nube (1)Continuidad del servicio (4)Monitorización del sistema (3)
Instalaciones e infraestructuras (7)Gestión del personal (4)Protección de los equipos (4)Protección de las comunicaciones (4)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (6)Protección de los servicios (4)
Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
12
34
Fuente: CCN-CERT
Evaluar el estado de la seguridad
7ª edición – Informe INES 2020
Incremento del 11% en nº de fichas registradas.
Se registraron 1194 organismos, 934 incluidos en
el informe, aumentando en un 3,78% respecto al
año anterior.
Como conclusión general se determina que el
nivel de cumplimiento global del ENS se sitúa en:
▪ el 64,93% en sistemas de categoría ALTA
▪ el 68,24% en sistemas de categoría MEDIA,
▪ el 84% en sistemas de categoría BÁSICA.
Es necesario mantener el esfuerzo para
cumplir los requisitos especificados en el ENS.
Identificar medidas a reforzar a la luz de la
experiencia con el tratamiento de incidentes
Reforzar ante deficiencias detectadas en Informe INES y por CCN-CERT ante incidentes:
▪ Protección frente a código dañino [op.exp.6]
▪ Mecanismo con autenticación [op.acc.5] (no uso de doble factor)
▪ Detección de intrusión [op.mon.1]
▪ Copias de seguridad [mp.info.9]
▪ Perímetro seguro [mp.com.1]
▪ Segregación de redes [mp.com.4] (Redes NO segregadas)
▪ Configuración de seguridad [op.exp.2] y gestión de la configuración [op.exp.3]
▪ Mantenimiento [op.exp.4] (sistemas obsoletos, sin actualizaciones de seguridad)
▪ Concienciación [mp.per.3] y formación [mp.per.4]
▪ Protección de servicios y aplicaciones web [mp.s.2]
Asentar protocolos de actuación ante ciberincidentes.
Medidas de seguridad. Panorámica de evolución por categoría
(Sometido a cambios)
RD 2015
Categoría básica
45Marco organizativo (4)Marco operacional (16)Medidas de protección (25)
Categoría media
63
Categoría alta
75
Marco organizativo (4)Marco operacional (26)
Medidas de protección (33)
Marco organizativo (4)Marco operacional (31)Medidas de protección (40)
NUEVO RD
Marco organizativo (4)Marco operacional (22)Medidas de protección (27)
Categoría básica
53
Categoría media
68
Categoría alta
73
Marco organizativo (4)Marco operacional (29)
Medidas de protección (35)
Marco organizativo (4)Marco operacional (33)Medidas de protección (36)
Medidas de seguridad. Panorámica de evolución
(Sometido a cambios)
Acceso remoto
Protección de los registros de actividad
Medios alternativos (4)
Instalaciones alternativas
Personal alternativo
Cifrado
SE HAN ELIMINADO (9)
Protección de la cadena de suministro
Interconexión de sistemas
Protección de servicios en la nube
Medios alternativos
Vigilancia
Otros dispositivos conectados a la red
Protección de la navegación web
NUEVAS MEDIDAS (7)
Mecanismo de autenticación (usuarios externos)
Protección de dispositivos portátiles
Perímetro seguro
Aceptación y puesta en servicio
Calificación de la información
Sellos de tiempo
Protección frente a denegación de servicio
SE HAN SIMPLIFICADO (8)
Segregación de funciones y tareas
Dimensionamiento/gestión de la capacidad
AUMENTAN CONSIDERABLEMENTE SU EXIGENCIA (9)
Identificación
Configuración de seguridad
Gestión de la configuración de seguridad
Mantenimiento y actualizaciones de seguridad
Protección frente a código dañino
Registro de la actividad
Detección de intrusión
Sistema de métricas
Componentes certificados
Requisitos de acceso
Protección de gestión de derechos de acceso
Gestión de cambios
Gestión de incidentes
Registro de la gestión de incidentes
Deberes y obligaciones
Protección de la confidencialidad
Protección de la integridad y la autenticidad
Separación de flujos de información en la red
Criptografía
Borrado y destrucción
Datos personales
Copias de seguridad
AUMENTAN LIGERAMENTE SU NIVEL DE EXIGENCIA (14)
RESUMEN DE LAS MODIFICACIONES A LAS MEDIDAS DE SEGURIDAD
Modificaciones de detalle del ANEXO IIMarco operacional (I/IV)
Planificación
Control de
Accesos
▪ PLANIFICACIÓN
▪ Se han reforzado significativamente la exigencia en la arquitectura de
seguridad y en el dimensionamiento/gestión de la capacidad.
▪ CONTROL DE ACCESO: piedra angular de la seguridad por el alto riesgo que
supone un acceso no autorizado
▪ Se incrementan significativamente los requisitos de identificación.
▪ Se refuerzan levemente los requisitos de acceso y la protección de
gestión de derechos de acceso
▪ Se aligeran las exigencias en materia de segregación de tareas
33
Modificaciones de detalle del ANEXO IIMarco operacional (II/IV)
Explotación
de los sistemas
▪ EXPLOTACIÓN
▪ Reforzadas significativamente en la configuración de seguridad y su
gestión, mantenimiento y actualizaciones de seguridad, la protección
frente a código dañino y el registro de la actividad de los usuarios
▪ Aumenta moderadamente su exigencia en gestión de cambios e
incidentes (se exige desde categoría BÁSICA)
▪ Se elimina el control relativo a la protección de los registros de
actividad, ya contemplado en otras medidas.
33
Marco operacional (III/IV)
33▪ RECURSOS EXTERNOS
▪ Se incorporan nuevas medidas destinadas a los recursos externos
provistos, cada vez más frecuentes en la administración digital: protección de
la cadena de suministro, interconexión de sistemas,
▪ CONTINUIDAD DEL SERVICIO
▪ Se incorpora medios alternativos (que engloba todas las referentes a
personal, equipos, instalaciones… alternativas que se han eliminado de las
medidas de protección),
Explotación de
los servicios
Modificaciones de detalle del ANEXO II
Marco operacional (IV/IV)
33▪ SERVICIO EN LA NUBE
▪ Se introduce una nueva medida para la protección de servicios en la nube
▪ MONITORIZACIÓN DEL SISTEMA
▪ Se ha reforzado significativamente la exigencia de las medidas de detección
de intrusión y sistema de métricas
▪ Se ha incorporado una nueva medida de vigilancia, alentada por las más
recientes prácticas internacionales, dirigida a asegurar el mantenimiento de la
monitorización constante de la seguridad del sistema
Monitorización
del sistema
Explotación de
los servicios
Modificaciones de detalle del ANEXO II
Medidas de protección (I/IV)
33▪ PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS
▪ Se han realizado cambios editoriales y eliminado las instalaciones alternativas
▪ GESTIÓN DEL PERSONAL
▪ Se ha incrementado levemente la exigencia en deberes y obligaciones y
eliminado personal alternativo
▪ PROTECCIÓN DE LOS EQUIPOS
▪ Se incorpora nueva medida en relación con los dispositivos conectados a la red
▪ Se elimina la medida referida a medios alternativos
Protección
Instalaciones e
Infraestructuras
Protección de
equipos
Gestión del
personal
Modificaciones de detalle del ANEXO II
Medidas de protección (I/IV)
33▪ PROTECCIÓN DE LAS COMUNICACIONES
▪ Experimentan un leve incremento de exigencia la protección de la
confidencialidad, y la separación de flujos de información en la red.
▪ Se obliga a cifrar las redes privadas virtuales, cuando la comunicación discurra
fuera del propio dominio de seguridad.
▪ Se aligera el perímetro seguro
▪ Se eliminan los medios alternativos
Protección de
comunicaciones
Modificaciones de detalle del ANEXO II
Medidas de protección (III/IV)
33▪ PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN
▪ Se refuerzan levemente el borrado y destrucción
▪ PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS
▪ Se incrementa significativamente la exigencia en aceptación y puesta en
servicio, a la vista de los nuevos vectores de ataque propiciados por importantes
vulnerabilidades en el software
Protección de
los soportes de
información
Protección de
las aplicaciones
informáticas
Modificaciones de detalle del ANEXO II
Medidas de protección (IV/IV)
33▪ PROTECCIÓN DE LA INFORMACIÓN
▪ Se aligera calificación de la información
▪ Se incrementa exigencia en datos de carácter personal y copias de seguridad
▪ PROTECCIÓN DE LOS SERVICIOS
▪ Se añade una nueva medida para la protección de la navegación web
▪ Se aumenta la exigencia de protección frente a denegación de servicio
▪ Se eliminan medios alternativos.
Protección de
la información
Protección de
los servicios
Modificaciones de detalle del ANEXO II
Medidas eliminadas Nuevas medidas
✓ [op.acc.7] acceso remoto se ha incluido en [op.acc.4]
protección de gestión de derechos de acceso.
✓ [op.exp.10] se ha recogido en [op.exp.8] protección de los
registros de actividad.
✓ Las medidas que hacían referencia a medios, instalaciones y
personal alternativo ([op.ext.9], [mp.if.9], [mp.per.9], [mp.eq.9]
[mp.com.9], [mp.s.9]), se han aglutinado en la nueva medida
[op.cont.4] medios alternativos.
✓ [mp.info.3] antigua medida de cifrado, se recoge ahora en otras
medidas en las que se hace referencia expresa al cifrado de
dispositivos portátiles, protección de la confidencialidad,
criptografía y transporte ([mp.eq.3], [mp.com.2], [mp.si.2] y
[mp.si.4] respectivamente).
✓ [op.ext.3] Protección de la cadena de suministro para categoría ALTA.
✓ [op.ext.4] Interconexión de sistemas desde categoría MEDIA.
✓ [op.nub] medida para sistemas que suministran servicios en la nube
a los organismos del sector público para todos los niveles y categorías.
✓ [op.cont.4] Medios alternativos. Para nivel ALTO. Aúna todas las
referencias que se hacían a medios, instalaciones y personal alternativo.
✓ [op.mon.3] Vigilancia. Aplica a todas las categorías.
✓ [mp.eq.4] Otros dispositivos conectados a la red. Aplica a todas las
categorías.
✓ [mp.s.3] Protección de la navegación web. Aplica a todas las
categorías y se refuerza incluyendo la monitorización para categoría
ALTA.
9
14
89
7
35
0
5
10
15
20
25
30
35
40
Se incrementa considerablemente laexigencia
Se incrementa levemente la exigencia
Se ha simplificado
Se ha eliminado
Nueva medida
Se mantiene como estaba
Resumen de modificaciones del ANEXO II
Medidas de protección. Nuevo sistema de codificación
▪ Más moderno
▪ Más adecuado, para facilitar de manera proporcionada la
seguridad de los sistemas de información, su implantación
y su auditoría
▪ Medidas del Anexo II
o Se han codificado los requisitos de las medidas
o Se han organizado de la siguiente forma:
❖ Requisitos base
❖ Posibles refuerzos de seguridad (R), alineados con
el nivel de seguridad perseguido, que se suman (+)
a los requisitos base de la medida, pero que no
siempre son incrementales entre sí; de forma que,
en ciertos casos, se puede elegir entre aplicar un
refuerzo u otro.
(Sometido a cambios)
Instalaciones e Infraestructuras (7)Gestión del personal (4)Protección de los equipos (4)Protección de las comunicaciones (4)Protección de los soportes de información (5)Protección de aplicaciones informáticas (2)Protección de la información (6)Protección de los servicios (4)
Planificación (5)Control de acceso (6)
Explotación (10)Servicios externos (4)
Servicios en la nube (4)Continuidad del servicio (4)
Monitorización del sistema (3)
Política de seguridadNormativa de seguridadProcedimientos de seguridadProceso de autorización
Índice
¿Qué está pasando?
Actualización del ENS. Objetivos
Actualización del ENS. Medidas
Retos y conclusiones
Photo by ThisisEngineering RAEng on Unsplash
12
34
Implantar el Centro de Operaciones de Ciberseguridad de la AGE y sus OO.PP.
Reforzar las herramientas del CCN-CERT, de interés
para el COCS
Photo by Hack Capital on Unsplash
Qué esperamos por vuestra parte
1. Que seáis partícipes y agentes de la ciberseguridad,
para contribuir a la defensa frente a las ciberamenazas.
2. Si trabajáis para el Sector Público (directa o indirectamente
como proveedor), vuestra colaboración para la plena
aplicación del ENS.
3. Si trabajáis para la AGE, vuestra colaboración en la
implantación del Centro de Operaciones de
Ciberseguridad de la AGE y sus OO.PP.
¿ ?
Más información Correo-e: [email protected]
Muchas gracias