Esquema Nacional de la Seguridad

RSA, la División de Seguridad de EMC

Real Decreto 3/2010

“El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.”

“Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.”

ENS: Plazos de aplicación

Primer plazo: 30 de Enero de 2011

Si no se puede implantar hay que desarrollar un Plan de Adecuación antes del 30 de Enero de 2011

Implantación final: 30 de Enero de 2014

Principios Básicos

Seguridad integral

Gestión seguridad

basada en el riesgo

Prevención reacción y

recuperaciónLíneas de defensa

Reevaluación periódica

Función diferenciada de Seguridad

Requisitos Mínimos

• Organización e implantación del proceso de seguridad• Análisis y gestión de los riesgos

Análisis

• Gestión de personal• Profesionalidad• Autorización y control de los accesos• Protección de las instalaciones

Control Físico

• Adquisición de productos• Seguridad por defecto• Integridad y actualización del sistema• Protección de la información almacenada y en tránsito• Prevención ante otros sistemas de información interconectados• Registro de actividad

Control Funcional

• Incidentes de seguridad• Continuidad de la actividad• Mejora continúa del proceso de seguridad

Gestión y Mejora Continua

Proceso Continuo

Análisis Selección de procesos Identificación Activos

Categorización BÁSICO/MEDIO/ALTO

Selección de Medidas

Auditoria

Plan de Implantación

Revisión Actualización Mejora

Para cubrir todos estos principio se necesita una gestión integral y continua de los distintos factores de la seguridad:

PolíticasRiesgosIncidentesControles técnicosControl de PersonalControl de ProveedoresDisponibilidad de los procesosGestión de la Auditoría

Los proveedores de seguridad hemos estado ofreciendo soluciones completas para reducir el coste de la gestión y control de todo el proceso mediante eGRC

Principios de gestión del ENS

Enterprise Governance, Risk and Compliance

Corporativa: se aplica a todos los departamentos y procesos de la entidad

Gobierno: es la cultura, políticas, procesos, leyes e instituciones que definen la estructura que dirige y gestiona una entidad.

Riesgo: es el efecto de lo incierto en los objetivos de la entidad; la gestión del riesgo son las actividades dirigidas a controlar la organización en la realización de sus actividades mientras se gestionan el impacto de los eventos negativos.

Cumplimiento: es el acto de adhesión a, y ser capaz de demostrar la adhesión a, leyes y reglamentos externos, así como las políticas y procedimientos internos.

Introducción al eGRC

Administración del cumplimiento de normas

Documente su marco de trabajo de control, evalúe la eficacia operacional y del diseño,

y responda a los problemas de cumplimiento de regulaciones y políticas.

Administración de políticasAdministre políticas de manera centralizada,

asócielas con los objetivos y las pautas, y promueva el conocimiento para apoyar

una cultura de gobierno corporativo.

Administración de amenazasRastree las amenazas mediante

un sistema centralizado de advertencias prematuras que ayuda

a prevenir los ataques antes de que afecten a la empresa.

Administración empresarialAdministre las relaciones y las dependencias

dentro de su jerarquía y su infraestructura empresariales para soportar las iniciativas de GRC.

Administración de riesgosIdentifique los riesgos de su negocio, evalúelos

mediante estudios y métricas en línea, y responda mediante corrección o aceptación.

Administración de incidentesInforme los incidentes y las violaciones éticas,

administre su escalación, rastree las investigaciones y analice las resoluciones.

Administración de continuidad del negocio

Automatice el enfoque para la continuidad del negocio y la planificación de la

recuperación de desastres, y permita una administración rápida y efectiva de las crisis mediante una solución

centralizada.

Administración de auditoríasAdministre de manera centralizada la

planificación, la priorización, la dotación de personal, los procedimientos y la

creación de informes para auditorías a fin de mejorar la colaboración y la eficiencia.

Administración de proveedoresCentralice los datos de los proveedores,

administre las relaciones, evalúe el riesgo de los proveedores y garantice el

cumplimiento de normas para sus políticas y controles.

RSA Archer eGRC

OBJETIVOS CORPORATIVOS

Definir Política

Mapear los Controles

Evaluar Riesgos

AñadirContexto

Monitorizar | Auditar | Informar

Correlar

Recolectar

Gestionar Monitorizar

Detectar Aplicar

IDENTIDADES INFRASTRUCTURA INFORMACIÓN

Gestión de Gobierno, Riesgos y Cumplimiento

Modelo de Gestión Integral mediante eGRC

La visión de RSA para la gestión integral de la seguridad

AVAuth

WAF DLP

ADWLAN

EP

URL

FW

IPS

Data Enhancement

Even

t Agg

rega

tion

LocationIdentity

Division

Departm

ent

Data

Asset Value

Geo Info

Regulation C

IRT

SOC

Investigations

Threats

Incidents

Policies

Archer

HR

Legal

Eng.Business Reporting

enVision

Artículo 5. La seguridad como un proceso integral.

Artículo 6. Gestión de la seguridad basada en los riesgos

Artículo 7. Prevención, reacción y recuperación

Artículo 9. Reevaluación periódica

Artículo 13. Análisis y gestión de los riesgos

Artículo 14. Gestión de personal

Artículo 18. Adquisición de productos de seguridad

Artículo 24. Incidentes de seguridad (Registro)

Artículo 34. Auditoría de la seguridad

Artículo 35. Informe del estado de la seguridad

Cobertura de Gestión del ENS con eGRC

Reducción de CostesReducción de costes de gestión operativa de la seguridad en cada proceso bajo control, automatización de los puntos de controlReducción de tiempos para la obtención de los informes del estado de la seguridad (Art. 35)Reducción de costes de preparación de auditorías (Art. 34)

Mejora de la VisibilidadVer en cada momento el nivel de adecuación al ENSVisibilidad global de los incidentes y su impacto en el cumplimiento (Art. 24)

Facilita la Adecuación al ModeloGestión de la seguridad basada en los riesgos y su gestión (Art. 6, Art. 13)Aplicación de manera integral (Art. 5)

Ventajas Principales de Gestión del ENS mediante eGRC

El ENS requiere una extensión de la gestión de la seguridad:Aplicación de la seguridad de manera integral a todos los serviciosUna gestión de la seguridad basada en los riesgos, su definición y control y el impacto en las políticas de la entidadLa supervisión, no solo de los sistemas y comunicaciones, sino también de las personas y proveedores

El modelo de gestión de la seguridad mediante herramientas de eGRC facilita la adecuación del ENS:

Reduciendo los costes de cumplimientoMejorando la visibilidad de la seguridadFacilitando la adecuación al modelo desde el principio del proceso

Conclusiones

GRACIAS!