esquema nacional de la seguridad rsa, la división de ... · real decreto 3/2010 “el real decreto...
TRANSCRIPT
Esquema Nacional de la Seguridad
RSA, la División de Seguridad de EMC
Real Decreto 3/2010
“El Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.”
“Su ámbito de aplicación es el establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.”
ENS: Plazos de aplicación
Primer plazo: 30 de Enero de 2011
Si no se puede implantar hay que desarrollar un Plan de Adecuación antes del 30 de Enero de 2011
Implantación final: 30 de Enero de 2014
Principios Básicos
Seguridad integral
Gestión seguridad
basada en el riesgo
Prevención reacción y
recuperaciónLíneas de defensa
Reevaluación periódica
Función diferenciada de Seguridad
Requisitos Mínimos
• Organización e implantación del proceso de seguridad• Análisis y gestión de los riesgos
Análisis
• Gestión de personal• Profesionalidad• Autorización y control de los accesos• Protección de las instalaciones
Control Físico
• Adquisición de productos• Seguridad por defecto• Integridad y actualización del sistema• Protección de la información almacenada y en tránsito• Prevención ante otros sistemas de información interconectados• Registro de actividad
Control Funcional
• Incidentes de seguridad• Continuidad de la actividad• Mejora continúa del proceso de seguridad
Gestión y Mejora Continua
Proceso Continuo
Análisis Selección de procesos Identificación Activos
Categorización BÁSICO/MEDIO/ALTO
Selección de Medidas
Auditoria
Plan de Implantación
Revisión Actualización Mejora
Para cubrir todos estos principio se necesita una gestión integral y continua de los distintos factores de la seguridad:
PolíticasRiesgosIncidentesControles técnicosControl de PersonalControl de ProveedoresDisponibilidad de los procesosGestión de la Auditoría
Los proveedores de seguridad hemos estado ofreciendo soluciones completas para reducir el coste de la gestión y control de todo el proceso mediante eGRC
Principios de gestión del ENS
Enterprise Governance, Risk and Compliance
Corporativa: se aplica a todos los departamentos y procesos de la entidad
Gobierno: es la cultura, políticas, procesos, leyes e instituciones que definen la estructura que dirige y gestiona una entidad.
Riesgo: es el efecto de lo incierto en los objetivos de la entidad; la gestión del riesgo son las actividades dirigidas a controlar la organización en la realización de sus actividades mientras se gestionan el impacto de los eventos negativos.
Cumplimiento: es el acto de adhesión a, y ser capaz de demostrar la adhesión a, leyes y reglamentos externos, así como las políticas y procedimientos internos.
Introducción al eGRC
Administración del cumplimiento de normas
Documente su marco de trabajo de control, evalúe la eficacia operacional y del diseño,
y responda a los problemas de cumplimiento de regulaciones y políticas.
Administración de políticasAdministre políticas de manera centralizada,
asócielas con los objetivos y las pautas, y promueva el conocimiento para apoyar
una cultura de gobierno corporativo.
Administración de amenazasRastree las amenazas mediante
un sistema centralizado de advertencias prematuras que ayuda
a prevenir los ataques antes de que afecten a la empresa.
Administración empresarialAdministre las relaciones y las dependencias
dentro de su jerarquía y su infraestructura empresariales para soportar las iniciativas de GRC.
Administración de riesgosIdentifique los riesgos de su negocio, evalúelos
mediante estudios y métricas en línea, y responda mediante corrección o aceptación.
Administración de incidentesInforme los incidentes y las violaciones éticas,
administre su escalación, rastree las investigaciones y analice las resoluciones.
Administración de continuidad del negocio
Automatice el enfoque para la continuidad del negocio y la planificación de la
recuperación de desastres, y permita una administración rápida y efectiva de las crisis mediante una solución
centralizada.
Administración de auditoríasAdministre de manera centralizada la
planificación, la priorización, la dotación de personal, los procedimientos y la
creación de informes para auditorías a fin de mejorar la colaboración y la eficiencia.
Administración de proveedoresCentralice los datos de los proveedores,
administre las relaciones, evalúe el riesgo de los proveedores y garantice el
cumplimiento de normas para sus políticas y controles.
RSA Archer eGRC
OBJETIVOS CORPORATIVOS
Definir Política
Mapear los Controles
Evaluar Riesgos
AñadirContexto
Monitorizar | Auditar | Informar
Correlar
Recolectar
Gestionar Monitorizar
Detectar Aplicar
IDENTIDADES INFRASTRUCTURA INFORMACIÓN
Gestión de Gobierno, Riesgos y Cumplimiento
Modelo de Gestión Integral mediante eGRC
La visión de RSA para la gestión integral de la seguridad
AVAuth
WAF DLP
ADWLAN
EP
URL
FW
IPS
Data Enhancement
Even
t Agg
rega
tion
LocationIdentity
Division
Departm
ent
Data
Asset Value
Geo Info
Regulation C
IRT
SOC
Investigations
Threats
Incidents
Policies
Archer
HR
Legal
Eng.Business Reporting
enVision
Artículo 5. La seguridad como un proceso integral.
Artículo 6. Gestión de la seguridad basada en los riesgos
Artículo 7. Prevención, reacción y recuperación
Artículo 9. Reevaluación periódica
Artículo 13. Análisis y gestión de los riesgos
Artículo 14. Gestión de personal
Artículo 18. Adquisición de productos de seguridad
Artículo 24. Incidentes de seguridad (Registro)
Artículo 34. Auditoría de la seguridad
Artículo 35. Informe del estado de la seguridad
Cobertura de Gestión del ENS con eGRC
Reducción de CostesReducción de costes de gestión operativa de la seguridad en cada proceso bajo control, automatización de los puntos de controlReducción de tiempos para la obtención de los informes del estado de la seguridad (Art. 35)Reducción de costes de preparación de auditorías (Art. 34)
Mejora de la VisibilidadVer en cada momento el nivel de adecuación al ENSVisibilidad global de los incidentes y su impacto en el cumplimiento (Art. 24)
Facilita la Adecuación al ModeloGestión de la seguridad basada en los riesgos y su gestión (Art. 6, Art. 13)Aplicación de manera integral (Art. 5)
Ventajas Principales de Gestión del ENS mediante eGRC
El ENS requiere una extensión de la gestión de la seguridad:Aplicación de la seguridad de manera integral a todos los serviciosUna gestión de la seguridad basada en los riesgos, su definición y control y el impacto en las políticas de la entidadLa supervisión, no solo de los sistemas y comunicaciones, sino también de las personas y proveedores
El modelo de gestión de la seguridad mediante herramientas de eGRC facilita la adecuación del ENS:
Reduciendo los costes de cumplimientoMejorando la visibilidad de la seguridadFacilitando la adecuación al modelo desde el principio del proceso
Conclusiones
GRACIAS!