Noticias » Otras Tecnologías: Ciberseguridad » TODOS

ISACA Madrid analiza los 10 años del Esquema Nacional de Seguridad

Debate organizado el 30/1/20 en Madrid

ISACA Madrid analiza los 10 años del Esquema Nacional de Seguridad
Por Redacción ERP-Spain.com
Actualizado el 4 de febrero, 2020 - 12.11hs.
Disminuir tamaño de letra Aumentar tamaño de letra

El capítulo Madrid de ISACA, antes conocida como Asociación Internacional de Auditoría y Control de Sistemas, celebró el pasado jueves 30/1/20 un debate en Madrid con motivo de los 10 años de la puesta en marcha del Esquema Nacional de Seguridad en España.

“La Administración no es ajena a la transformación digital que experimenta nuestra sociedad. El legislador ya ha contemplado en las leyes administrativas que la tramitación electrónica debe ser el funcionamiento habitual de la Administración, sin papel, y con un funcionamiento electrónico de extremo a extremo”.  Así arrancó su exposición Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaría General de la Administración Digital, en la jornada organizada por ISACA Madrid y dedicada a los 10 años de aprobación del Esquema Nacional de Seguridad (ENS).

La transformación digital acrecienta el riesgo a la exposición a las ciberamenazas, "por lo que la ciberseguridad debe ser un ingrediente que el legislador no ha olvidado; lo incluyó como un principio de actuación de la Administración junto con el derecho que tenemos los ciudadanos a la seguridad y confidencialidad de nuestros datos en sus sistemas, ficheros y aplicaciones" aseguró Amutio.

Este experto de la Administración del Estado en la materia realizó un análisis de todo lo que está haciendo la Administración para implantar el ENS que, según explicó, responde a tres pilares; marco legal que proporciona la seguridad jurídica, la cooperación y la gobernanza que son esenciales, y los servicios que proporcionan la realidad práctica.
 
Nuestro marco legal es el siguiente: la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad (ENS) que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos.
 
En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.
 
Según explicó Amutio, en otros países no terminan de tener todo el marco de la protección y de los servicios del sector público anclado en la legislación convenientemente. En España, sin embargo, está hecho a medida de las entidades públicas, con todo el instrumento legislativo descrito, un Real Decreto de calado y con grandes objetivos. Estos tratan de garantizar derechos y deberes, calar en las instituciones para que haya una gestión continuada de la seguridad y aportan elementos comunes para compartir. Se ha llegado a ello con la participación de todos,  pero con el liderazgo de la Secretaría General de Administración Digital en colaboración con el Centro Criptológico Nacional y con expertos que colaboran con ambas organizaciones.
 
Así, describió avances en detalle, como que la norma de 2015 recoge las instrucciones técnicas de seguridad por una petición de la comunidad de usuarios del sistema de seguridad nacional que nos pidieron concreción en cómo debía informar, realzar auditorías y cómo realizaban la conformidad o notificaban los incidentes.
 
Para Amutio, el ENS recoge principios básicos,  requisitos mínimos, categorización de los sistemas para la adopción de medidas de seguridad proporcionadas, auditoría de la seguridad que verifique su cumplimiento, uso de infraestructuras y servicios comunes, el uso de productos certificados y el papel del Organismo de Certificación-CCN como organismo certificador, la respuesta a incidentes de seguridad, las necesidades de formación y concienciación y la conformidad de ENS. Es decir, que con él las entidades tengan esa política de seguridad formalmente adoptada, teniendo en cuenta la importancia de lo que se está manejando en ella, el análisis de riesgos y la protección de datos. 
 
 
El CN-CERT ha realizado ya cinco ediciones del informe de situación del cumplimiento, el Informe Nacional del Estado de Seguridad (INES).En el que se ha publicado en 2018 han participado 778 entidades públicas, y ya hay 1045 registrando datos para la sexta campaña "que nos permite tener un conocimiento del estado y movernos según los puntos fuertes y los débiles" de la ciberseguridad de las instituciones públicas, según Amutio.
 
Las entidades que gobiernan, desde el ENS, el CCN y la Secretaría General De Administración Digital (SGAD) han "desplegado con la colaboración de la Entidad Nacional de Acreditación (ENAD) un esquema de certificación con la norma ENS con independencia, unas reglas del juego , unos árbitros, etc, para las entidades que quieren certificar y se acreditan para ello. Ya tenemos unas 7 que pueden ofrecer sus servicios al colectivo de entidades interesadas, tanto del sector público como del privado (más de 170)", explicó.
 
Para este experto de la Administración, en estos 10 años cumplidos "hemos sido pioneros; posteriormente ha llegado toda la legislación de protección de infraestructuras críticas, el Reglamento de Identidad Electrónica y Servicios de Confianza, el RGPD, la directiva NIS, la Ley Orgánica... lo que nos ha permitido adquirir un bagaje en cuatro planos; el del marco normativo, se ha desarrollado el plan de soporte a demanda de los profesionales, tenemos el plano de la conformidad, el Consejo de Certificación del ENS y el plano de monitorización, con datos de cómo está la ciberseguridad de las instituciones del Estado.
 
Se sigue trabajando en alinear el texto con el marco legal actual y el contexto estratégico, para facilitar la ciberseguridad en la administración, actualizarlo para responder a las tendencias en cuanto a vulnerabilidades y amenazas, para lo que se debe incorporar nociones como la vigilancia activa, etc, y en  flexibilizar la aplicación normativa para facilitar su implementación sobre todo en administraciones locales y entidades en la nube. Los responsables de ENS quieren que esas precisiones en el texto estén codificadas, para que no sean cuestiones interpretables o ambiguas. 
 
SITEL, un sistema con pies de plomo
 
El capitán de la Guardia Civil responsable del  Grupo de Interceptación de Comunicaciones del cuerpo,  Luis I. Elvira Lavilla, explicó el funcionamiento del Sistema de Interceptación del Sistema de Telecomunicaciones SITEL, que funciona desde el año 2004 "lo que nos ha condicionado mucho, porque aún funcionamos con tecnología del año 2000 que se tiene que adaptar a las diferentes regulaciones. Tras el nacimiento del ENS en 2010, en el 2012 vimos la necesidad de cambiar nuestros sistemas para adaptarnos a la evolución tecnológica y las nuevas obligaciones".
 
Lavilla describió la complejidad del  trabajo con el sistema de interceptación legal de las comunicaciones  porque "tiene grandes complejidades, pues no es un sistema de almacenamiento, ni de reparto, ni de recuperación de información;  es todo eso y más.  La normativa legal nos impone un marco cerrado y estricto de funcionamiento. El propietario de la información son los jueces y tribunales y no la Guardia Civil. Nosotros somos agentes facultados, pero tenemos a los agentes proveedores de tecnología que nos condicionan, al igual que otros ministerios y la norma ENS. Incluso, estamos condicionados por la opinión pública, tanto como sufridora, como beneficiaria del sistema".
 
La misión de SITEL es facilitar, proteger y poner al servicio de las unidades de investigación y de la autoridad judicial los datos del servicio de interceptación de telecomunicaciones, cuyo secreto es un derecho fundamental de los ciudadanos. Nuestra visión era establecer un sistema seguro que proteja todos los sistemas de comunicación, incluso para que no se mezcle ni se use de manera general.
 
A la hora de renovar los sistemas de interceptación, en 2012, el Cuerpo vio la obligación de implantar el ENS para asegurar la autenticidad, integridad, disponibilidad, confidencialidad, trazabilidad y conservación adecuada de los datos tratados, entre otras motivaciones. "Lo que nosotros interceptamos es una prueba en un proceso penal, que es algo muy serio", aseveró Lavilla.
 
Al adecuar el sistema a los nuevos tiempos y situaciones, ante la falta de personal suficientemente  especializado, y en paralelo con la Policía Nacional y la Secretaría de Estado de Seguridad, surgió la necesidad de contar con personal externo, otro elemento perturbador de la seguridad de la información, para mantener el sistema en el marco legal y actualizado. Para implantar el ENS se tuvo que recurrir a una consultoría.
 
El marco legal en el que se debe mover el trabajo de interceptación de la Guardia Civil es la Ley de Enjuiciamiento Criminal que establece qué, quién y cómo se accede a la información y cuándo y cómo se informa o acceden a ella los jueces, las defensas, etc.
 
Otro marco legal que les afecta es la  Ley Orgánica 15/99 de Protección de Datos, ya modificada con el EGPD y LOPD-GDD. La misma Agencia Española de Protección de Datos (AEPD) en el año 2010 procedió a realizar una auditoría de los sistemas SITEL, quien determinó que no afecta al derecho a la intimidad ni está sometido al derecho de acceso, rectificación, etc. El propio hecho de dictar una orden de interceptación ya se incluye dentro del sistema de Secreto de Sumario.
 
También están sometidos a las rígidas limitaciones de la Ley General de Telecomunicaciones, la Ley de Conservación de Datos de las Comunicaciones y por el Real decreto 3/2010 del ENS y a una numerosa regulación administrativa de órdenes ministeriales, reglamentos e instrucciones técnicas que dan forma a la hora de comunicarnos con operadoras, jueces, etc. Su objetivo ha sido certificar SITEL en el ENS, en la ISO 27001 y la UNE 71505 de evidencia digital. Están todavía en proceso de certificación de estas normativas y en la actualidad pasan una auditoría cada dos años.
 
A la hora de establecer el Sistema de Gestión de la seguridad de la Información (SGSI) en el Cuerpo, "lo que más quebraderos de cabeza nos ha dado fue la estructura documental, es decir, poner en papel toda la cultura de seguridad de nuestras unidades" destacó E. Lavilla
 
Así, en la Guardia Civil, al no existir un órgano centralizado que puede acceder y gestionar toda esa información, de la que los verdaderos dueños son los jueces, se han establecido los roles y responsabilidades de estas normas recayendo en el jefe de la Jefatura de Información el rol de responsable de la información. El responsable del servicio lo asumió al Comité de Seguridad de la Información. El responsable de la seguridad, el Coronel Luis Fernández, auditor y responsable de ciberseguridad de toda la unidad. Sin embargo, todo ello está delegado en el Jefe del Grupo de Interceptación de las Comunicaciones.  El responsable del sistema: recayó sobre el propio jefe técnico de SITEL.
 
Entre los problemas con los que se han encontrado han sido los derivados de políticas presupuestarias, los derivados de la coexistencia con sistemas antiguos, como la falta de adaptación a la doble autenticación, por ejemplo, o sistemas operativos obsoletos, y también los derivados de las infraestructuras de puesta en marcha del sistema cuyos proveedores extranjeros, (israelí, italiano y danés) cada uno con su manera de ver la seguridad. La realización de pruebas y configuración de usuarios máquinas y la política de las contraseñas, por ejemplo, fue una de las complejidades con las que se encontraron.
 
Sin embargo, la Guardia Civil, tras pasar su propia auditoría interna, ha pasado la auditoria de AENOR y ha obtenido su certificación ENS.
 
Menú saludable para responsable de seguridad: cómo digerir el ENS
El Jefe de Proyecto de Sistemas Informáticos en la Intervención General de la Administración del Estado, Guillermo Obispo, activista en Protaapp (Asociación de empleados públicos que protege a la Administración Pública) explicó de manera cercana, mediante una comparación con la pirámide alimenticia, cómo deben proceder los gestores de una organización con responsabilidades en datos y seguridad.
 
Según Obispo, "quien más quien menos se ha "comido" una incidencia de seguridad. Se requiere hacer las cosas de manera equilibrada... como si fuera un menú. Hay 75 controles que el ENS tiene y hay que cumplir. Como si fuera pirámide alimenticia, lo primero serían los cereales e carbohidratos, es decir, hay que cuidarse y realizar la debida planificación, reunión de equipos y gestión de proyectos, y establecer una metodología".
 
En según lugar, Obispo continuó con la simulación alimenticia y puso en segundo lugar como base de actuación los vegetales para hacer crecimiento un organismo, que trasladado al ENS sería el establecimiento de planes de formación y la concienciación, el cumplimiento normativo y complementar al Delegado de Protección de Datos (DPD).
 
El tercer paso serían las frutas, es decir, prevenir el envejecimiento. La investigación  mediante nuevos desarrollos y tecnologías, con el apoyo desde el área de calidad. En cuarto lugar las proteínas que van directas al músculo,  lo que ofrece la consultoría interna, la revisión de logs, revisión de navegación, los accesos, y las copias de seguridad. "Hay que dedicarle tiempo a esto", insistió.
Obispo comparó la infraestructura, el parcheo, el inventario TI y la monitorización de actividades y activos (personas, etc) con el quinto nivel; los lácteos que sirven para reforzar el esqueleto, y en sexto lugar puso los lípidos que engrasan un organismo, es decir, la actividad post-incidente, los informes periódicos, como el referido INES y otros que sirven para obtener información y conseguir coordinación.
 
A modo de recopilación Guillermo Obispo explicó que la manera de organizar todo esto para que funcione es teniendo en cuenta tres aspectos: los activos que forman los sistemas (como la condición física de un cuerpo), la categoría del sistema (el consumo energético que se necesita) las decisiones que se toman para gestionar los riesgos y hacer las cosas según ellas (qué tipo de comida puedo comer por alergias, enfermedades y otros ponderables. Su recomendación es hacer un menú semanal; es decir, las cosas que hay que hacer según un calendario y una planificación. Y aun así siempre es muy importante pasar un "reconocimiento", es decir, pasar las correspondientes auditorías.
 
Para finalizar la jornada Antonio Ramos, CIO de Leet Security y  Rogelio Saavedra, auditor Jefe de la firma explicaron a través de su especialidad  como proveedores de servicios su experiencia profesional como entidad auditora, por lo que recomendaron leer atentamente el ENS, es decir, la norma, centrarse en las evidencias,  mostrarlas cómo son y cómo se solicitan. Como profesionales certificadores recomiendan la auditoría interna, una revisión que para comprobar que se cumple el ESN, o realizar una consultoría externa y no confiarse si se cuenta ya con un SGSI o el ISO27001.
ISACA Madrid
 
El capítulo de Madrid de ISACA es una asociación sin ánimo de lucro con más de 1.200 asociados, que en 2017 celebró su 30º aniversario. Estamos orgullosos de poder llamarnos el grupo de profesionales más representativo en esta materia. El Capítulo realiza actividades de difusión, concienciación y formación, mediante conferencias, congresos anuales, boletines para sus asociados y cursos de formación para contribuir a la misión de ISACA.
 
Por tamaño, somos el 5º capítulo más grande de Europa, y colaboramos estrechamente con los capítulos de Barcelona y Valencia, así como con los de Latino América. Asimismo, existe una muy buena relación con los otros capítulos de Europa. Trabajamos juntos bajo el lema "We Are One".
 
ISACA Internacional
 
ISACA ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de más de 135.000 profesionales en 188 países.
 
ISACA promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) y Certified in Risk and Information Systems Control (CRISC). ISACA también ofrece Cybersecurity Nexus (CSX), un recurso integral y global en ciberseguridad, y COBIT, un marco de negocio para gobernar la tecnología de la empresa. La asociación tiene 217 capítulos en todo el mundo.

También puede interesarte »

Ver más »

Más Secciones »

Contáctanos  |  Siguenos en: Sigue a IT-Spain.net en Twitter Sigue a IT-Spain.net en Facebook Sigue a IT-Spain.net en YouTube Sigue a IT-Spain.net en LinkedIn
Hola Invitado
Identifícate o regístrate