Agenda Digital Europea

Estrategia Europea de Ciberseguridad

Martes, 24 de mayo de 2016

9:30h. a 14:00h.

#cibereuropa

El responsable de seguridad en la Administración General del Estado

Miguel Ángel Rodríguez Ramos | Ministerio de Industria, Energía y Turismo

Who am I

#ASTIC #minetur

@marodriguezz

#podcast

#cybersecurity

#eGov#BigData

#TIC

#hacking#pmi

#IoT

#SocialNetworks#digital

#nba

#nfl

#innova

#changeagent#itil

#kanban

El mundo ha cambiado

Ciberguerra +100 países

Era post-Snowden

El atacante es una industria o Estado. APTs

Leaks - PANAMÁ papers = 1500 x WikiLeaks

Cibercrimen: Industria de $ 445 billones

Ransomware $ 325 millones

Banca Bangladesh $ 80 millones Ecuador $ 10 millones

Secuestros de HOSPITALES (California).

España cambia

Plan de Transformación Digital (sociedad, industria, AAPP).

Convergencia del mundo tradicional y el ciberespacio.

La información como activo de las organizaciones. Big Data.

Todo conectado. Internet de las cosas, cloud y movilidad.

El "Gran Hermano" judicial por el que han denunciado a España en la UE - El Confidencial – Mayo 2016

Un virus 'ransomware' inutiliza nueve áreas del Ministerio del Interior una semana – El Confidencial – Mayo 2016.

La Fiscalía pide prisión para tres miembros del colectivo Anonymous – El Mundo – Mayo 2016.

La industria de la ciberseguridad

533 empresas que dan empleo a 5.808 personas.

Facturación de 600 millones de euros.

En 2019 los 1.000 millones de euros de gasto en ciberseguridad

Aumento de incidentes en empresas 200%.

Aumento de incidentes en ciudadanos 80%

CARACTERIZACIÓN DEL SUBSECTOR Y EL MERCADO DE LA CIBERSEGURIDAD 2015

Evolución2014-2017

Evolución 2014-2019

UK 38 % 64 %

Europa 32 % 53 %

España 22 % 36 %

Cumplimiento normativo: legislación / normativa

Información

Directiva NIS

Ciberseguridad Nacional

Código penal

Enjuiciamiento criminal

Leyes sectoriales

Secretos Oficiales

… …

Transparencia

PCI-DSS

ISO 27001

ENS

LOPD DPO

Ciberseguridad nacional: roles

CORA – Reforma de las AAPP

Clasificación de activos

Infraestructuras comunes.

Herramientas de productividad y puesto de trabajo.

Aplicaciones comunes.

Infraestructuras sectoriales.

Aplicaciones sectoriales.

Líneas de actuación

Gobernanza: CIO para la AGE – Agencia de Servicios comunes TIC.

Consolidación de infraestructuras comunes: comunicaciones y CPDs.

Consolidación de las herramientas de productividad y puestos de trabajo.

Consolidación de módulos comunes de administración electrónica.

Mecanismos de incremento de la eficiencia en los desarrollos sectoriales TIC.

Presupuestos TIC AGE 2006-2015

Evolución del presupuesto en millones de euros

Plan de Transformación Digital AGE

Estrategia TIC 2015-2020

Modelo de gobernanza (DTIC + CMADs).

Dirección de Tecnologías de Información y Comunicaciones – Servicios compartidos

Comisiones Ministeriales de Administración Digital – Planes de acción sectoriales.

Sin incremento de los créditos ya disponibles.

Objetivo Estratégico V - Estrategia corporativa de seguridad y usabilidad

Línea de acción 9 - Garantizar la seguridad de los sistemas

Leyes 39 y 40

Cuerpo normativo unificado de lo Administrativo y de lo Digital.

Ley de Procedimiento Administrativo Común (Ley 39/2015).

Ley de Régimen Jurídico (Ley 40/2015).

Catálogo de servicios compartidos

Servicio unificado de telecomunicaciones

Servicio de seguridad gestionada

Servicio de alojamiento de infraestructuras TIC

Servicio de nube híbrida (Nube SARA)

Servicio de correo electrónico unificado

Servicio multicanal de atención al ciudadano

Servicio de gestión del registro

Servicio de gestión de notificaciones

Servicio de gestión de nómina

Servicio integrado de gestión de personal

Servicio común de gestión económico-presupuestaria

Servicio de generación y validación de firmas electrónicas

Servicio de gestión de expediente y documento electrónico

Servicio de gestión de archivo electrónico

Medidas de ciberseguridad

Servicio de seguridad gestionada

Seguridad perimetral

Navegación segura

Correo seguro

Acceso remoto

Auditorías de vulnerabilidades

Línea de acción 9 - Garantizar la seguridad de los sistemas

Ampliación del alcance del ENS a todos los Sistemas de Información de las AA.PP

Informar sobre la disponibilidad de los servicios

Desarrollar una Política de Seguridad Común a toda la AGE

Implantar una plataforma común de seguridad gestionada que permita garantizar unos niveles mínimos y aceptables de seguridad para todos los organismos

Gasto en ciberseguridad AGE (I)

Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros

Inversión en hardware de seguridad y porcentaje de variación con respecto al año anterior, por Ministerios

Gasto en servicios de seguridad, por Ministerios

Gasto en ciberseguridad AGE (II)

Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros

Porcentajes de gasto en software, por tipología

Gasto en software de seguridad, por Ministerios

Hacktivismo Cibercrimen

EspionajeCiberyihadismo

ESTE TIPO DE ATAQUES CONTINUARÁ EN ASCENSO EN LOS PRÓXIMOS AÑOS, AL TIEMPO QUE LO HACE SU SOFISTICACIÓN Y PELIGROSIDAD.

ES DE ESPERAR CIBERATAQUES MÁS NUMEROSOS, MÁS SOFISTICADOS Y MÁS DESTRUCTIVOS EN LOS PRÓXIMOS AÑOS

NO SE PREVÉN ALTERACIONES SUSTANCIALES DEL COMPORTAMIENTO DE ESTOS ACTORES

LOS BENEFICIOS OBTENIDOS Y EL ACCESO CADA VEZ MÁS FÁCIL A LAS HERRAMIENTAS

DE PERPETRACIÓN DE ESTE TIPO DE ATAQUES PROPICIARÁ EL INCREMENTO DEL

NÚMERO DE CIBERDELINCUENTES

Ciberamenazas 2015 y tendencias 2016

Gobernanza seguridad AGE (I)

Se han analizado 16 Políticas de Seguridad de la Información.

2 Ministerios sin política publicada (pendiente analizar si está aprobada).

RD de estructura de los Ministerios:

1 mención a protección de datos (Sanidad).

31 % contemplan la seguridad o la ciberseguridad.

1 responsable de seguridad no TIC – MCCD en el Ministerio de Defensa.

La mayoría de las PSIs definen una estructura de comités y grupos de trabajo y, finalmente, la responsabilidad recae en la unidad TIC.

Se aprecia especial sensibilidad por la seguridad en Defensa, Exteriores, Agencia Tributaria y Sanidad.

El Ministerio de Sanidad asume el cumplimiento de la ISO 27001.

Gobernanza seguridad AGE (II)

Competencias de las unidades TIC

TIC

Administración Electrónica

Coordinación

Planes

Telecomunicaciones, voz y datos

Portales

Intranet

Red

Desarrollo

Mantenimiento de contenidos

Asesoramiento y asistencia

Telefonía

Programación

Conservación de equipos

Recuperación de los servicios informáticos

Redes sociales

Gobernanza seguridad AGE (III)

13 Ministerios + 80 Organismos Autónomos, Agencias y otros organismos

DTIC

Servicios compartidos

MIN

CMAD

SGTIC

OOAA

¿¿¿???

Descifrando …

¿Caracterización del subsector y el mercado de la ciberseguridad 2015 (ONTSI - INCIBE)

Ciberamenazas 2015 y tendencias 2016 (CCN-CERT)

Estrategia de Ciberseguridad Nacional

Informe CORA

Plan de Transformación Digital de la Administración General del Estado (estrategia TIC)

Organización e instrumentos operativos de las TIC en la AGE y sus Organismos Públicos

Informe IRIA 2015

Presupuestos TIC de la Administración del Estado (2015)

Cyber Threat Alliance

The Global State of Information Security Survey 2016 (PWC)

State of Cybersecurity: Implications for 2016 (ISACA - RSA)

Referencias

Muchas gracias@marodriguezz

https://www.linkedin.com/in/miguelangelrodriguezz