el responsable de seguridad en la administración general del estado
TRANSCRIPT
Agenda Digital Europea
Estrategia Europea de Ciberseguridad
Martes, 24 de mayo de 2016
9:30h. a 14:00h.
#cibereuropa
El responsable de seguridad en la Administración General del Estado
Miguel Ángel Rodríguez Ramos | Ministerio de Industria, Energía y Turismo
Who am I
#ASTIC #minetur
@marodriguezz
#podcast
#cybersecurity
#eGov#BigData
#TIC
#hacking#pmi
#IoT
#SocialNetworks#digital
#nba
#nfl
#innova
#changeagent#itil
#kanban
El mundo ha cambiado
Ciberguerra +100 países
Era post-Snowden
El atacante es una industria o Estado. APTs
Leaks - PANAMÁ papers = 1500 x WikiLeaks
Cibercrimen: Industria de $ 445 billones
Ransomware $ 325 millones
Banca Bangladesh $ 80 millones Ecuador $ 10 millones
Secuestros de HOSPITALES (California).
España cambia
Plan de Transformación Digital (sociedad, industria, AAPP).
Convergencia del mundo tradicional y el ciberespacio.
La información como activo de las organizaciones. Big Data.
Todo conectado. Internet de las cosas, cloud y movilidad.
El "Gran Hermano" judicial por el que han denunciado a España en la UE - El Confidencial – Mayo 2016
Un virus 'ransomware' inutiliza nueve áreas del Ministerio del Interior una semana – El Confidencial – Mayo 2016.
La Fiscalía pide prisión para tres miembros del colectivo Anonymous – El Mundo – Mayo 2016.
La industria de la ciberseguridad
533 empresas que dan empleo a 5.808 personas.
Facturación de 600 millones de euros.
En 2019 los 1.000 millones de euros de gasto en ciberseguridad
Aumento de incidentes en empresas 200%.
Aumento de incidentes en ciudadanos 80%
CARACTERIZACIÓN DEL SUBSECTOR Y EL MERCADO DE LA CIBERSEGURIDAD 2015
Evolución2014-2017
Evolución 2014-2019
UK 38 % 64 %
Europa 32 % 53 %
España 22 % 36 %
Cumplimiento normativo: legislación / normativa
Información
Directiva NIS
Ciberseguridad Nacional
Código penal
Enjuiciamiento criminal
Leyes sectoriales
Secretos Oficiales
… …
Transparencia
PCI-DSS
ISO 27001
ENS
LOPD DPO
Ciberseguridad nacional: roles
CORA – Reforma de las AAPP
Clasificación de activos
Infraestructuras comunes.
Herramientas de productividad y puesto de trabajo.
Aplicaciones comunes.
Infraestructuras sectoriales.
Aplicaciones sectoriales.
Líneas de actuación
Gobernanza: CIO para la AGE – Agencia de Servicios comunes TIC.
Consolidación de infraestructuras comunes: comunicaciones y CPDs.
Consolidación de las herramientas de productividad y puestos de trabajo.
Consolidación de módulos comunes de administración electrónica.
Mecanismos de incremento de la eficiencia en los desarrollos sectoriales TIC.
Presupuestos TIC AGE 2006-2015
Evolución del presupuesto en millones de euros
Plan de Transformación Digital AGE
Estrategia TIC 2015-2020
Modelo de gobernanza (DTIC + CMADs).
Dirección de Tecnologías de Información y Comunicaciones – Servicios compartidos
Comisiones Ministeriales de Administración Digital – Planes de acción sectoriales.
Sin incremento de los créditos ya disponibles.
Objetivo Estratégico V - Estrategia corporativa de seguridad y usabilidad
Línea de acción 9 - Garantizar la seguridad de los sistemas
Leyes 39 y 40
Cuerpo normativo unificado de lo Administrativo y de lo Digital.
Ley de Procedimiento Administrativo Común (Ley 39/2015).
Ley de Régimen Jurídico (Ley 40/2015).
Catálogo de servicios compartidos
Servicio unificado de telecomunicaciones
Servicio de seguridad gestionada
Servicio de alojamiento de infraestructuras TIC
Servicio de nube híbrida (Nube SARA)
Servicio de correo electrónico unificado
Servicio multicanal de atención al ciudadano
Servicio de gestión del registro
Servicio de gestión de notificaciones
Servicio de gestión de nómina
Servicio integrado de gestión de personal
Servicio común de gestión económico-presupuestaria
Servicio de generación y validación de firmas electrónicas
Servicio de gestión de expediente y documento electrónico
Servicio de gestión de archivo electrónico
Medidas de ciberseguridad
Servicio de seguridad gestionada
Seguridad perimetral
Navegación segura
Correo seguro
Acceso remoto
Auditorías de vulnerabilidades
Línea de acción 9 - Garantizar la seguridad de los sistemas
Ampliación del alcance del ENS a todos los Sistemas de Información de las AA.PP
Informar sobre la disponibilidad de los servicios
Desarrollar una Política de Seguridad Común a toda la AGE
Implantar una plataforma común de seguridad gestionada que permita garantizar unos niveles mínimos y aceptables de seguridad para todos los organismos
Gasto en ciberseguridad AGE (I)
Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros
Inversión en hardware de seguridad y porcentaje de variación con respecto al año anterior, por Ministerios
Gasto en servicios de seguridad, por Ministerios
Gasto en ciberseguridad AGE (II)
Fuente: Informe IRIA 2015, año 2014. Datos en miles de euros
Porcentajes de gasto en software, por tipología
Gasto en software de seguridad, por Ministerios
Hacktivismo Cibercrimen
EspionajeCiberyihadismo
ESTE TIPO DE ATAQUES CONTINUARÁ EN ASCENSO EN LOS PRÓXIMOS AÑOS, AL TIEMPO QUE LO HACE SU SOFISTICACIÓN Y PELIGROSIDAD.
ES DE ESPERAR CIBERATAQUES MÁS NUMEROSOS, MÁS SOFISTICADOS Y MÁS DESTRUCTIVOS EN LOS PRÓXIMOS AÑOS
NO SE PREVÉN ALTERACIONES SUSTANCIALES DEL COMPORTAMIENTO DE ESTOS ACTORES
LOS BENEFICIOS OBTENIDOS Y EL ACCESO CADA VEZ MÁS FÁCIL A LAS HERRAMIENTAS
DE PERPETRACIÓN DE ESTE TIPO DE ATAQUES PROPICIARÁ EL INCREMENTO DEL
NÚMERO DE CIBERDELINCUENTES
Ciberamenazas 2015 y tendencias 2016
Gobernanza seguridad AGE (I)
Se han analizado 16 Políticas de Seguridad de la Información.
2 Ministerios sin política publicada (pendiente analizar si está aprobada).
RD de estructura de los Ministerios:
1 mención a protección de datos (Sanidad).
31 % contemplan la seguridad o la ciberseguridad.
1 responsable de seguridad no TIC – MCCD en el Ministerio de Defensa.
La mayoría de las PSIs definen una estructura de comités y grupos de trabajo y, finalmente, la responsabilidad recae en la unidad TIC.
Se aprecia especial sensibilidad por la seguridad en Defensa, Exteriores, Agencia Tributaria y Sanidad.
El Ministerio de Sanidad asume el cumplimiento de la ISO 27001.
Gobernanza seguridad AGE (II)
Competencias de las unidades TIC
TIC
Administración Electrónica
Coordinación
Planes
Telecomunicaciones, voz y datos
Portales
Intranet
Red
Desarrollo
Mantenimiento de contenidos
Asesoramiento y asistencia
Telefonía
Programación
Conservación de equipos
Recuperación de los servicios informáticos
Redes sociales
Gobernanza seguridad AGE (III)
13 Ministerios + 80 Organismos Autónomos, Agencias y otros organismos
DTIC
Servicios compartidos
MIN
CMAD
SGTIC
OOAA
¿¿¿???
Descifrando …
¿Caracterización del subsector y el mercado de la ciberseguridad 2015 (ONTSI - INCIBE)
Ciberamenazas 2015 y tendencias 2016 (CCN-CERT)
Estrategia de Ciberseguridad Nacional
Informe CORA
Plan de Transformación Digital de la Administración General del Estado (estrategia TIC)
Organización e instrumentos operativos de las TIC en la AGE y sus Organismos Públicos
Informe IRIA 2015
Presupuestos TIC de la Administración del Estado (2015)
Cyber Threat Alliance
The Global State of Information Security Survey 2016 (PWC)
State of Cybersecurity: Implications for 2016 (ISACA - RSA)
Referencias
Muchas gracias@marodriguezz
https://www.linkedin.com/in/miguelangelrodriguezz