INFORME NACIONAL DE SEGURIDAD PARTICIPACIN 2017 RESULTADOS INES

INFORME NACIONAL DE SEGURIDAD PARTICIPACIÓN 2017 RESULTADOS INES 2016 ENTIDADES LOCALES www-ccn-cert. cni. es

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES - CAMPAÑA 2017 Oct 2017 Ya venció el plazo de 48 meses para la adecuación al ENS (RD 3/2010) El RD 951/2015 añade 24 meses al plazo inicial Noviembre 2017 Ley 39 y 40 amplia ámbito del ENS 04/12/2020 www. ccn-cert. cni. es 2

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ESQUEMA NACIONAL DE SEGURIDAD 1. Los Principios básicos, que sirven de guía. 2. Los Requisitos mínimos, de obligado cumplimiento. 3. La Categorización de los sistemas para la adopción de medidas de seguridad proporcionadas. 6 15 75 04/12/2020 4. La auditoría de la seguridad que verifique el cumplimiento del ENS. 5. La respuesta a incidentes de seguridad. Papel de CCN- CERT. 6. El uso de productos certificados. A considerar al adquirir los productos de seguridad. Papel del Organismo de Certificación (CCN). 7. La formación y concienciación. www. ccn-cert. cni. es 3

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación (2017) 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 4

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 5

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. 3. Artículo 35 RD 951/2015 : ESTADO DE SEGURIDAD DE LAS AAPP El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas. El Centro Criptológico Nacional articulará los procedimientos necesarios para la recogida y consolidación de la información, así como los aspectos metodológicos para su tratamiento y explotación, a través de los correspondientes grupos de trabajo que se constituyan al efecto en el Comité Sectorial de Administración Electrónica y en la Comisión de Estrategia TIC para la Administración General del Estado. 04/12/2020 www. ccn-cert. cni. es 6

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INFORME NACIONAL ESTADO SEGURIDAD Ø CCN-STIC 815 Métricas e Indicadores Ø CCN-STIC 824 – Información del Estado de Seguridad Ø CCN-STIC 844 - Manual de usuario de INES 04/12/2020 www. ccn-cert. cni. es 7

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. Organismos bajo el alcance del Esquema Nacional de Seguridad (ENS) AGE CC. AA. Universidades EE. LL. www. ccn-cert. cni. es Acceso INES Registro de Información de Seguridad 04/12/2020 www. ccn-cert. cni. es 8

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. Resultados: Indicadores de madurez y cumplimiento Resultados: Generación de informes agregados Estado Nacional de Seguridad 04/12/2020 www. ccn-cert. cni. es 9

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES - ACCESO Ø Registro portal CCN-CERT Ø Acceso a INES ines@ccn-cert. cni. es 04/12/2020 www. ccn-cert. cni. es 10

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES – RELACIÓN CON OTRAS HERRAMIENTAS L XM PILAR permite exportar datos en XML en el formato requerido por INES L M X XML Importar datos en XML (desde PILAR) 04/12/2020 www. ccn-cert. cni. es 11

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES – OUTPUT 1 Informe global de datos Informe selectivo 2 Informe individual por organismo 3 Cuadro de mandos 04/12/2020 www. ccn-cert. cni. es 12

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES – OUTPUT 1 04/12/2020 INFORME GLOBAL INES www. ccn-cert. cni. es 13

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES – OUTPUT 2 04/12/2020 INFORME INDIVIDUAL DE RESULTADOS www. ccn-cert. cni. es 14

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. INES – OUTPUT 3 04/12/2020 www. ccn-cert. cni. es 15

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación (2017) 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 16

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. EVOLUCIÓN DE PARTICIPACIÓN 432 388 450 400 350 300 250 182 200 150 50 100 50 0 2014 AGE 2015 CCAA 2016 EELL 2017 Universidades Hay un incremento del 11% en volumen de fichas de las Entidades Locales 04/12/2020 www. ccn-cert. cni. es 17

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. DISTRIBUCIÓN POR TIPO DE ORGANISMO Fichas creadas en INES: 41 13 Ayuntamiento o concello Diputación o cabildo Organismo dependiente 292 04/12/2020 www. ccn-cert. cni. es 18

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. DISTRIBUCIÓN POR TIPO DE ORGANISMO Fichas creadas en INES con más de un 50% de rellenado: 33 9 Ayuntamiento o concello Diputación o cabildo Organismo dependiente 244 Estas fichas son las que se tendrían en cuenta en los informes globales 04/12/2020 www. ccn-cert. cni. es 19

04/12/2020 at al C 20 uñ a Va le nc ia Ex na tre m ad ur a G al ic Ill ia es Ba le Is ar la s s C an ar M ia s ad rid La , C R io om ja u ni M da ur ci d a, de R eg ió n de N av ar ra Pa ís Va sc o d da un i ón Le an ch a M y ria 30 om a -L as til la la til ta b 7 C as an de 5 C a gó n do pa ci in Pr Ar a 10 C s, ia tu r 60 C As da lu cí An ENS – Resultados 2016 en EE. LL. SIN CLASIFICAR DISTRIBUCIÓN POR COMUNIDAD AUTONÓMA 80 70 69 58 50 49 40 25 25 17 4 7 www. ccn-cert. cni. es 21 15 16 1 20 17 8 2 0

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación (2017) 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 21

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – CATEGORÍAS Ayuntamientos Cat. ALTA 35% Cat. MEDIA 57% BÁSICA MEDIA < 20. 000 hab. 4 19 6 De 20. 001 a 75. 000 hab. 9 59 49 ≥ 75. 000 hab. 2 41 27 Diputaciones y Cabildos 1 25 11 Cat. BÁSICA 8% 803 04/12/2020 ALTA Consultar CCN-STIC-803: Valoración de Sistemas www. ccn-cert. cni. es 22

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación (2017) 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 23

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – ASPECTOS GENERALES 100 90 80 70 Ayuntamientos de menos de 20. 000 hab. 60 Ayuntamientos de 20. 001 a 75. 000 hab. 50 40 Ayuntamientos de más de 75. 000 hab. 30 Diputaciones y Cabildos 20 10 0 Política de seguridad Normativa de seguridad Procedimientos de seguridad Elementos evaluados Política de Seguridad Aprobada Independencia entre Responsables Análisis de Riesgos Declaración de Aplicabilidad Plan de Adecuación Certificación de cumplimiento 04/12/2020 Proceso de autorización AGE CC. AA. EE. LL. UNIV. Global 5 4 3 3 3 1 5 5 3 3 3 2 2 3 1 5 5 3 3 4 1 4 4 2 3 3 1 www. ccn-cert. cni. es 24

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Los resultados abarcan 6. 182 sistemas TIC que dan servicio a 232. 790 usuarios. 04/12/2020 www. ccn-cert. cni. es 25

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Marco Organizativo 100 90 L 5 80 L 4 70 60 50 50. 0 45. 0 34. 0 40 30 20 10 0 Política de seguridad 04/12/2020 Normativa de seguridad Procedimientos de seguridad www. ccn-cert. cni. es Proceso de autorización 26 L 3

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Marco Organizativo Categoría Media Categoría Alta 100 P. 100 80 20 N. A. Proc, 04/12/2020 100 P. 80 60 40 A. P. 80 60 0 Categoría Básica 60 40 40 20 20 N. 0 A. 0 Proc, Proc. P: Política de Seguridad Proc: Procedimientos de Seguridad N: Normativa de Seguridad A: Proceso de autorización www. ccn-cert. cni. es 27 N.

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Marco Operacional 100 90 L 5 L 4 80 63. 6 70 60 47. 3 50 40. 1 46. 7 L 3 40 30 20 10 0 Planificación 04/12/2020 Control de acceso Explotación Servicios externos Continuidad del Monitorización del servicio sistema www. ccn-cert. cni. es 28

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Marco Operacional Categoría Media Categoría Alta 100 P. 80 Mon. 100 P. 80 60 C. A. 40 80 60 Mon. C. A. 40 60 Mon. 40 20 20 20 0 Cont. Exp. S. E. Cont. S. E: Servicio Externalizados Cont: Continuidad de servicio Mon: Monitorización www. ccn-cert. cni. es C. A. Exp. S. E. P: Planificación C. A: Control de accesos Exp. : Explotación 04/12/2020 Categoría Básica 29

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Medidas de Protección 100 90 L 5 80 L 4 70 60 60. 0 53. 8 50 36. 0 40 40. 0 50. 0 49. 0 50. 0 Aplicaciones Información Servicios 38. 1 30 20 10 0 Instalaciones e infraestructuras 04/12/2020 Personal Equipos Comunicaciones Soportes www. ccn-cert. cni. es 30 L 3

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – RESULTADOS MEDIDAS ANEXO II Medidas de Protección Categoría Media Categoría Alta Inst 100 S. I. 80 Inst 100 P. 60 80 20 20 E. C. S. Inst: Instalaciones e Infraestructuras P: Personal I. E. 0 A. C. Inst 100 80 60 40 20 0 S. P. 60 40 0 04/12/2020 S. 40 A. Categoría Básica I. A. www. ccn-cert. cni. es E. C. S. E: Equipos: C: Comunicaciones S: Soportes P. A: Aplicaciones I: Información S: Servicios 31

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – MEDIDAS INDIVIDUALES ANEXO II [op. acc. 1] Identificación [op. acc. 2] Requisitos de acceso [op. acc. 4] Proceso de gestión de derechos [op. exp. 6] Protección frente a código dañino [mp. if. 4] Energía electríca [mp. if. 5] Protección frente a incendios [mp. com. 1] Perímetro seguro [mp. info. 9] Copias de seguridad AGE 80 80 75 80 90 90 80 88 [op. cont. 1] Análisis de impacto [op. cont. 2] Plan de continuidad [op. cont. 3] Pruebas periódicas [op. mon. 2] Sistema de métricas [mp. per. 4] Formación [mp. per. 9] Personal alternativo [mp. info. 3] Cifrado de la información [mp. info. 6] Limpieza de documentos AGE 30 15 10 13 42 50 50 20 04/12/2020 CCAA 90 90 80 83 90 90 CCAA 40 50 50 50 10 www. ccn-cert. cni. es EELL 80 80 75 77 80 80 UNIV. 80 78 63 72 90 90 80 90 EELL 10 10 18 10 10 10 UNIV. 10 12 5 10 38 0 25 10 32

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – PROCESOS CRÍTICOS CCN-STIC 824 Procesos críticos AGE CC. AA. EE. LL. UNIV. EE. LL. 2015 50 50 75 62 50 60 58 80 80 61, 8 70 79 50 50 75 50 35, 8 50 50 42, 5 50 52 67 45 50 50 49 40 70 50 10 25 25 50 54 34, 7 33, 7 1 Proceso de Autorización (org. 4) Análisis de Riesgos (op. pl. 1) Gestión de derechos de acceso (op. acc. 4) Incidentes (op. ext. 7) Concienciación Gestión de la configuración (op. exp. 2 +op. exp. 3) Mantenimiento y Gestión de cambios (op. exp. 4+op. exp. 5) Continuidad de operaciones (op. cont. 1/2/3 y medios alternativos. 9) • A nivel comparativo, los procesos en los que las EE. LL han registrado valores más deficientes son la Concienciación y la Gestión de Incidentes. • La situación de la continuidad es deficiente en todos los colectivos, especialmente en las Entidades Locales aunque con una mejora elevada respecto a 2015. • Es todavía mejorable la concienciación y formación aunque con una importante subida respecto a 2015. • Aunque hay procesos críticos cuyos indicadores en 2016 todavía no alcanzan los valores exigidos. En general, los indicadores han mejorado respecto a los correspondientes de 2015. 04/12/2020 www. ccn-cert. cni. es 33

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – AUDITORÍAS 50 45 45 71 Auditorías en EE. LL: 40 35 30 30 - 45 Técnicas - 26 Alto Nivel 26 25 20 16 15 14 14 Auditorías de alto nivel 9 10 9 Auditorías técnicas 5 0 AGE CC. AA. EE. LL. UNIV. Ø Hay 8 ayuntamientos que han declarado tener una certificación de conformidad con el ENS. Ø Hay 202 EE. LL que no han realizado auditorías, ni técnicas ni de alto nivel. Ø El número de auditorías en las EE. LL. ha aumentado un 30% respecto a 2015 pero siguen siendo insuficientes. 04/12/2020 www. ccn-cert. cni. es 34

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – NIVEL DE MADUREZ/CUMPLIMIENTO Valores Mínimos Aceptables IC: 100% 100 90 IM: Cat. ALTA L 5 = 90% 80 IM: Cat. MEDIA L 4 = 80% 70 60 63. 3 61. 5 53. 4 50 54. 8 50. 8 49. 3 41. 8 IM: Cat. BÁSICA L 3 = 50% 40. 9 40 30 20 10 0 Diputaciones y Cabildos Ayuntamientos de más de Ayuntamientos de 20. 001 Ayuntamientos de menos 75. 000 hab. a 75. 000 hab. de 20. 000 hab. Índice de Madurez 04/12/2020 Índice de Cumplimiento www. ccn-cert. cni. es 35

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – NIVEL DE MADUREZ/CUMPLIMIENTO Valores Mínimos Aceptables IC: 100% 100 IM: Cat. ALTA L 5 = 90% 90 77. 5 80 70. 2 70 60 IM: Cat. MEDIA L 4 = 80% 67. 5 56. 3 55 45. 9 50 61 50. 7 IM: Cat. BÁSICA L 3 = 50% 40 30 20 10 0 AGE CC. AA. Índice de Madurez 04/12/2020 EE. LL. UNIV. Índice de Cumplimiento www. ccn-cert. cni. es 36

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – EVOLUCIÓN 100 90 78% 80 70% 70 60 68% 56% 46% 50 64% 61% 52% UNIV GLOBAL 40 30 42% 44% 20 10 0 AGE CCAA EELL I. Madurez 2015 I. Cumplimiento 2015 Incremento I. Madurez 2016 Incremento I. Cumplimiento 2016 04/12/2020 www. ccn-cert. cni. es 37

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – INFORMES RESULTADOS GENERALES 04/12/2020 RESULTADOS SECTORIALES www. ccn-cert. cni. es 38

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. ÍNDICE 1. Herramienta INES 2. Participación (2017) 3. Categorización de Sistemas 4. Resultados 5. Conclusiones y próximos pasos 04/12/2020 www. ccn-cert. cni. es 39

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – CONCLUSIONES 1. Nivel de cumplimiento 2016 en las EE. LL. es BAJO (56%). Retraso en la implementación. 2. Las EE. LL. tienen mucho recorrido pendiente en el proceso de adecuación al ENS, siendo la certificación del cumplimiento del ENS el aspecto más significativo al respecto. 3. Es necesario mejorar algunos indicadores: – Concienciación y Formación – Recursos – Mecanismos de Continuidad 4. Responsable de seguridad no es suficiente. – Necesidad de equipos de seguridad 5. Pocas tareas de vigilancia de la red. – No revisión de logs / No hay monitorización real. 04/12/2020 www. ccn-cert. cni. es 40

SIN CLASIFICAR ENS – Resultados 2016 en EE. LL. RESULTADOS INES 2016 – PRÓXIMOS PASOS Ø Promover la conformidad con el ENS. En particular, fomentar la certificación a través de la realización de auditorías independientes. Necesidad de ajustar la subjetividad. Ø Impulsar medidas de seguridad horizontales a toda la Administración en relación a la configuración de seguridad, gestión de incidentes y protección del correo electrónico, servicios y aplicaciones web. Ø Promover plataformas de Servicios en NUBE: – Servicios de continuidad, monitorización y registro de actividad. – Plataforma de concienciación y formación basados en los servicios actuales del CCN. Ø Ø Obtener un mayor compromiso de los organismos. Impulsar la aprobación de las Instrucciones Técnicas de Seguridad (ITS) pendientes de publicar. 04/12/2020 www. ccn-cert. cni. es 41