Revista Socinfo - Art. Socinfo
El 30 de marzo de 2016 se celebró en Madrid el seminario “Seguridad IT (10): Informe, auditoría y certificación ENS”, promovido por Fundación Socinfo con el patrocinio de Oracle, Nextel y ESET. Intervinieron los representantes del Ministerio de Hacienda y Administraciones Públicas, Centro Criptológico Nacional, Intervención General de la Administración del Estado, Ministerio de Empleo y Seguridad Social, Ministerio de Industria, Energía y Turismo, Ministerio de Educación, Cultura y Deporte, y Gobierno de Navarra. (Versión pdf).
p18-19semiSeguridad10

Sociedad de la Información (30 marzo 2016). Por Jorge Heredia.

En la web de Socinfo (www.socinfo.es) están disponibles las transparencias y el audio completo de cada intervención.
Pie de primera línea de fotos: De izda a dcha, Miguel Angel Amutio, Javier Candau, Angel Nebrera, Miguel Angel Rodríguez, y Joseba Enjuto.
Pîe de segunda línea de fotos: De izda a dcha, María Jesús Casado, Andrés Garde, Carlos Gómez, Joaquín Molina, y Carmen Cabanillas.

AL evento se inscribieron 70 personas y fue moderado, como siempre, por José García Méndez, Director de Socinfo. El primer ponente en intervenir fue Miguel Angel Amutio Gómez, Subdirector Adjunto de Coordinación de Unidades TIC, Dirección de Tecnologías de la Información y las Comunicaciones del Ministerio de Hacienda y Administraciones Públicas. Habló sobre el contexto del Esquema Nacional de Seguridad (ENS), la conformidad con el mismo (obligada por las leyes 39 y 40, y el RD 3/2010), los participantes (AAPP, proveedores, auditores y certificadores), las pautas (Guía de Seguridad CCN-STIC 809), y los requisitos según categorías media o alta (auditoría formal, informe, certificación de conformidad).

Javier Candau, Jefe de Area de Ciberseguridad del Centro Criptológico Nacional, Ministerio de la Presidencia, explicó el estado de implantación del ENS y la Herramientas INES (ejercicio de ciberseguridad), con conclusiones como que hay retrasos en la implantación, el responsable de seguridad no es suficiente, pocas tareas de vigilancia de la red, dudas sobre la aplicación de seguridad real, falta de protección de determinados servicios (web, mail), ausencia de actividades de concienciación, y no alineamiento en la gestión de incidentes.

Angel Luis Nebrera, Security Account Manager de Oracle, habló sobre “Oracle Security. Tendencias actuales y ayuda al cumplimiento normativo”, sobre los principales requerimientos y las soluciones Oracle para ello.

Tras el café descanso, intervino  Miguel Angel Rodríguez Ramos, Jefe de Area Informática, Subdirección General de Tecnologías de la Información y de las Comunicaciones del Ministerio de Industria, Energía y Turismo, que expuso el Plan Director de Seguridad del Ministerio y la conformidad con el ENS.

Joseba Enjuto, Director de Consultoría de Nextel SA, tituló su intervención “Sorteando obstáculos en el camino hacia la certificación”... fase por fase (plan de adecuación, implantación, despliegue, mantenimiento).

María Jesús Casado Robledo, Responsable de Seguridad de la Información de la Intervención General de la Administración del Estado (IGAE), Ministerio de Hacienda y Administraciones Públicas, repasó el estado de la seguridad en la IGAE, la auditoría y la certificación existente.

Andrés Garde Gurpegui, del Servicio de Infraestructuras Tecnológicas y Centro de Soporte, Dirección General de Informática, Telecomunicaciones e Innovación Pública del Gobierno de Navarra, explicó la estrategia de adecuación, el estado actual de cumplimiento, y los próximos pasos.  Entre las conclusiones, dijo que “se ha empleado una aproximación sencilla, pragmática, humilde, contando con recursos propios en la mayoría de casos; con visión a medio plazo, buscando la adecuación paulatina y el retorno de beneficio más que el cumplimiento por el cumplimiento”.

Carlos Gómez Plaza, Responsable de la Unidad de Calidad, Seguridad y Auditoría del Ministerio de Empleo y Seguridad Social, habló sobre “Auditoría ENS-LOPD”. Explicó el estado de situación y un método piloto del sistema con cinco auditorías de SI de nivel medio ENS junto con sus ficheros LOPD.

Joaquín Molina, Responsable de Seguridad de ESET España, habló sobre la necesidad del ENS, la confianza on line, y las soluciones de ESET.

Finalmente, Carmen Cabanillas Serrano, Subdirectora General Adjunta de Tecnologías de la Información y Comunicaciones del Ministerio de Educación, Cultura y Deporte, repasó las herramientas para la adecuación al ENS, la defensa y protección, formación y concienciación, los sistemas principales afectados, y el porcentaje de cumplimiento según la encuesta INES.

[]