ENS Situacin Actual SIN CLASIFICAR

INFORME NACIONAL
ESTADO SEGURIDAD

Resultados 2016
1
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE PARTICIPACIN

648
355
400

350

300
118
250

200

150

100

50

0
2014 2015 2016

AGE CCAA EELL Universidades

2
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE PARTICIPACIN

Relacin entre el nmero de solicitudes de carga

de datos en INES y el nmero de registros.

AGE CCAA EELL UNIVERSIDADES

180 70 500 60
86% 94%
160 126% 60 276% 450
400 50
140
120
50
58 350
388 40
49
300
100 153 40
250 30
80 30 200
60 20
20 150
40 100 10
10
20 50
0 0
0 0

Organismos registrados
Solicitudes realizadas

3
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE PARTICIPACIN

Volumen de organismos incluidos en los informes generales.

600

500
+60%
129
400
43 AGE
300 CCAA
90 EELL
+305%
200 30 Universidades
282

149
100
37
14 43 45
0 26
0
2014 2015 2016
77 312 499
4
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 CATEGORAS

AGE CCAA

Media
Media
Alta 32%
47%
35%
Alta
60%
Bsica Bsica
18% 8%

EELL UNIVERSIDADES
Alta
Alta 10%
40%
Bsica
Media 10%
Media
55%
80%
Bsica
5%

5
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 AGE

Distribucin por ministerios:

35 33
30
25 24

20 17
15 14
10 10
10 7 8
6 6 5 5
5 4 4

En 2015 se registraron 89 organismos frente a los 153 de

2016. Ha habido un incremento del 72%
6
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 CCAA

Distribucin por comunidad autnoma:

9
8
8
7 7
7
6
5 5
5
4
4
3 3 3
3
2 2 2
2
1 1 1 1 1 1 1
1
0

En 2015 se registraron 29 organismos autonmicos frente a

los 58 de 2016. Ha habido un incremento del 100%
7
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 EELL

Distribucin por comunidad autnoma:

70 64
60 51 48
50
40
30 25 22
20
20 16 14 14 12 9
10 6 7 4 4
3
0

En 2015 se registraron 146 organismos autonmicos frente

a los 319 de 2016. Ha habido un incremento del 118%
8
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 Universidades

Distribucin por comunidad autnoma:

9
8
8
7 7
7
6
5
5
4
3 3 3
3
2 2 2
2
1 1 1 1 1 1 1
1
0

En 2015 se registraron 40 organismos autonmicos frente a

los 49 de 2016. Ha habido un incremento del 23%
9
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 ASPECTOS GENERALES

5

3 AGE
2
CCAA
EELL
1 UNIV
0

AGE CCAA EELL UNIV Global

Leve incremento
Poltica de Seguridad Aprobada 4 4 3 4 3,4 de las
Independencia entre Responsables 3,6 3,9 2,9 3,7 3,2 certificaciones de
Anlisis de Riesgos 2,8 3,3 2,4 2,8 2,6 cumplimiento
Declaracin de Aplicabilidad 3,2 3,2 2,7 2,8 2,8
Plan de Adecuacin 3 3,1 2,6 3,4 2,8
Certificacin de cumplimiento 1,5 2,2 1,5 1,6 1,5
GLOBAL 3 3,3 2,5 3 2,7

10
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 IDENTIFICACIN Y AUTENTIFICACIN

100
80
AGE
60
CCAA
40
EELL
20
UNIV.
0

Accesos Internos Accesos Externos

AGE CCAA EELL UNIV.

Sistemas que emplean contraseas 100 100 100 100
Accesos
Sistemas que emplean token 0 0,5 0 0
Internos Sistemas que emplean biometra 0 0 0 0
Sistemas que emplean contraseas 100 100 100 100
Accesos Sistemas que emplean claves concertadas 0 0 0 0
Externos Sistemas que emplean token 0 0 0 0
Sistemas que emplean doble canal 0 0 0 0

11
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 RESULTADOS MEDIDAS ANEXO II

100
L4
90

80
L3
70

60

50 L2
40

30

20

10

AGE CCAA EELL UNIV.

12
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 RESULTADOS MEDIDAS ANEXO II

AGE CCAA EELL UNIV. GLOBAL

[org] Marco organizativo 63 75 42 50 45
[op] Marco Operacional 51 54 44 50 43
Planificacin 54 64 41 44 42
Control de acceso 72 77 65 60 61
Explotacin 55 52 50 58 54
Servicios externos 66 75 48 50 46
Continuidad del servicio 27 50 10 25 10
Monitorizacin del sistema 48 65 30 45 30
[mp] Medidas de Proteccin 58 68 50 52 50
Instalaciones e infraestructuras 78 83 54 69 61
Personal 47 59 36 40 36
Equipos 58 68 43 40 40
Comunicaciones 70 82 60 70 63
Soportes 54 66 41 48 42
Aplicaciones 64 69 50 48 50
Informacin 56 67 50 54 50
Servicios 57 55 55 62 58

13
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 MEDIDAS INDIVIDUALES ANEXO II

AGE CCAA EELL UNIV.

[op.acc.1] Identificacin 80 90 80 80
[op.acc.2] Requisitos de acceso 80 90 80 80
[op.acc.4] Proceso de gestin de derechos 80 80 80 63
[op.exp.6] Proteccin frente a cdigo daino 80 80 77 75
[mp.if.4] Energa electrca 90 90 80 90
[mp.if.5] Proteccin frente a incendios 90 90 80 90
[mp.com.1] Permetro seguro 80 90 80 80
[mp.info.9] Copias de seguridad 90 90 80 90

AGE CCAA EELL UNIV.

[op.cont.1] Anlisis de impacto 30 50 10 10
[op.cont.2] Plan de continuidad 20 50 10 12
[op.cont.3] Pruebas peridicas 10 50 10 10
[op.mon.2] Sistema de mtricas 13 50 10 10
[mp.per.4] Formacin 47 50 20 38
[mp.per.9] Personal alternativo 50 50 10 0
[mp.info.3] Cifrado de la informacin 50 50 10 25
[mp.info.6] Limpieza de documentos 20 15 10 10

14
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 RESULTADOS MEDIDAS ANEXO II

Marco
organizativo
100
90
80
AGE
70
60 CCAA
50
40
30
EELL
20
10 UNIV.
0

Medidas de Marco
proteccin operacional

Los mejores niveles han sido registrados por

los Organismos Autonmicos
15
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 PROCESOS CRTICOS

AGE CCAA EELL UNIV. 2016 2015

Proceso de Autorizacin (org.4) 50 80 50 41 55 44

Anlisis de Riesgos (op.pl.1) 50 80 50 49 57 46
CCN-STIC 824

Gestin de derechos de acceso (op.acc.4) 80 80 80 65 76 65

Incidentes (op.ext.7) 75 80 50 61 67 57
Concienciacin y formacin (mp.per.3 + mp.per.4) 44 57 30 38 42 18
Gestin de la configuracin (op.exp.2 +op.exp.3) 58 70 50 48 56 26
Mantenimiento y Gestin de cambios (op.exp.4+op.exp.5) 60 80 50 51 60 26
Continuidad de operaciones (op.cont.1/2/3 y medios alternativos.9) 50 57 35 42 46 3

La situacin de la continuidad es deficiente en todos los colectivos,

especialmente en las Entidades Locales aunque con una mejora elevada
respecto a 2015.
Los Organismos Autonmicos han registrado indicadores elevados, aunque
no suficientes en algunos casos.
Es todava mejorable la concienciacin y formacin aunque con una
importante subida respecto a 2015.
Aunque hay procesos crticos cuyos indicadores en 2016 todava no
alcanzan los valores exigidos. En general, los indicadores han mejorado
respecto a los correspondientes de 2015.

16
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 AUDITORAS

45 156 Auditoras
40 - 94 Tcnicas
35
- 62 Alto Nivel
30
25
20
15 Auditora de Alto Nivel
10
Auditora Tcnica
5
0
AGE CC.AA. EE.LL. UNIV.

Hay 13 organismos que han declarado tener una certificacin de

conformidad con el ENS: 8 ayuntamientos, 3 CCAA y 2 de la AGE.
Hay 295 organismos que no han realizado auditoras, ni tcnicas
ni de alto nivel.
El nmero de auditoras ha aumentado un 42% respecto a 2015
pero siguen siendo insuficientes.
17
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE MADUREZ/CUMPLIMIENTO

Valores Mnimos Aceptables

100%
100
Cat. Alta L4: 90%
90
Cat. Media L3: 80%
80

70

60
Cat. Bsica L2: 50%
50

40

30

20

10

0
AGE CCAA EELL UNIV
ndice de Madurez ndice de Cumplimiento

18
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE MADUREZ/CUMPLIMIENTO

100%
100 L4
90 L3
80

70

60

50 L2
40

30

20

10

0
Categora Alta Categora Media Categora Bsica
ndice de Madurez ndice de Cumplimiento

19
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 NIVEL DE MADUREZ/CUMPLIMIENTO

100

90
80%
80
72% 70%
70
62% 62%
60 57%
47% 49%
50

40

30

20

10

0
AGE CCAA EELL UNIV

I. Madurez 2015
I. Cumplimiento 2015
Incremento I. Madurez 2016
Incremento I. Cumplimiento 2016

20
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 CONCLUSIONES

1. Nivel de cumplimiento 2016 BAJO (63%). Retraso en la

implementacin.
2. Es necesario mejorar algunos indicadores:
Concienciacin y Formacin
Recursos
Continuidad
3. Responsable de seguridad no es suficiente.
Necesidad de equipos de seguridad
4. Pocas tareas de vigilancia de la red.
No revisin de logs / No hay monitorizacin real.
5. Dudas sobre aplicacin de seguridad real. CERTIFICACIN

21
13/03/2017 www.ccn-cert.cni.es
 ENS Situacin Actual SIN CLASIFICAR

RESULTADOS INES 2016 CONCLUSIONES

Promover la conformidad con el ENS. En particular,

fomentar la certificacin a travs de la realizacin de
auditoras independientes. Necesidad de ajustar la
subjetividad.
Impulsar medidas de seguridad horizontales a toda la
Administracin en relacin a la configuracin de
seguridad, gestin de incidentes y proteccin del correo
electrnico, servicios y aplicaciones web.
Promover plataformas de Servicios en NUBE:
Servicios de continuidad, monitorizacin y registro
de actividad.
Plataforma de concienciacin y formacin
basados en los servicios actuales del CCN.
Obtener un mayor compromiso de los organismos.
Impulsar la aprobacin de las Instrucciones Tcnicas de
Seguridad (ITS) pendientes de publicar.

22
13/03/2017 www.ccn-cert.cni.es