SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN PÚBLICA

Transcripción

1 SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN PÚBLICA PROYECTO: IMPLEMENTACIÓN, CONTROL Y SEGUIMIENTO DE LA SEGURIDAD DE LA INFORMACIÓN EN ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA CENTRAL E INSTITUCIONAL CUP: Quito, enero de

2 1. DATOS GENERALES DEL PROYECTO 1.1. Nombre del proyecto Implementación, control y seguimiento de la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional Entidad ejecutora Secretaría Nacional de la Administración Pública (SNAP) Cobertura y localización A nivel nacional debido a que las entidades de la Administración Pública Central Dependiente e Institucional (APCDI) se encuentran localizadas en todo el país Monto El presupuesto asciende a SEISCIENTOS CUARENTA Y SEIS MIL CUATRO CIENTOS DOLARES NORTEAMERICANOS (US $ ,00) Plazo de Ejecución El plazo de ejecución es de NUEVE (9) meses a partir de la disponibilidad del presupuesto Sector y Tipo de Proyecto Sector 17: Administrativo, sub-sector 17.2: Regulación y Control Objetivo del Plan Nacional para el Buen Vivir al que contribuye Objetivo 1 Consolidar el Estado democrático y la construcción del poder popular. Política: Garantizar la prestación de servicios públicos de calidad con calidez Lineamiento: f) Mejorar continuamente los procesos, la gestión estratégica y la aplicación de tecnologías de información y comunicación, para optimizar los servicios prestados por el Estado. Política Afianzar una gestión pública inclusiva, oportuna, eficiente, eficaz y de excelencia: Lineamiento: b) Estandarizar procedimientos en la administración pública con criterios de calidad y excelencia, con la aplicación de buenas prácticas y con la adopción de estándares internacionales. 2. DIAGNÓSTICO Y PROBLEMA 2.1 Descripción de la Situación Actual del Área de Intervención Localización Geográfica El área de intervención del proyecto es la República del Ecuador que está situada en el noroeste de Sudamérica y limita al norte con Colombia, al este y sur con Perú, y al oeste con el océano Pacífico. Tiene una superficie de km², incluido el archipiélago de Galápagos, localizado en el Pacífico a unos km 2

3 de la costa. La capital es Quito Distrito Metropolitano. Ecuador está dividido en 7 regiones de la siguiente forma: Región 1: Esmeraldas, Carchi, Imbabura y Sucumbíos (sede: Ibarra) Región 2: Pichincha, Napo y Orellana (sede: Tena) Región 3: Chimborazo, Tungurahua, Pastaza y Cotopaxi (sede: Riobamba) Región 4: Manabí, Galápagos y Santo Domingo (sede: ciudad Alfaro) Región 5: Santa Elena, Guayas, Los Ríos y Bolívar (sede: Milagro) Región 6: Cañar, Azuay y Morona Santiago (sede: Cuenca) Región 7: El Oro, Loja y Zamora Chinchipe (sede: Loja) Población De acuerdo al Instituto Nacional de Estadísticas y Censos (INEC) la población de Ecuador alcanza 15' habitantes a diciembre del , con una densidad demográfica aproximada de 58 hab/km². De esta población el 65% vive en centros urbanos y el 35% en el medio rural. El 49% se concentra en la región de la Costa y el 45% en la región de la Sierra; el resto de la población se reparte entre la región Amazónica y las islas Galápagos. El total de provincias asciende a 24, siendo las de mayor concentración poblacional las de Pichincha y Guayas, con las ciudades de Quito y Guayaquil como capitales de provincia, que además tienen el estatus de Distritos Metropolitanos. Servicios de Telecomunicaciones - Acceso y uso de telefonía Móvil y Fija: De acuerdo a la Secretaría Nacional de Telecomunicaciones (SENATEL) 2, el número de usuarios de las redes celulares alcanza los 17' abonados a nivel nacional (modalidades pre-pago y post-pago) a octubre de Al operador Porta corresponden el 69%, al operador Movistar corresponden el 29% de abonados; mientras que al operador público CNT - Alegro corresponden el 2% de abonados. La densidad celular sobrepasa el 100% de la población. En relación a la telefonía fija, el número de abonados a nivel nacional alcanza los 2' de abonados, a julio de 2013, que representa una densidad del 14.75% en relación la población 3. - Acceso y uso de la red Internet: La SENATEL revela que el número total de usuarios de Internet alcanza la cantidad de 4' usuarios (personales y corporativos) a septiembre de 2013, que representa una densidad del 30,17% respecto de la población 4. Los lugares desde los que más se accede y utiliza la Internet son el hogar (35,5%), negocios particulares (31,2%), centros educativos (21,2%) y el trabajo (10,8%). Del total de 1 Véase consultado en diciembre de Véase: id=4772&force=1, consultado en diciembre de Véase: id=1957&force=1, consultado en diciembre de Véase: id=4776&force=1, consultado en diciembre de

4 usuarios, el 90,3% accede y utiliza la Internet por lo menos 1 vez a la semana pero el uso diario crece y se sitúa en el 51,7%. Las provincias que acceden y utilizan más la Internet son: Pichincha, Guayas, Azuay, Manabí, Tungurahua, El Oro, Chimborazo, Loja y Santo Domingo. En similar orden son las provincias en las que se concentra el mayor número de computadoras y celulares. El 29,30% de la población masculina accede y utiliza la Internet frente a un 28,2% de la población femenina. Gestión de la Seguridad de la Información Gubernamental La Gestión de la Seguridad de la Información Gubernamental ha cobrado auge a partir de la promulgación del Acuerdo Ministerial 166 de la Secretaría Nacional de la Administración Pública (SNAP) del 19 de septiembre de El acuerdo fija las actividades principales que las entidades públicas deben cumplir para implementar el Esquema Gubernamental de Seguridad de la Información promulgado con el acuerdo, entre estas: La aplicación obligatoria de la familia de Normas Técnicas Ecuatorianas INEN ISO/IEC para gestión de la Seguridad de la Información por parte de las entidades de la APCDI. La implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), en dos fases: directrices marcadas como prioritarias en 6 meses y el resto de directrices en un plazo de 18 meses. La implementación del EGSI en base al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información en las entidades. El control, seguimiento y coordinación de la implantación del EGSI a cargo de la Secretaría Nacional de la Administración Pública. La revisión anual del EGSI conforme el cambio de la norma INEN ISO/IEC o cuando las circunstancias lo ameriten. El registro, documentación y reporte del cumplimiento del EGSI y la revisión por parte de las autoridades de la institución. La conformación al interior de cada institución de un Comité de Gestión de Seguridad de la Información y la designación de un Oficial de Seguridad de la Información y a un Responsable de Seguridad de Tecnologías de la Información (TI). La implementación del EGSI en las entidades de la APCDI está siendo ejecutada y monitoreada por medio del sistema de Gobierno por Resultados (GPR) de la SNAP. En ese sistema, se ha creado un programa institucional que abarca a 180 entidades, las cuales ejecutan proyectos propios de implementación del EGSI alineados al mencionado programa Identificación, descripción y diagnóstico del problema El uso y explotación de las Tecnologías de la Información y Comunicaciones (TIC) y específicamente de aplicaciones de software de diferente tipo por parte de las entidades de la administración pública ha crecido aceleradamente durante los últimos años. La demanda por la provisión de trámites ciudadanos y de procesos 4

5 gubernamentales automatizados está siendo satisfecha progresivamente por una seria de aplicaciones de software gubernamentales actualmente en operación (por ejemplo: SNI, E-Sigef, Quipux, Compras Públicas, VUE, etc.). Otros tipos de herramientas de TIC, también indispensables para el quehacer público, son utilizadas en aplicaciones para correo electrónico, búsqueda de información en la Web, redes sociales, etc. En ese contexto, el uso de TIC expone tanto a las entidades públicas como a los funcionarios a usos fraudulentos o ilegales de la información que procesan. Esto a su vez pone en riesgo la gestión propia de las entidades, de los servicios que prestan a la ciudadanía e inclusive la seguridad nacional. Junto al crecimiento de la oferta de aplicaciones de software, especialmente en la Web, también ha crecido el volumen de amenazas que ponen en peligro la información o la infraestructura en la cual se procesa. En general, las amenazas informáticas a entidades públicas se han concretado en ataques a sus sistemas y redes, en suplantación de identidad de usuarios, en infección de equipos con virus informáticos, en robo de información, en comisión de delitos, en denegación de acceso a trámites en-línea, etc. Las amenazas más frecuentes que las entidades gubernamentales ecuatorianas han experimentado en los últimos años son 5 : Modificaciones no autorizadas de información o contenidos de los Portales Web institucionales. Modificaciones no autorizadas al código de aplicaciones Web y servicios informáticos gubernamentales en la Web. Denegación de acceso a portales y aplicaciones Web gubernamentales Sustracción de información almacenada en sistemas informáticos Comisión de delitos por mal uso de credenciales de acceso Suplantación de identidad para vulnerar sistemas o cometer delitos Esto ha puesto en evidencia que no se trabaja en prevención o mitigación de los riesgos informáticos más por desconocimiento que por falta de gestión. Prueba de ello son los ataques del grupo de hackers denominado Anonymous realizados los 3 últimos años que provocaron la suspensión temporal de algunas aplicaciones y portales Web gubernamentales provistos por entidades públicas. También es fehaciente que los sistemas informáticos o portales Web gubernamentales que se construyen no cumplen con estándares para seguridad informática o no se les otorga la importancia del caso a los mismos. Por otra parte, los sistemas que se encuentran en operación tampoco son sometidos a pruebas regulares para descartar vulnerabilidades en cualquiera de sus componentes. Los delitos por mal uso de contraseñas de parte de ciertos funcionarios han provocado estafas y desfalco de dinero público, evidenciando la falta de controles en algunos sistemas gubernamentales. 5 Véase SNAP, Informe Final de la Comisión para Seguridad de la Información del 28 de octubre de 2011 (Anexo 1) 5

6 La falta de capacitación en gestión de la seguridad de la información en el sector público ha contribuido a ahondar la problemática puesto que en general los servidores públicos no saben cómo proteger correctamente la información que custodian o como ayudar a disminuir la inseguridad de la información en las entidades para las cuales trabajan. La mayor parte de las entidades públicas ecuatorianas ha atacado el problema de la inseguridad informática implementado medidas netamente tecnológicas, lo que ha contribuido a neutralizar o minimizar ciertos impactos negativos. Falta sin embargo trabajar en otros problemas latentes como la falta de aplicación de políticas, procedimientos y normas técnicas para seguridad de la información y sobretodo disminuir la carencia de conocimiento y conciencia de los servidores públicos respecto de los impactos y consecuencias negativas de la falta de cuidado al gestionar y procesar información por medio de las TIC Línea base del proyecto Mediante Acuerdos Ministeriales No. 804 y N0. 837, del 29 de julio y 19 de agosto de 2011, respectivamente, la SNAP creó la Comisión para la Seguridad Informática y las Tecnologías de la Información y Comunicaciones, para que en un plazo de 90 días presente un informe sobre lineamientos y plan de normas para la Seguridad Informática en las entidades de la APCDI, indique el estado actual de las herramientas informáticas en las áreas de Tecnologías de la Información, determine la idoneidad técnica y profesional del personal de las áreas de Tecnologías de la Información; y, emita conclusiones y recomendaciones. Mediante Memorando No. SNAP-STI ME de 28 de octubre de 2011, el Subsecretario de Tecnologías de la Información de la Secretaría Nacional de la Administración Pública, remitió al Secretario Nacional de la Administración Pública el Informe Final de la Comisión para la Seguridad Informática y sus anexos, con los resultados del trabajo de esta Comisión (ver Anexo 1). El informe incluyó el Esquema Gubernamental de Seguridad de la Información (EGSI), documento basado en la Norma Técnica Ecuatoriana INEN ISO/IEC Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, el mismo que, mediante Acuerdo Ministerial 166 del 19 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública y publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013, es de aplicación obligatoria, junto con las otras normas de la familia INEN ISO/IEC 27000, en todas las entidades de la APCDI. La implementación del EGSI ha iniciado un proceso de mejora continua para gestión de la seguridad de la información en las entidades públicas. El EGSI, en general, demanda la adopción de una política de seguridad de la información, la organización y responsables de ejecutarla así como un conjunto de normas y directrices específicas para el cumplimiento de la misma. El EGSI se está implementado mediante un programa institucional creado en el sistema de Gobierno por Resultados (GPR) y liderado por la Secretaría Nacional de la Administración Pública. En ese programa se ha incluido a 180 instituciones 6

7 de las cuales se priorizado a 86 entidades por ser consideradas críticas, entre ellas: Presidencia, Vicepresidencia, Ministerios de línea, Secretarías Nacionales, Instituciones Adscritas y Dependientes, Instituciones financieras y empresa públicas. Este grupo de 86 entidades constituye la línea base del presente proyecto, en las cuales se está implementando las directrices marcadas como prioritarias en el EGSI (ver Anexo 2) La SNAP es la entidad pública que está organizando y coordinando los esfuerzos para posicionar el proceso de gestión de la seguridad de la información tanto a nivel de las entidades públicas como del gobierno en su conjunto Análisis de oferta y demanda a) Demanda Población de referencia: 15' de habitantes en el 2014 con una tasa de crecimiento de 1,95%, que podrían utilizar los sistemas de información gubernamental y estatal. Población demandante potencial: 4' personas que potencialmente utilizan o acceden a sistemas informáticos y aplicaciones Web a septiembre de 2013 según datos de la SENATEL, con una tasa de crecimiento de usuarios de Internet de 9.46%. Población demandante efectiva: son los funcionarios públicos que utilizan sistemas informáticos y aplicaciones Web (a través de la Internet) en las entidades públicas que a septiembre del 2013 alcanzaban la cantidad de de los cuáles el 59% son hombres y el 41% son mujeres 6. Población demandante proyectada: La tasa de crecimiento de funcionarios público se estima en 1.09% de la población demandante efectiva (al 2014) por lo que la población demandante proyectada alcanzaría la cantidad de funcionarios. b) Oferta Dado que la gestión de la seguridad de la información ha seguido un enfoque estrictamente tecnológico no se ha desarrollado la institucionalidad gubernamental que genere una oferta de procesos y servicios para apoyar a las entidades públicas en la gestión integral de la seguridad de la información. La oferta para satisfacer la demanda efectiva para para gestión de la seguridad de la información en base al Esquema Gubernamental de Seguridad de la Información es nula o no existe. c) Estimación del Déficit o Demanda Insatisfecha (oferta demanda) Debido que no existe oferta gubernamental de procesos y servicios para asistencia técnica, apoyo y capacitación en gestión de la seguridad de la información a las entidades de la administración pública (conforme la familia de normas INEN ISO/IEC y específicamente el Esquema Gubernamental de Seguridad de la Información), el déficit corresponde a la totalidad de la demanda 6 Véase consultado en diciembre de

8 existente Identificación y caracterización de la población objetivo La población objetivo para este proyecto constituyen los funcionarios públicos que trabajan en diferentes entidades de la administración pública. De esta población el 59% son hombres y el 41% son mujeres que geográficamente se encuentran distribuidos en todo el territorio nacional con especial concentración en las zonas urbanas de las grandes ciudades como: Quito, Guayaquil, Cuenca, Manta, Portoviejo, Ambato, Riobamba, el Oro, Loja y Santo Domingo. 3. OBJETIVOS DEL PROYECTO 3.1 Objetivo General y Objetivos Específicos Objetivo General Implementar, controlar y realizar seguimiento a la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional. Objetivos Específicos Objetivo Específico 1 (OE1): Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en la Secretaría Nacional de la Administración Pública. Objetivo Específico 2 (OE2): Capacitar a funcionarios de entidades de la Administración Pública Central Dependiente e Institucional en gestión de la seguridad de la Información y el Esquema Gubernamental de Seguridad de la Información. 3.2 Indicadores de resultados Objetivo Específico 1 (OE1): 100% de la infraestructura tecnológica de hardware y software de un sistema de gestión de eventos y seguridad de la información implementada en la Secretaría Nacional de la Administración Pública al finalizar el proyecto. Objetivo Específico 2 (OE2): 350 funcionarios de 86 entidades de la Administración Pública Central Dependiente e Institucional capacitados en gestión de la seguridad de la Información y en el Esquema Gubernamental de Seguridad de la Información al finalizar el proyecto. 8

9 3.3. Matriz de Marco Lógico Resumen Narrativo de Objetivos FIN: Reducir los impactos negativos a la seguridad de la información provocadas por amenazas, riesgos y vulnerabilidades de portales Web, sistemas y aplicaciones gubernamentales de entidades de la APCDI. Indicadores Verificables Objetivamente A los 6 meses de finalizado el proyecto: - 1 encuesta para medir la percepción de las entidades sobre la preparación de las mismas para mitigar amenazas y riesgos en la gestión de la seguridad de la información. Medios de Verificación - 1 Informe de resultados de la encuesta aplicada a las entidades participantes. Supuestos EGSI implementándose en las entidades de la APCDI participantes. Provisión a tiempo del presupuesto para la ejecución del proyecto. Colaboración de las entidades en la ejecución de la encuesta. Proyecto ejecutado exitosamente PROPÓSITO (u Objetivo General): Implementar, controlar y realizar seguimiento a la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional. Al finalizar el proyecto: - 1 sistema para gestión de eventos y seguridad de la información en operación en la SNAP funcionarios capacitados en gestión de la seguridad de la información - 1 informe técnico sobre las características del sistema para gestión de eventos seguridad de la información implementada y en operación. - 1 informe sobre los resultados de los eventos de capacitación en gestión de la seguridad y el EGSI impartidos. Procesos de contratación de hardware y software y del proveedor de capacitación ejecutados a tiempo. Cursos y/o eventos de capacitación facilitados a los funcionarios delegados por las entidades participantes. Apoyo decidido de entidades y funcionarios delegados para los eventos de capacitación. COMPONENTES (resultados u objetivos específicos): C1) Infraestructura tecnológica de hardware y Indicadores Verificables Objetivamente Al finalizar el proyecto: Medios de Verificación - 1 informe de la implantación del hardware y software para el Supuestos Proceso de contratación de hardware y software para el 9

10 software implementada para un sistema de gestión de eventos y seguridad de la información en la Secretaría Nacional de la Administración Pública % de la infraestructura tecnológica de hardware y software de un sistema de gestión de eventos y seguridad de la información implementada en la Secretaría Nacional de la Administración Pública. sistema de gestión eventos y seguridad de la información instalado en el centro de datos de la SNAP. - 1 informe de la puesta en operación del sistema de gestión de eventos y seguridad de la información en la SNAP. sistema de gestión de eventos realizado satisfactoriamente y a tiempo. C2) Funcionarios de entidades de APCDI capacitados en gestión de la seguridad de la Información y el EGSI Al finalizar el proyecto: funcionarios de 86 entidades de la APCDI capacitados en gestión de la seguridad de la Información y en el Esquema Gubernamental de Seguridad de la Información. - 1 informe de los eventos de capacitación facilitados a 350 funcionarios de 86 entidades de la APCDI. Decisión política, cooperación y colaboración de las autoridades y servidores públicos de las entidades participantes para los eventos de capacitación en gestión de seguridad de la información el Esquema Gubernamental de Seguridad de la Información. Participación comprometida de los responsables de seguridad de la información de cada una de las 86 entidades participantes. ACTIVIDADES PRESUPUESTO MEDIOS DE VERIFICACIÓN SUPUESTOS C1) Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en US$ ,00 - Términos de referencia y pliegos de contratación. - Documentación del contrato. - Cronograma y plan de trabajo. Proceso contratación ejecutado exitosamente y a tiempo. Pagos de facturas a tiempo al proveedor. Provisión de hardware y software a tiempo por parte del 10

11 la SNAP: - Contratación de hardware y software. - Diseño de la arquitectura del sistema de gestión de eventos y seguridad de la información. -Instalación, configuración, pruebas y puesta en operación de equipos y programas. - Entrenamiento y transferencia de conocimientos del sistema a técnicos de la SNAP. - Mantenimiento y soporte de equipos y software. C2) Capacitar a funcionarios de entidades de APCDI en gestión de la seguridad de la Información y el EGSI: - Contratación de la empresa de capacitación. - Diseño de los cursos de capacitación en normas INEN y 27005, EGSI, análisis de - Informes técnicos de los productos y servicios recibidos. - Actas de entrega-recepción de productos y servicios intermedios y finales recibidos. - Garantía técnica de equipos y software. - Documentación técnica del hardware, software y sistema de gestión de eventos. - Facturas de pagos al contratista. - Informes del contratista sobre ejecución del contrato. US$ ,00 - Términos de referencia y pliegos de contratación. - Documentación del contrato. - Cronograma y plan de trabajo. - Informes técnicos de avances de los eventos de capacitación. - Actas de entrega-recepción de productos y servicios interme- proveedor contratado. Participación efectiva y activa de las entidades y funcionarios en los cursos de capacitación. Proceso contratación ejecutado exitosamente y a tiempo. Pagos de facturas a tiempo al proveedor. 11

12 vulnerabilidades y pruebas de penetración a sistemas. -Preparación del material de los cursos y kits para los asistentes. - Elaboración de calendario de cursos y logística de los cursos. dios y finales recibidos. - Documentos de los cursos y material didáctico de apoyo. - Facturas de pagos al contratista. - Informes del contratista sobre ejecución del contrato. - Facilitación de los cursos, control de asistencia y evaluación de los alumnos. - Ejecución de encuestas sobre calidad de los cursos. 12

13 4. VIABILIDAD Y PLAN DE SOSTENIBILIDAD 4.1. Viabilidad Técnica Descripción de la Ingeniería del Proyecto Componente 1: Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en la SNAP La Secretaría Nacional de la Administración Pública mantiene y opera sistemas informáticos gubernamentales considerados críticos que atienden a miles de servidores públicos e inclusive a la ciudadanía en general. Entre esas aplicaciones se destacan: el sistema de gestión documental QUIPUX, el sistema de Gobierno por Resultados, el Bus de Servicios Gubernamentales, el portal Web de Trámites Ciudadanos, el sistema Web de Compromisos Presidencial, los portales Web de la Presidencia, Yo Gobierno y de 40 ministerios y entidades de la función ejecutiva, entre otros. Los sistemas funcionan en equipos instalados en los dos centros de datos que la SNAP administra. Esos centros de datos se encuentran en las ciudades de Quito y Guayaquil. La red de datos que comunica los dos centros de datos es proporcionada por la Corporación Nacional de Telecomunicaciones (véase figura 1). Figura 1: Centros de datos administrados por la SNAP Dadas las amenazas frecuentes de ataques informáticos a esos sistemas, surge la necesidad de realizar una vigilancia preventiva de eventos que puedan poner en riesgo la disponibilidad, continuidad y capacidad de los sistemas y potencialmente afectar a otras entidades públicas cuando las amenazas son a nivel gubernamental. 13

14 Para satisfacer esa necesidad se implementará un sistema compuesto de hardware y software que permita analizar el tráfico de datos que generan equipos de seguridad, servidores de computo, equipos de almacenamiento de datos, sistemas operativos, bases de datos, servidores de aplicaciones, etc., constituyendo un sistema de gestión de eventos y seguridad de la información. En general, el sistema por un lado realizará el inventario de los ítems de hardware y software a monitorear y por otro lado recolectará información que procesan esos ítems por medio de bitácoras también conocidos como logs. Con esa información y en base a una base de reglas pre-definidas, el sistema estará en capacidad de analizar y correlacionar la información en tiempo real para emitir alertas priorizadas sobre amenazas y riesgos a la seguridad de los ítems monitoreados. En caso que se presente un incidente de seguridad, el sistema permitirá su gestión en coordinación con otras áreas de la SNAP u otras entidades públicas que eventualmente puedan resultar afectadas o participen en los incidentes de forma involuntaria. El sistema a instalar está compuesto por: sensores, servidores de análisis, equipo para almacenamiento/custodia de logs más una aplicación para monitoreo, reporte y administración soportada sobre una base de datos. Sensores: Son equipos encargados de recoger los datos provenientes de diferentes nodos de la red, para monitorizar su actividad y contienen: Detectores de bajo nivel y monitores que pasivamente recolectan datos buscando patrones. Escáneres que pueden buscar vulnerabilidades en la red activamente. Agentes que reciben datos (logs) de equipos y software a efectos de normalización y envío tanto en formato original como normalizado para diferente tipo de análisis. Pueden recolectar logs por medio de: HTTP, HTTPS, SCP, FTP, SFTP, CIFS, SMB, TRAPS, SNMP, SYSLOG y SYSLOG-NG Un sensor puede realizar las siguientes funciones. Detección de intrusos Escáner de vulnerabilidades Detección de anomalías Análisis y monitorización de la red Recolección de datos de elementos locales, routers, firewalls,etc. Recolección de logs de dispositivos y aplicaciones. Servidores: Son equipos encargados de realizar el análisis y correlación en tiempo real de la información enviada por los sensores, que se muestra por medio de una aplicación de monitoreo, administración y configuración. Las características principales son: Normalizar, priorizar, recolectar y evaluar riesgos Correlacionar información en base a reglas predefinidas soportadas por el 14

15 mercado o programadas por el usuario a fin de generar alertas confirmadas. Administrar el sistema en tareas específicas como backups, inventario de equipos o ejecución de escaneos. Envío de los logs en formato normalizado a equipo logger para análisis forense. Loggers: Son equipos que permiten almacenar logs que son evidencia de algún incidente a la seguridad de la información. Los logs son almacenados de forma segura e integra a fin de que sirvan como evidencia digital y para análisis digital forense. Aplicación WEB: Es un software que permite administrar, configurar y operar el sistema. Adicionalmente, permite obtener consultas y acceder a la consola de monitoreo que muestra información gráfica y estadística del estado del sistema. Tanto los equipos como la aplicación utilizan una base de datos para almacenamiento de logs en crudo, eventos correlacionados y datos de configuración útiles para la gestión del sistema. El hardware y software del sistema será instalado, configurado y operado en el centro de datos de la SNAP en la ciudad de Quito. La figura 2 muestra el diseño arquitectónico de alto nivel del sistema a implementar: Figura 2: Diseño del Sistema de Gestión de Eventos y Seguridad de la Información Especificaciones Técnicas de los componentes del sistema a) Equipo sensor y recolector de logs Característica Requerimiento Tipo Servidor Appliance montable en rack 15

16 CPU RAM Velocidad mínima 2.40GHz mínimo 4 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 6-Port Gb Ethernet capacidad mínimo 1 Gbs. Sistema operativo Soporte a interfaces para SAN y/o NAS Basado en Linux Requerido b) Equipo para análisis y correlación de eventos Característica Requerimiento Tipo CPU RAM Servidor Appliance montable en rack Velocidad mínima 2.40GHz mínimo 8 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 2 puertos Gb Ethernet capacidad mínimo 1 Gbps Sistema operativo Capacidad procesamiento Basado en Linux Mínimo 5000 eventos por segundo Número de sensores soportados Mínimo 5 Soporte a interfaces para SAN y/o NAS Soporte a configuración de alta disponibilidad y tolerancia a fallas Requerido Requerido c) Equipo para custodia de logs y análisis forense Característica Requerimiento Tipo CPU RAM Servidor Appliance montable en rack Velocidad mínima 2.40GHz mínimo 4 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 6-Port Gb Ethernet capacidad mínimo 1 Gbs 16

17 Sistema operativo Soporte a interfaces para SAN y/o NAS Soporte a configuración de alta disponibilidad y tolerancia a fallas Basado en Linux Requerido Requerido d) Aplicación Web de monitoreo y control El sistema de gestión de eventos y seguridad de la información deberá: Detectar patrones definidos a través de firmas o reglas. Generar alertas cuando un comportamiento difiera lo suficiente de lo que ha aprendido como normal. Evaluar la importancia de una alerta en base al inventario de equipos, redes y aplicaciones. Valorar el posible impacto de una amenaza sobre un activo de información en base a una probabilidad de que esta ocurra. Correlacionar eventos en base a un algoritmo que analice los datos enviados por los sensores. Monitorear el nivel de riesgo de compromiso y de ataque a partir de la recepción de alertas que indican la posibilidad de que un activo de información ha sido comprometida, o está siendo atacada. El sistema debe monitorear activos de información por equipo, tráfico de datos, usuarios, sesiones, rutas de paquetes de datos, otros. Buscar en la base de datos de logs analizar de forma centralizada los eventos de seguridad de todos los elementos críticos de la red. Consultar información de la seguridad de los sistemas por medio de visores gráficos de alto nivel e indicadores específicos que midan el nivel de seguridad de todos los ítems de información inventariados. Unificar en sola consola y formato los eventos de seguridad de todos los sistemas críticos operativos de la SNAP. Recolectar registros de eventos de todos los dispositivos de red automáticamente por medio de agentes de integración y suministrar una herramienta que permita incluir ítems de información dispositivos que no sean soportados de fábrica. Recolectar registros de eventos para operaciones de seguridad y de cumplimiento de las normas de gestión de seguridad de la información ISO/IEC y otras relacionadas. Almacenar los registros de eventos de forma segura, confiable e inalterable y que puedan ser datos objeto de evidencia digital. Contar con un módulo de administración de arquitectura Web. Clasificar los dispositivos inventariados y monitoreados. Permitir el acceso inmediato y en tiempo real a la información. El sistema no deberá usar agentes externos o instalación de software en los dispositivos a monitorear. Incluir reglas de correlación pre-configuradas y parametrizables para ataques/riegos/fallas comunes. 17

18 Gestionar incidentes de seguridad de la información en base la norma ISO Permitir realizar análisis de vulnerabilidades para identificar brechas de seguridad y malas configuraciones de la infraestructura. Proveer una base predefinida de reportes estándar que permitan su aprovechamiento desde el inicio de la puesta en producción Crear roles y perfiles de acceso al sistema para diferentes usuarios Permitir integrarse a otras herramientas informáticas para gestión de infraestructura por medio de SMTP. Requerimientos de software base de la aplicación de monitoreo y control: El sistema de gestión de eventos y seguridad de la información deberá instalarse y operar con herramientas de Software Libre Opensource 7 : Sistema operativo: basado en Linux, de preferencia Centos o Redhat ALS Servidor de aplicaciones JEE: Apache Tomcat o Redhat JBOSS Base de datos: MySql o Postgres Lenguaje de programación: JAVA o PHP Reporteador: Basado en Software Libre Opensource La arquitectura del sistema deberá ser Web Componente 2 (C2): Capacitar a funcionarios de entidades de APCDI en gestión de la seguridad de la Información y el EGSI: El componente de capacitación consiste en facilitar cursos de formación en temas de gestión de la seguridad y del Esquema de Seguridad de la Información a funcionarios designados como responsables de la gestión de la seguridad en 86 entidades de la APCDI. La implementación del EGSI en entidades de la APDCI requiere la designación formal de los siguientes roles: Un Oficial de Seguridad de la Información Un Responsable de Seguridad de Tecnologías de la Información (TI) Esos funcionarios junto a un Comité de Seguridad de la Información tienen la responsabilidad de implementar el EGSI en las entidades públicas con el apoyo de las autoridades y los servidores públicos. Por su parte, el personal de las áreas de TI cumple un rol importante debido que son los encargados de la seguridad de los equipos y sistemas informáticos de las entidades. En este contexto, los cursos de capacitación serán dirigidos a 4 funcionarios delegados por las 86 entidades priorizadas. Estos funcionarios serán: 1 Oficial de Seguridad de la Información 1 Responsable de Seguridad de Tecnologías de la Información (TI) 2 ingenieros del área de TI 7 Conforme el Decreto Ejecutivo 1014 de uso de Software Libre en proyectos tecnológicos nuevos o en punto de no retorno 18

19 La capacitación incluirá a un equipo de 8 funcionarios de la SNAP, específicamente de la Subsecretaría de Gobierno Electrónico, unidad que está a cargo de monitorear y controlar la implementación del EGSI en las entidades de la APCDI y de la seguridad de los sistemas transversales gubernamentales (ej., QUIPUX, GPR, BSG, etc.). Temáticas y audiencia de los cursos de capacitación Se dictarán 5 cursos de capacitación en los siguientes temas relacionados a gestión de la seguridad de la información: No. TEMÁTICA AUDIENCIA ASISTENTES 1 Norma INEN ISO/IEC 27001: Sistemas de Gestión de la Seguridad de la Información.- Requisitos - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI - Ingeniero de seguridad de TI 3 por entidad 2 El Esquema Gubernamental de Seguridad de la Información (Norma INEN ISO/IEC 27002) 3 Norma INEN ISO/IEC 27005: Gestión del riesgo en la seguridad de la Información 4 Pruebas de penetración (*) 5 Análisis de incidentes - informática forense (*) - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI - Ingenieros de seguridad de TI - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI 3 por entidad 2 por entidad - Ingenieros de seguridad de TI 1 por entidad - Ingenieros de seguridad de TI 1 por entidad (*) La temática del curso podrá cambiar de acuerdo a necesidades específicas. Cursos y horarios No. TEMÁTICA DURACIÓN AULA HORARIO 1 Norma INEN ISO/IEC 27001: Sistemas de Gestión de la Seguridad de la Información.- Requisitos 2 El Esquema Gubernamental de Seguridad de la Información (Norma INEN ISO/IEC 27002) 3 Norma INEN ISO/IEC 27005: Gestión del riesgo en la seguridad de la Información 20 horas mínimo 20 horas mínimo 20 horas mínimo 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 4 Pruebas de penetración 20 horas 20 estudiantes Lunes a Viernes: 19

20 5 Análisis de incidentes (informática forense) mínimo 20 horas mínimo 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 13h30 a 17h30 4 horas Requerimientos académicos La empresa deberá acreditar experiencia en organización y facilitación de eventos de capacitación en general y específicamente en seguridad de la información para audiencia de profesionales. Los facilitadores de los cursos deberán ser profesionales que acrediten experiencia laboral y/o académica en gestión de seguridad de la información. Certificaciones en la materia serán considerada como valor agregado. Los syllabus de los cursos deberán preparase considerando que están dirigidos a profesionales con niveles de conocimiento bajo a medio en gestión de la seguridad de la información. Los syllabus de los cursos deberán considerar secciones teóricas y secciones de ejemplos, casos de estudios puntuales y ejercicios prácticos cuando proceda. Los contenidos del curso deberán ser preparados con antelación y puesto en consideración de la SNAP para su aprobación. Los cursos deben enfatizar el aprendizaje y estandarización de vocabulario propio de la gestión de la seguridad. Los syllabus deberán presentar el plan curricular de temas y actividades por día y hora a ser cumplidos por el docente. Se deberá entregar un kit o carpeta de materiales a los estudiantes al inicio de cada curso consistente en al menos: syllabus del curso, 1 texto del curso y las presentaciones o recursos didácticos del curso en formato impreso. Los archivos digitales de todos los documentos en formato no editable.pdf y editable.doc/.odt deberán ser entregados a la SNAP. Se llevará un registro de entrega del kit a los estudiantes. Será responsabilidad del proveedor transportar los materiales al sitio de capacitación. Se deberá gestionar la convocatoria a los cursos de capacitación por medio de llamadas telefónicas u otro medio electrónico que incentive la participación de los cursos. Requerimientos organizativos Se deberá implementar 2 aulas con capacidad de hasta 20 estudiantes de forma que se pueda impartir 2 cursos en paralelo en horario matutino (08h30 a 12h30) y vespertino (13h30 a 17h30) en días laborables de lunes a viernes con una duración de al me nos 20 horas. Si existieran feriados o vacancias los cursos se extenderán a los siguientes días laborables hasta completar las 20 horas. Se permitirá un tiempo de hasta 15 minutos para pausa y refrigerio. Las aulas deberán estar ubicadas en el norte de la ciudad de Quito con el 20

21 fin de facilitar la llegada y salida de los estudiantes. Las aulas de capacitación deberán tener: RollUps de identificación de la SNAP al entrar al aula de capacitación. Señalética para facilitar la localización de las aulas, cafetería, baños, hall, otros. Portátiles o computadoras de ser el caso Proyector de alta luminosidad en cada aula Parlantes y micrófonos de ser el caso Acceso a la internet desde la computadora(s) de la clase. Software necesario para desarrollo de los cursos (ej., programa de ofimática, lector de archivos.pdf y navegador Web) Pizarra de tiza liquida o electrónica Zona de exposición para el facilitador Pupitres/mesas con espacios con separación adecuados Aire acondicionado fijo o portátil de ser necesario Puerta con seguridad Baño(s) para hombre y mujeres separados Se deberá controlar la asistencia de los estudiantes a los curso fijando la hora de entrada y salida por medio de firmas de hojas de asistencia o por medios electrónicos. Cualquier novedad en la asistencia de os estudiantes deberá ser reportada como observación. Los estudiantes deberán ser evaluados al término de cada curso por medio de una prueba física o virtual de los conocimientos impartidos. Se entregará certificados de asistencia a los cursos siempre que hayan asistido el 90% de las horas del curso sin excepción. Se facilitará un coffee-break por cada 2 horas de curso consistente de bebida fría y/o caliente y bocadillo de sal o dulce. Durante el coffee-break habrá servicio de café permanente. Los cursos iniciarán y terminaran a las horas indicadas. Se permitirá el acceso de alumnos hasta máximo 10 minutos de iniciada la clase. El proveedor deberá preparar un informe de los 5 cursos a impartir, considerando datos cuantitativos de alumnos, asistencia, evaluaciones, notas, hojas de asistencia, encuestas de satisfacción y resultados y fotos de cada bloque/grupo de participantes. Se deberá notificar el equipo de personal de apoyo docente y logístico del curso. Metodologías, marcos de referencia y/o normas en el que se sustenta el proyecto El proyecto se sustenta en la aplicación de las normas técnicas para gestión de la seguridad de la información de la Organización Internacional de Estándares (ISO, por sus siglas en inglés) que han sido homologadas y aprobadas como normas ecuatorianas por el Institución Ecuatorianos de Normalización (INEN). Estas normas corresponden a la familia ISO/IEC y son: 21

22 CÓDIGO INEN ESTANDAR INEN ISO/IEC Sistema de gestión de seguridad de la información.- Descripción general y vocabulario INEN ISO/IEC Sistemas de Gestión de la Seguridad de la Información.- Requisitos INEN ISO/IEC Código de Práctica para la Gestión de la Seguridad de la Información INEN ISO/IEC Gestión de la Seguridad de la Información Guía de Implementación INEN ISO/IEC Gestión de la Seguridad de la Información - Medición INEN ISO/IEC Gestión del riesgo en la seguridad de la Información INEN ISO/IEC Requisitos para Organizaciones que Proveen Auditoría y Certificación de Sistemas de Gestión de la Seguridad de la Información ISO/IEC Guía para Auditar Sistemas de Gestión de Seguridad de la Información INEN ISO/IEC Guía para implementar ISO/IEC en organizaciones de la salud ISO/IEC Gestión de Incidentes de Seguridad de la Información El Esquema Gubernamental e Seguridad de la Información (EGSI) está basado en la norma INEN ISO/IEC El EGSI distingue un conjunto de directrices consideradas prioritarias que las entidades deben implementar en un plazo de 6 meses. 4.2 Viabilidad Financiera y/o Económica Metodologías utilizadas para el cálculo de la inversión total, costos de operación y mantenimiento, ingresos y beneficios. 8 La ejecución de este proyecto permitirá reducir considerablemente las amenazas de ataques informáticos, sustracción de información sensible o de seguridad nacional, ejecución de fraudes/delitos informáticos y sabotaje/daños a infraestructuras gubernamentales críticas, entre otras. Al reducir las mismas, los sistemas y servicios gubernamentales estarán disponibles de manera segura, confiable, e íntegra, generando ahorros por costos debido a fallos o suspensión de la operación de los sistemas, re-procesos de información, paralización de actividades gubernamentales, etc Identificación y valoración de la inversión total, costos de operación y mantenimiento, ingresos y beneficios. Inversión: Las inversiones necesarias para ejecutar las actividades del proyecto se agrupan en 2 componentes: 8 Se analizará únicamente la viabilidad económica del proyecto debido a que no se generará ingresos o beneficios de tipo financieros. 22

23 1. Implementación de infraestructura tecnológica de hardware y software para un sistema de gestión de eventos; y 2. capacitación en gestión de la seguridad y el Esquema Gubernamental de Seguridad de la Información a 352 funcionarios de 86 entidades de la APCDI. La inversión requerida para este proyecto será estatal y no se consideran aportes de la comunidad o de otra índole. La siguiente tabla presenta los rubros y montos de inversión para ejecutar el proyecto en el año RUBROS DE INVERSION MONTOS 2014 Hardware y software para sistema de gestión de eventos $196, Servicio de capacitación en seguridad de la información $450, Aportes comunidad $0.00 TOTAL $646, Costos de Operación y Mantenimiento: Los costos de operación comprenden el pago de sueldos al personal de la SNAP, específicamente de la Subsecretaría de Gobierno Electrónico, que se encargará del proceso de coordinación y control de la gestión de la seguridad de la información en las entidades de la APCDI y de la administración y operación del sistema de gestión de eventos y seguridad de la información. Se incluye en los costos, los pagos el servicio de acceso a la Internet y de enlaces de datos necesarios para que los programas de software sean accesibles por la Internet a una velocidad y rendimiento adecuados. Otros costos regulares son la compra se suministros de oficina y consumibles para respaldo (ej., cintas de backup). Los costos de mantenimiento son producto del pago del mantenimiento y soporte del hardware y software asociado al sistema de gestión de eventos y seguridad de la información (ej. server, logger y sensor) y los costos por alojamiento de los equipos en el centro de datos de la SNAP en Quito contratado a la CNT. La siguiente tabla indica los costos de operación y mantenimiento del proyecto para el primer año (2015). RUBROS OPERACION/MANTENIMIENTO MONTOS Sueldo personal operaciones STI $64, Servicio enlaces de datos/internet $24, Otros (útiles oficina, cintas respaldo, etc.) $18, Mantenimiento y soporte de hardware SNAP $40, Mantenimiento centro de datos SNAP $10, TOTAL $156, Ingresos: El proyecto no contempla el cobro de tarifas o tasas por la implementación del Esquema Gubernamental de Seguridad de la Información de forma que el proyecto no producirá ingresos económicos. Tampoco por el uso o acceso al sistema de gestión de eventos y seguridad de la información. 23

24 - Beneficios Valorados: Los beneficios se traducen en un ahorro económico considerable para las entidades públicas y en el gobierno en general debido a los costos que puede ocasionar la falta de disponibilidad y continuidad de un sistema gubernamental crítico (ej., Quipux) debido a un incidente de seguridad de la información. El número potencial de usuarios de sistemas gubernamentales críticos es la Población Demandante Efectiva, es decir, servidores públicos. Desde el ámbito de las entidades públicas, el ahorro se traduce en la disminución de horas no trabajadas debido a la falta de disponibilidad, continuidad y capacidad o rendimiento de un sistema informático gubernamental. Para el cálculo del ahorro se asume que de la población demandante efectiva ( ) no podrá trabajar al menos 1 hora debido a 1 incidente de seguridad en cualquier sistema gubernamental de carácter transversal. Se presume también que existirá al menos 1 incidente de seguridad por año que no permita acceder o utilizar un sistema informático gubernamental. El costo promedio de una hora de trabajo de un funcionario senior (servidor público 7) promedia los US$5. La siguiente tabla muestra el cálculo de los beneficios valorados en base a los supuestos explicados: Para el cálculo del ahorro por cada sistema se multiplica el número de funcionarios por el número mínimo de horas de trabajo perdidas por incidentes de seguridad por el costo promedio por hora laboral. El número de horas de indisponibilidad por incidente así como el costo por hora de funcionarios puede cambiar. Flujos Financieros y/o Económicos Indicadores Financieros y/ Económicos (TIR, VAN y otros) 24

25 Evaluación Económica Considerando una tasa de descuento del 12% se observa que el cálculo del beneficio/costo es 3.32, con una tasa interna de retorno 272,04%. La recuperación de la inversión se realiza en el segundo año (2015), por lo tanto se demuestra que la inversión será efectiva. 4.3 Análisis de Sostenibilidad Análisis de impacto ambiental y de riesgos Ninguna de las actividades a ser ejecutadas en el proyecto provocará impacto ambiental. El proyecto se encasilla en la categoría 2 como proyecto que no afecta al medioambiente ni directa o indirectamente por lo que no hace falta un estudio de impacto ambiental. Por la naturaleza del proyecto no hay posibilidad de provocar riesgos naturales por tanto no es necesario anticipar medidas de mitigación Sostenibilidad Social La implementación, control y seguimiento de la gestión de la seguridad de la información no hace distinción de raza, cultura, género, edad o razón social. Los funcionarios públicos se beneficiarán directamente mientras que los ciudadanos se beneficiarán indirectamente de los resultados del proyecto. El proyecto será sostenible en el tiempo por la tecnología a utilizar que privilegiará el uso de estándares y tecnologías abiertas así como la aplicación de estándares internacionales aprobados y homologados como nacionales por le INEN.. 5. PRESUPUESTO La fuente de financiamiento son recursos fiscales del año 2014 para proyectos de inversión (incluye pago de impuestos). 25