IRONWALL Grupo MNEMO. Fernando García Vicent Director General. Zona para Logotipo organización (es)

Transcripción

1 Seguridad para la Sede Electrónica y los Procedimientos Electrónicos en un entorno interoperable T16: Esquema Nacional de Interoperabilidad (2ª parte) 26/10/2010 Fernando García Vicent Director General IRONWALL Grupo MNEMO Zona para Logotipo organización (es)

2 Índice 1. Introducción 2. La Sede Electrónica y la Seguridad 3. Visión de la situación actual 4. Interoperabilidad segura para los Procedimientos Electrónicos 5. Conclusiones 2

3 1 Introducción Esquema Nacional de Interoperabilidad Art Ley 11/2007 El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservacion y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad." Esquema Nacional de Seguridad Art Ley 11/2007 El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. 3

4 2 La Sede Electrónica y la Seguridad Esquema Nacional de Seguridad La seguridad como un proceso integral Seguridad Organizativa, Física y Lógica. Prevención, Reacción y Recuperación. Ciclo de Vida: Instalación, Mantenimiento, Gestión de Incidencias y Desmantelamiento. Prevención ante otros sistemas de información interconectados. Registro de Actividad Trazabilidad. Gestión de Incidentes de Seguridad. Seguridad de Sedes y Registros Electrónicos. Medidas de seguridad a nivel organizativo y operacional, con medidas de protección de activos concretos según su naturaleza y nivel de seguridad. 4

5 3 Visión de la situación actual ESTARÁ SEGURA LA INFORMACIÓN DE MI EMPRESA? 5

6 3 Visión de la situación actual No ponemos mucha atención a la seguridad de la información. Esperamos que nuestros competidores roben nuestras ideas y tengan tan poco éxito como nosotros. 6

7 3 Visión de la situación actual SÓLO EL 5% DE LAS APLICACIONES SIN VULNERABILIDADES *Application Defense Center de Imperva 7

8 3 Visión de la situación actual EL 80% TIENEN VULNERABILIDADES SEVERAS *Cenzic Intelligent Analysis Lab 8

9 3 Visión de la situación actual 49% DE LAS VULNERABILIDADES SON PUBLICADAS SIN CONTAR CON PARCHE/FIX *X-Force de ISS/IBM 9

10 3 Visión de la situación actual 1 INCIDENTE PÚBLICO CADA SEMANA *The Web Hacking Incident DB y Application Defense Center de Imperva 10

11 4 Interoperabilidad segura OBJETIVOS A CUBRIR: GESTIONAR RIESGOS CORPORATIVOS MEJORAR LOS NIVELES DE SERVICIO LOGRAR UNA PROTECCIÓN INTEGRAL ACTUAR CONTRA CIBERAMENAZAS 11

12 4 Interoperabilidad segura ÁMBITOS DE LA SEGURIDAD Ciberseguridad Seguridad en Aplicaciones y Bases de Datos Seguridad en el puesto de trabajo Seguridad en redes (externa e interna) Sistema de Inteligencia en Seguridad (SIS) Modelo tecnológico Modelo operacional Modelo Metodológico Modelo Organizacional 12

13 4 Interoperabilidad segura TRABAJAR CON METODOLOGÍAS CONTRASTADAS 13

14 4 Interoperabilidad segura SEGURIDAD DE APLICACIONES *Fuente: IMPERVA SecureSphere Data Security Suite 14

15 4 Interoperabilidad segura SEGURIDAD DE APLICACIONES Identificar las bases de datos e información confidencial. Conocer el comportamiento de los usuarios en las aplicaciones. Proteger end-to-end aplicaciones y bases de datos. Proteger contra vulnerabilidades conocidas y desconocidas. Aplicación segura Ventana de exposición Vulnerabilidad encontrada o publicada Análisis Planificación del código Planificación del parche Codificación Aplicación en pruebas QA Ventana de mantenimiento para poner en producción Aplicación segura Virtual Patch a través del Firewall aplicativo y de BBDD Ventana de protección 15

16 4 Interoperabilidad segura DESARROLLO SEGURO Gestión del riesgo en el SDLC Controles Generales 1. Requerimientos 2. Diseño 3. Desarrollo 4. QA/Pruebas 5. Implementación / Operación Reglas de codificación Patrones de diseño Requerimientos de seguridad Separación de ambientes Protección de código fuente Protección de datos de prueba Categorización de aplicaciones Identificación y revisión de requerimientos de seguridad Análisis de riesgos y modelos de amenazas Casos de uso y abuso Principios y patrones de diseño Búsqueda de vulnerabilidades en código Guías técnicas de implementación ESAPI Guías técnicas de requerimientos de seguridad Reglas de codificación segura Guías técnicas de patrones J2EE Pruebas de Penetración Checklist de pruebas mínimas de seguridad Guías de testing de seguridad 16

17 SEGURIDAD GESTIONADA 4 Interoperabilidad segura Correlación Actividades Sospechosas Monitorización 7X24 Incidentes de Seguridad Falsos Positivos Almacenamiento Preparación Harden/Secure Detección Monitoreo Notificación Identificación Mejora Continua Respuesta Aprendizaje Contención Investigación Recuperación Erradicación SEGUIMIENTO Proceso de IR dsa Dispositivos Tipificación Análisis de Impacto Planificación Autorización Control de la Ejecución Roll Back Service Desk Proceso de Control de Cambios Usuario 17

18 5 Conclusiones La Seguridad es un elemento principal para la Ley 11/2007 La Ley crea expresamente el ENI y el ENS. OBJETIVO: Garantizar el acceso electrónico de los ciudadanos con interoperabilidad completa y seguridad integral. La Sede Electrónica constituye el punto de acceso a los procedimientos electrónicos de cada organismo, y por este motivo, está sujeta a posibles incidentes de seguridad, en función de las vulnerabilidades de las tecnologías sobre las que esté construida. Es necesario incorporar los procesos, los servicios y las infraestructuras de seguridad que garanticen una protección adecuada de la información: Seguridad en red externa e interna. Seguridad de aplicaciones y de BBDD. Desarrollo seguro de aplicaciones y Certificaciones de Seguridad. Pruebas de Penetración y Análisis de Vulnerabilidades recurrentes. Operación, Monitorización y Gestión de incidentes de seguridad. Acuerdos de Nivel de Servicio. Mantenimiento de la infraestructura de seguridad con TCO manejable. 18

19 Fin de la presentación Muchas gracias 19