Adecuación al Esquema Nacional de Seguridad en Gobierno de Navarra

Transcripción

1 Adecuación al Esquema Nacional de Seguridad en Gobierno de Navarra Informatika, Telekomunikazio eta Berrikuntza Publikoaren Zuzendaritza Nagusia Dirección General de Informática, Telecomunicaciones e Innovación Pública

2 Índice 1. Contexto general 2. Estrategia de adecuación 3. Estado actual de cumplimiento 4. Próximos pasos 5. Conclusiones 2

3 Contexto general La Comunidad Foral de Navarra en cifras: Población total: habitantes. Con el 42% de la población en municipios de más de habitantes, el 39% en municipios entre y habitantes, y un 19% en municipios de menos de habitantes. Gran dispersión de sedes de Gobierno de Navarra en un territorio de difícil orografía. Por ejemplo: redes de datos en 798 sedes, telefonía fija en 499 sedes, etc. Número de personas al servicio de la Administración de la Comunidad Foral: aprox Autogobierno con régimen jurídico propio y competencias en diferentes materias: Tributaria. Hacienda Foral para establecer y recaudar los impuestos. Seguridad: Cuerpo de Policía Foral de Navarra. Otros 3

4 Contexto general El Servicio de Infraestructuras Tecnológicas y Centro de Soporte (SITyCS) Ubicado en la Dirección General de Informática, Telecomunicaciones e Innovación Pública (DGITIP), dentro del Departamento de Presidencia, Función Pública, Interior y Justicia. Compuesto por cuatro secciones, una de ellas relativa a la Seguridad y Gestión del Rendimiento. Vicepresidencia de Desarrollo Económico Vicepresidencia de Derechos Sociales Hacienda y política financiera Presidencia, Función Pública, Interior y Justicia Relaciones Ciudadanas e Institucionales Educación Salud Cultura, Deporte y Juventud Desarrollo Rural, Medio Ambiente y Administración Local Función Pública Justicia Informática, Telecomunicaciones e Innovación Pública Interior Presidencia y Gobierno Abierto Secretaría General Técnica Sistemas de Información Corporativos Sistemas de Información Departamentales Sistemas de Infraestructuras Tecnológicas y Centro de Soporte Sistemas de Información del Área Sanitaria Organización e Innovación pública Secretaría General Técnica Infraestructuras Tecnológicas Seguridad y Gestión del Rendimiento Producción Sistemas de Telecomunicaciones 4

5 Contexto general Competencias para TODA la Administración de la Comunidad Foral de Navarra y sus Organismos autónomos en materia de: Definición, coordinación, difusión y asesoramiento en materia de políticas y directrices de seguridad de la información. Coordinación con el estado en materia de seguridad. Estrategia, definición, propuesta, desarrollo, control y seguimiento y evolución de arquitectura tecnológica, infraestructuras y entornos tecnológicos, redes y sistemas de telecomunicaciones. Control y seguimiento de niveles de servicio: disponibilidad, rendimiento y seguridad. Gestión de incidencias masivas graves. Prestación y soporte a los usuarios de sistemas de información. Adquisición y mantenimiento de los equipos informáticos y software base de usuario final. 5

6 Contexto general Organización y recursos de Seguridad No existe Comité de Seguridad a nivel transversal de todo Gobierno de Navarra. Hay Departamentos que cuentan con una unidad de Seguridad propia, en los cuales siempre está identificada la figura del Responsable de Seguridad. En otros Departamentos, esta figura no está formalmente definida. Dentro de nuestra Dirección General, en el seno de la Oficina Técnica: Desde 2014 existe un grupo de trabajo denominado Grupo de Arquitectura de Seguridad (GAS), que intenta definir y coordinar desde el ámbito TIC las estrategias generales de adecuación y cumplimiento normativo para todo Gobierno de Navarra. Su misión es coordinar a los diferentes servicios de la Dirección General con el fin de apoyar a los Departamentos de Gobierno de Navarra en materia de cumplimiento normativo (LOPD, ENS, etc.). 6

7 Índice 1. Contexto general 2. Estrategia de adecuación 3. Estado actual de cumplimiento 4. Próximos pasos 5. Conclusiones 7

8 Estrategia de adecuación Nivel de madurez en materia de seguridad muy dispar entre los diferentes departamentos de Gobierno de Navarra. Estrategia diferenciada pero complementaria entre el Servicio de Infraestructuras y los departamentos del Gobierno de Navarra. Impulsado siempre desde la DGITIP 8

9 Estrategia de adecuación Infraestructuras: Aprovechar el impulso y madurez en materia de seguridad y cumplimiento normativo obtenidos en trabajos previos de adecuación y auditoría (ISO del Organismo Pagador de Desarrollo Rural). Alcance restringido a los activos del Servicio de Infraestructuras Tecnológicas y Centro de Soporte. Utilizando recursos propios del Servicio y el asesoramiento de la Asistencia Técnica de Seguridad. 9

10 Estrategia de adecuación Infraestructuras. Premisas Enfoque de abajo a arriba : la infraestructura que soporta los sistemas de información debe cumplir los máximos requerimientos posibles, y complementar la seguridad propia de los sistemas de información de los departamentos de Gobierno. Enfoque horizontal: todos los activos de una misma clase deben cumplir los mismos requisitos. Análisis de requerimientos de nivel alto: todos nuestros activos, por herencia, acaban teniendo un nivel de seguridad alto. Centrado en las medidas de seguridad del anexo II. Metodología propia Análisis de riesgos basado en MAGERIT II Plan de adecuación diferenciado, centrado especialmente en los requerimientos técnicos Criterios propios acerca de cómo dar cumplimiento a los requerimientos del anexo II (previo a publicación de guías CCN-STIC-800) 10

11 Estrategia de adecuación Infraestructuras. Análisis de riesgos Basado en MAGERIT II Herramientas propias (no se utiliza PILAR) Clasificación de activos: 83 activos en 10 categorías Servicios Terceros Datos/Información Software Hardware Comunicaciones Soportes de información Equipamiento auxiliar Instalaciones Personal 11

12 Estrategia de adecuación Infraestructuras. Análisis de riesgos 12

13 Estrategia de adecuación Infraestructuras. Plan de adecuación Identificar las actuaciones diseñadas para cumplir con las medidas exigidas por el ENS, que por su naturaleza sean horizontales a todos los sistemas de información de GN. 44 proyectos en 10 áreas Recoger claramente para cada actuación las insuficiencias que subsana. No sólo teniendo en cuenta los requerimientos del ENS (ENS + ISO LOPD) Determinar el grado de cumplimiento de GN con dichas medidas de seguridad 13

14 Estrategia de adecuación Infraestructuras. Plan de adecuación 14

15 Estrategia de adecuación Infraestructuras. Plan de adecuación 0% 2% Implantados % 21% Implantados % 9% Implantados 2013 Implantados 2014 Implantados % 5% 25% Cumplimiento parcial Implantación 2016 SITCS-Sin delimitar Otros-Sin delimitar 15

16 Estrategia de adecuación Departamentos de Gobierno de Navarra. Nivel de partida y cultura de seguridad muy diferente entre los diferentes departamentos Enfoque: aprovechar auditorías bianuales de LOPD para realizar auditorías conjuntas de LOPD y ENS Auditorías Equipo de trabajo: Recursos propios de cada departamento (responsables de negocio y de seguridad) Personal de la DGITIP (responsables técnicos y especialistas en seguridad) Equipo auditor externo Alcance: sistemas de información de uso directo por parte del ciudadano Metodología Evaluación del nivel de seguridad del sistema (CIDAT) conjunta entre los responsables de negocio (Departamentos) y los responsables técnicos (DGITIP) Obtención de los requerimientos del anexo II Auto-Evaluador de medidas Evaluación del cumplimiento de los requisitos Redacción del Documento de Aplicabilidad y Plan de Adecuación complementario al de Infraestructuras. Elaboración de un análisis de riesgo simplificado de cada sistema auditado (5 activos genéricos, 48 amenazas) 16

17 Estrategia de adecuación Auto-evaluador de medidas 17

18 Estrategia de adecuación Análisis de Riesgo simplificado 18

19 Estrategia de adecuación Declaración de Aplicabilidad y Plan de Adecuación Departamental Análisis de Riesgos de S.I. Departamental Declaración de Aplicabilidad y Plan de Adecuación de Infraestructuras Análisis de Riesgos de Infraestructuras 19

20 Estrategia de adecuación Departamentos de Gobierno de Navarra. Auditorías Hallazgos comunes No se ha conformado un Comité de Seguridad. Dificulta el diseño de estrategias comunes. Plan de continuidad de servicios incompleto (exceptuando mainframe y almacenamiento de datos) Gestión de incidencias de seguridad parcial (muy enfocada en aspectos técnicos, poco en funcionales) Carencia de una gestión de capacidad completa (importantes carencias antes de la puesta en producción). Ausencia de metodología transversal de desarrollo seguro.» Enfoque de abajo a arriba : auditoría obligatoria de aplicaciones antes del paso al entorno de Producción. Falta de formación específica en materia de seguridad. 20

21 Índice 1. Contexto general 2. Estrategia de adecuación 3. Estado actual de cumplimiento 4. Próximos pasos 5. Conclusiones 21

22 Estado actual Servicio de Infraestructuras 2% 13% 85% Plan de Adecuación Grado de implantación Total/parcial Previsto 2016 Otros/sin delimitar Departamentos Gobierno de Navarra GOBIERNO DE NAVARRA ORGANISMO AUDITORÍA FECHA Salud LOPD + ENS Diciembre 2014 Educación LOPD + ENS Febrero 2015 Desarrollo Rural y Medio Ambiente FEGA/Organismo Pagador ISO 27002: LOPD Mayo 2015 Justicia LOPD + ENS Junio 2015 HTN LOPD + ENS Octubre

23 Índice 1. Contexto general 2. Estrategia de adecuación 3. Estado actual de cumplimiento 4. Próximos pasos 5. Conclusiones 23

24 Próximos pasos 2016 Servicio de Infraestructuras Publicación de la Política y Cuerpo Normativo de Seguridad Puesta en marcha del segundo CPD Infraestructura PKI propia Actualización del Plan de Adecuación Análisis de los cambios en el ENS publicados el 4/11/2015 Adecuación a las instrucciones técnicas, guías de seguridad y herramientas del CCN» Gestión de incidentes de seguridad» LUCIA, INES Departamentos de Gobierno de Navarra Designación de Responsables de Seguridad y conformación del Comité de Seguridad. Abordar los Planes de Adecuación resultantes de las auditorías LOPD + ENS Plan de formación Diseño de metodología de adecuación Sencillo de implantar y de mantener Aprovechando las herramientas y metodología de trabajo de la DGITIP (catálogos, inventarios, roles, entregables, procedimientos, etc) Análisis de riesgo simplificado 24

25 Índice 1. Contexto general 2. Estrategia de adecuación 3. Estado actual de cumplimiento 4. Próximos pasos 5. Conclusiones 25

26 Conclusiones Gobierno de Navarra parte de una situación con un nivel de madurez muy dispar entre los diferentes Departamentos. El Esquema Nacional de Seguridad implica un gran salto cualitativo en la gestión de la seguridad. Se ha empleado una aproximación sencilla, pragmática, humilde Contando con recursos propios en la mayoría de casos A medio plazo, buscando la adecuación paulatina y el retorno de beneficio más que el cumplimiento por el cumplimiento. Ha permitido implementar una cultura de mejora continua, en la que la seguridad es parte intrínseca de todo el ciclo de vida de los sistemas de información. 26

27 Conclusiones La inexistencia de un comité de seguridad ha motivado la adecuación a dos niveles, con diferentes estrategias pero un punto de convergencia común. La creación de la Política de Seguridad (2012) y el Cuerpo Normativo de Seguridad ( ) permite cumplir con buena parte de las medidas del marco organizativo. 27

28 Gracias por su atención! Preguntas? 28