Subdirección General de Tecnologías de la Información y las Comunicaciones. Pedro Ángel Merino Calvo Jefe del Servicio de Auditoría y Seguridad

Transcripción

1 Aplicación en la SGTIC Ministerio de Trabajo e Inmigración Subdirección General de Tecnologías de la Información y las Comunicaciones Pedro Ángel Merino Calvo Jefe del Servicio de Auditoría y Seguridad

2 Política de Seguridad Informática debe garantizar La Disponibilidad de los sistemas de información La Recuperación de los sistemas de información La Trazabilidad de los sistemas de información La Autenticidad de la información La Integridad de la información (calidad) El Acceso a la información La Confidencialidad de la información La Conservación de la información y debe respetar La Legalidad vigente Cumplimiento de requisitos legales

3 Cumplimiento de requisitos legales Ley 11/2007, acceso electrónico de los ciudadanos a los Servicios Públicos Artículo 42 Esquema Nacional de Seguridad RD 3 / 2010 Derecho del Ciudadano a comunicarse mediante medios telemáticos Igualdad - Accesibilidad ENS confianza del ciudadano seguridad de los sistemas custodia de la información Nos obliga a dotarnos de los medios necesarios para que ese derecho sea una realidad eficaz y eficiente 75 Medidas: organizativas operacionales protección Plan de Adecuación Ley 15/1999 Protección de Datos de Carácter Personal R.D. 1720/2007 Reglamento de desarrollo de la LOPD Seguridad Calidad Derechos de Ciudadanos Ley 32/2003, General de las Telecomunicaciones Ley 25/2007, Conservación de Datos Relativos a las Comunicaciones Electrónicas Orden PRE/2740/2007 Reglamento de Evaluación y Certificación de la Seguridad Conservación Seguridad Certificación

4 servicios Qué tenemos que proteger? Los que se prestan a los ciudadanos o a otras administraciones. Excluyendo servicios internos: correo electrónico, impresión, etc. ACTIVOS Cómo? información La información importante para el proceso administrativo y pueden ser tratados en algún servicio (L11/2007). No datos auxiliares Gestión Integral de la Seguridad de la Información Principios Básicos gestión de riesgos; prevención, reacción y recuperación; líneas defensa, reevaluación Requisitos Mínimos política seguridad; compromiso global; responsable (seguridad-sistema) ; comité Medidas a Adoptar Medidas a Adoptar (4) Marco Organizativo [org]- (31) Marco Operacional [op]- (40) Medidas de Protección [mp]

5 Esquema Nacional de Seguridad Aplicación Mto Mto.. de Trabajo e Inmigración un trabajo complicado y con pocas referencias 30/01/2011 Seminarios Charlas Sesiones con Empresas RD 3/2010

6 Aplicación Mto. de Trabajo e Inmigración Fases del Proyecto Trabajos Previos y Determinación del Alcance Identificación y Clasificación de Activos Categorización de los Activos: Alto, Medio, Básico Auditorías de Cumplimiento del ENS para cada Activo Análisis y Valoración de Resultados: Globales y Detallados Determinación de las Medidas de Mejora para cada Activo Plan de Adecuación: General Transversal y Detallado por Activo Presentación de Resultados a todas las Unidades: Compromiso Aplicación de las medidas Gestión Integral: Seguimiento y Control Mejora y Mantenimiento

7 Identificación y Clasificación de Activos Activos Obtenidos Se decide agrupar los activos de información por áreas de contenidos homogéneas, consiguiendo de esta forma la máxima efectividad con un esfuerzo menor, ya que se reducen las auditorias a ejecutar y por el contrario las medidas de cada grupo son aplicables de forma individual. Los servicios de tratan como activos de forma individual, al no ser homogéneos. ACTIVOS INFORMACION REALES AGRUPADOS ACTIVOS SERVICIO

8 Categorización de los Activos Determinar si los requisitos de seguridad a aplicar son de nivel alto, medio o básico en cada una de las dimensiones de seguridad: se considerará el nivel más alto confidencialidad integridad disponibilidad autenticidad trazabilidad Información obligatorio conveniente poco habitual conveniente conveniente Servicios poco habitual frecuente obligatorio frecuente frecuente Metodología empleada: Checklist para la categorización de la información (20 activos) Checklist para la categorización de los servicios (15 activos) Se considera: RTO (Tiempo de Recuperación del Servicio ) SLA (Acuerdos de nivel de servicio en contratos) ALTO MEDIO BÁSICO INFORMACION SERVICIO INFORMACION SERVICIO INFORMACION SERVICIO

9 Auditoría de Cumplimiento: Metodología ENS 75 Medidas Iniciales Marco organizativo [org]: 4 Marco operacional [op]: 31 Medidas de protección [mp]: 40 Desarrollo y Reclasificación 479 Puntos de Control Marco organizativo [org]: 67 (Transversales) Marco operacional [op]: 207 (88 producción y 119 desarrollo) Medidas de protección [mp]: 205 (124 producción y 81 desarrollo) Checklist: Información Servicio Alto Medio Bajo

10 Auditoría de Cumplimiento: Checklist Puntos de Control: 479 Comunes 67 (14%) Producción 226 (47%) Desarrollo 186 (39%)

11 Análisis de Resultados: Metodología Estadísticas Informe Medidas de Mejora Checklist [35] : Información [20] Servicio [15] Valoración y Medidas a Planificación de la Alto [11] Medio [17] Bajo [7] Análisis Adoptar implantación Plan de Adecuación

12 Resultados Obtenidos Si solo consideramos las medidas de tipo técnico, eliminando las Medidas Organizativas, el grado de adaptación es del 61,6%.

13 Resultados Detallado: Ejemplo SIRIA Sistema de Información de Refugiados, Inmigrantes y Solicitantes de Asilo Total Producción Desarrollo 62% 64% 56%

14 Resultados Obtenidos

15 Tipología de las Medidas: Clasificación Transversales: Afectan a todos los sistemas y/o subsistemas donde residen los activos, su ejecución produce una mejora en todos ellos. Particulares o Detalle: Afectan al sistema y/o subsistema donde reside el activo, su ejecución produce una mejora en el activo solamente. Afectan a la información: De aplicación en Sistemas y Subsistemas de Información Afectan al servicio: De aplicación en los Servicios que se presta Afectan al servicio e información

16 Determinación de las Medidas a Adoptar Clasificación de las medidas en función de su aplicación a las Unidades de Desarrollo o las de Infraestructuras y Comunicaciones. (Puntos de Control) Cuantificación del Riesgo Cubierto al aplicar cada medida. Cuantificación de la Dificultad de Implantación en función de los recursos a tener que emplear. Cuantificación del Tiempo de Implantación de la medida.

17 Plan de Adecuación Nivel Alto 4.5 años Nivel Medio 3.6 años Nivel Básico: 2.5 años Marco Organizativo Marco Operacional Medidas Protección Total Febrero % 49% 68% 59% Julio % 59% -- 65% Diciembre % 71% 73% 73% Julio % 80% 80% Diciembre % 88% 88% Julio % 95% 95% Diciembre % 100%

18 Plan de Adecuación Estructuración Activo 1 Activo N Activo 1 Activo N Activo 1 Activo N Plan de Adecuación Detallado Área de Conocimiento 1 Plan de Adecuación Detallado Área de Conocimiento 2 Plan de Adecuación Detallado Área de Conocimiento 3 Plan de Adecuación Transversal: Desarrollo/Producción Plan de Adecuación General Control Implantación Formalización del Comité de Seguridad

19 Gestión Integral de la Seguridad Seguimiento - Control - Mantenimiento Fase1 Plan de Adecuación: Medidas Comité de Seguridad Declaración de Aplicabilidad Fase2 Ejecución de Medidas Seguimiento y Control Mantenimiento: Ciclo de vida Fase3 Declaración de Conformidad Gestión Integral de la Seguridad Auditorias cada 2 años Disponemos DOC: Políticas, Normas, Procedimientos,. Planificación de la actuación Medidas adoptar por activo Necesitamos Seguimiento y Control de las medidas Gestión Documental por niveles de acceso Cuadro de Mandos: Indicadores, Métricas, Gestión y Ejecución de Auditorías de Control Gestión del Inventario Gestión de Incidencias Documento Seguridad, Alta ficheros, ARCO Formación y concienciación de los usuarios

20 Gestión Integral de la Seguridad Seguimiento - Control - Mantenimiento Seguimiento y Control de las medidas a aplicar Gestión Documental por niveles de acceso Cuadro de Mandos: Indicadores, Métricas, Gestión y Ejecución de Auditorías de Control Gestión del Inventario Gestión de incidencias Documento Seguridad, Alta ficheros, Derechos ARCO Formación y concienciación de los usuarios (On-Line) Ahorro Presupuestario Software Libre Open Source Especialización Mantenimiento - Consultoría Beneficios Gestión de activos: Automático Manual Gestión de incidencias Gestión de Auditorías Análisis de Riesgos Cuadros de mandos según necesidad Autenticación única Gestión de Usuarios Apariencia de una sola aplicación BBDD única Mantenimiento y Asesoramiento Formación a medida de los usuarios Gestión LOPD Derechos ARCO Sistema de Seguridad Integral

21 Comité de Seguridad Responsable de la Información: Determina los requisitos de seguridad de la información Responsable del Servicio: : Determina los requisitos de seguridad del servicio Responsable de la Seguridad: : Se encarga de aplicar las medidas de seguridad establecidas por los responsables (información y servicios). Responsable del Sistema: : Responsable de que los servicios se presten. Responsable del Fichero: adoptar y velar por las medidas de seguridad (RD 1720/2007 LOPD)

22 solamente aquel que construye el futuro tiene derecho a juzgar el pasado