Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Transcripción

1 Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

2 Presentación de Pozuelo de Alarcón

3 Presentación de Pozuelo de Alarcón

4 Presentación de Pozuelo de Alarcón

5 Presentación de Pozuelo de Alarcón

6 Presentación de Pozuelo de Alarcón

7 Presentación de Pozuelo de Alarcón

8 Cumplimiento del Esquema Nacional de Seguridad del Ayuntamiento de Pozuelo de Alarcón

9 Esquema Nacional de Seguridad

10 Esquema Nacional de Seguridad 1. Auditorías Técnicas de Seguridad, debilidades ante ataques internos y externos. Hacking ético 2. Análisis de los Riesgos de Seguridad a los que están expuestos los activos de Información del Ayuntamiento 3. Análisis de Cumplimiento Legal, y más concretamente: Ley 11/2007, de 22 de Junio, de Acceso Electrónico Ley 34/2002, de 11 de Julio, Servicios de la Sociedad de la Información, y su modificación por la Ley 56/2007, de Medidas de Impulso de la Sociedad de la Información

11 1. Auditorías Técnicas de Seguridad 2. Análisis de los Riesgos de Seguridad 3. Análisis de Cumplimiento Legal

12 1. Auditorías de seguridad Auditoría interna: comprobar cuál es el nivel de seguridad de los sistemas de información del Ayuntamiento frente a intrusiones originadas desde la red interna Auditoría externa:detectar posibles vulnerabilidades o debilidades técnicas en los sistemas desde Internet Las siguientes gráficas muestran información sobre vulnerabilidades encontradas en los diferentes análisis realizados y el impacto que tendría cada una de ellas en los sistemas si éstas llegaran a ser explotadas

13 1. Auditorías de seguridad Auditoría interna: Vulnerabilidades

14 1. Auditorías de seguridad Auditoría interna: Impactos

15 1. Auditorías de seguridad Auditoría Externa: Vulnerabilidades

16 1. Auditorías de seguridad Auditoría Externa: Impactos

17 1. Auditorías Técnicas de Seguridad 2. Análisis de los Riesgos de Seguridad 3. Análisis de Cumplimiento Legal

18 2. Análisis de Riesgos Activos de Información Qué actuaciones realizamos? Se identificaron y valoraron los activos de información. Se establecieron las relaciones de dependencias entre activos Se identificaron y valoraron las amenazas sobre los activos Se analizaron las salvaguardas o medidas de seguridad desplegadas en el Ayuntamiento para mitigar las amenazas.

19 2. Análisis de Riesgos Activos de Información Cómo se llevaron a cabo? Tomando como referencia la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información MAGERIT-II Utilizando la herramienta PILAR Aplicando los indicadores de cumplimiento de la ISO y la ISO 27002

20 2. Análisis de Riesgos Activos de Información Cumplimiento ISO 27002: Áreas analizadas Política de seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad relacionada con los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de incidentes de seguridad de información Gestión de la continuidad del negocio

21 1. Auditorías Técnicas de Seguridad 2. Análisis de los Riesgos de Seguridad 3. Análisis de Cumplimiento Legal

22 3. Análisis de Cumplimiento Legal Ley 11/2007, de 22 de Junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad(ENS) Objetivo Incorporar a nuestra Estrategia las medidas de seguridad exigidas en dicha normativa y que deben ser implantadas en un plazo máximo de cuatro años desde la aprobación del ENS.

23 3. Análisis de Cumplimiento Legal Ley 34/2002, de 11 de Julio, Servicios de la Sociedad de la Información, y su modificación por la Ley 56/2007, de Medidas de Impulso de la Sociedad de la Información

24 3. Análisis de Cumplimiento Legal

25 Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

26 Medidas Estrategia de Seguridad Se han dividido en: Medidas Organizativas: abordan aspectos tales como políticas, procedimientos y acciones relativas a recursos humanos en el seno del Ayuntamiento Medidas Técnicas:aspectos relativos a la seguridad física y lógica de los Sistemas de Información del Ayuntamiento.

27 Medidas Estrategia de Seguridad Plazos de Ejecución: A corto plazo: en un periodo inferior a 6 meses A medio plazo: en menos de 1 año A largo plazo: más de 1 año.

28 Medidas Estrategia de Seguridad Finalmente, hemos distinguido las medidas en función del agente que las ejecute: El Ayuntamiento de Pozuelo Susceptibles de Externalizar

29 Medidas Organizativas. Por Ayuntamiento Título Comité de Seguridad de la Información Asignación e Identificación de Responsabilidades Aprobación, difusión de Políticas, Procedimientos y Normativas de Seguridad Cláusulas de Seguridad y Acuerdos de Nivel de Servicio Gestión de Tarjetas de Acceso Régimen de Visitas Procedimiento Alta, Baja, y Modificación de Usuarios Control de Acceso Remoto Entrada y Salida de Activos de Información Implantación de un SGSI Clasificación de la información Procedimiento Disciplinario Aceptación del Manual del Empleado Tiempo Estimado (semanas) 4 semanas 2 semanas 1 semana 1 semana Ejecución periódica Ejecución periódica 2 semanas (implantación) Ejecución Periódica 2 semanas (implantación) Ejecución Periódica 1 semana (implantación) Ejecución Periódica 6 semanas 8 semanas Ejecución Periódica 1 semana (definición) 3 semanas (difusión) Ejecución periódica

30 Medidas Organizativas Susceptibles de externalización Título Identificación de Zonas Críticas Auditorías Legales Tiempo Estimado (semanas) 0,5 semanas 12 semanas

31 Medidas Técnicas. Por Ayuntamiento (I) Título Cierre Permanente del CPD Mejora Política de Contraseñas Bloqueo Automático de Pantallas Eliminación de Usuarios compartidos Mantenimiento Preventivo de Hardware, Software y Comunicaciones Gestión centralizada de Parches y Actualizaciones del Sistema Operativo Windows (WSUS) Seguridad en el flujo de datos Configuración Segura de Sistemas Mejora Procedimiento Copia de Seguridad Registro de Incidencias Conservación Registro de Eventos/Accesos Seguimiento Permanente de Cambios en servicios de Terceros Tiempo Estimado (semanas) Ejecución Periódica 2 semanas 0,5 semana 0,5 semanas Ejecución periódica 1 semana (implantación) 0,5 semanas (implantación) 2 semanas (implantación) Ejecución periódica 1 semana (implantación) Ejecución periódica Ejecución periódica 1 semana (implantación) Ejecución periódica Ejecución periódica

32 Medidas Técnicas. Por Ayuntamiento (II) Título Desarrollo Externalizado Eliminación Segura de Información Control de Software no Autorizado Participación en Foros y Grupo de Seguridad Documentación de Sistemas Documentación de áreas críticas Mejoras Teletrabajo y Equipamiento Móvil Segregación de Usuarios en Dominios Administración remota de Sistemas Control de Acceso a Sistemas Críticos Sincronización periódica de relojes Etiquetado del cableado Tiempo Estimado (semanas) Ejecución periódica Ejecución periódica 1 semana (chequeo) Ejecución periódica 4 semanas 1 semana 2 semanas (implantación) Ejecución periódica 4 semanas 1 semana (implantación) Ejecución periódica 2 semanas (implantación) 1 semana (implantación) 4 semanas (etiquetado)

33 Medidas Técnicas. Externalización Título Inventario Centralizado y Actualizado Mantenimiento Preventivo y Correctivo de Hardware, Software y Comunicaciones Protección del Correo Electrónico Accesibilidad en Páginas Web Auditorías Técnicas de Seguridad Sustitución Suministros de Alimentación Ininterrumpida (SAI) 2700 W Instalación Sensores de Temperatura y Humedad Análisis de Riesgos Herramienta de Gestión de Identidades Herramienta de Gestión y Registro de Eventos Gestión del cableado Puesta en marcha de un Centro de Respaldo Tiempo Estimado (semanas) 1 semanas 52 semanas Por evaluar 2 semanas 3 semanas 2 semanas 2 semanas 3 semanas 24 semanas 8 semanas 1 semana (implantación) 32 semanas

34 Hacia dónde vamos?

35 Infraestructura de comunicaciones seguras

36 Comité de Seguridad de la Información Definir las funciones de seguridad Identificar los Objetivos de Seguridad Aprobar, revisar y mantener actualizadas las Políticasy Normativas de Seguridad Revisar las no conformidades o irregularidades detectadas Evaluar y coordinar la implantación de controles de Seguridad de la Información Aprobar los nombramientos de responsables en materia de Seguridad de la Información

37 Responsables de: Servicios Datos o información Seguridad Responsables y Políticas Políticas, normativas y procedimientos: Acceso y uso de Internet Buenas prácticas correo electrónico Protección de datos

38 Plan de Recuperación ante Desastres Escenario 1: Caída de servidores de Servicios Centrales Escenario 2: Caída de servidores de las Sedes Externas Escenario 3: Caída de comunicaciones corporativas: Escenario 3.1: Caída de los enlaces de acceso al CPD Escenario 3.2: Caída de enlaces de Fibra Óptica. Escenario 3.3: Caída de enlaces ADSL. Escenario 4: Caída de conexión a Internet

39 Centro Respaldo Solución alternativa al actual CPD, debido a la dependencia actual de los sistemas del Ayuntamiento Preparación nueva instalación en edificio INNPAR

40 Utilizamos ya e-pulpo inventariando activos y sistemas e-pulpo

41 Conclusiones

42 Conclusiones

43 Muchas gracias!! Rafael Beitia