e-pulpo: Software libre para la gestión de LOPD, SGSI, ENS, ITIL

Transcripción

1 e-pulpo: Software libre para la gestión de LOPD, SGSI, ENS, ITIL

2 Autor Andrés Méndez Barco ingenia.es> Responsable de la Unidad de Producción de Estrategias de Seguridad y Sistemas Licencia Creative Commons Reconocimiento-CompartirIgual 3.0 España < 1 Legislación y sistemas de gestión para IT Hoy día las organizaciones se apoyan fuertemente en los sistemas de información para realizar o soportar sus actividades. Esto provoca una dependencia de las organizaciones con los sistemas de información. Esta dependencia de la tecnología ha conllevado la regulación de su uso con legislación, tenemos ejemplos de ello en España con la Ley Orgánica de Protección de Datos de Carácter Personal (L.O. 15/1999), su Reglamento de Desarrollo (R.D. 1720/2007), la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (L. 11/2007) o el nuevo Esquema Nacional de Seguridad (R.D. 3/2010). Paralelamente al desarrollo de esta legislación, se han ido creando modelos de gestión para las tecnologías, de forma que se apliquen las mejores prácticas y se pueda acreditar frente al cliente la aplicación de las mismas, como es el caso de un Sistema de Gestión de Seguridad de la Información (certificable bajo la norma ISO 27001), un Sistema de Gestión de Servicios de Tecnologías de la Información (certificable bajo la norma ISO ), etc. Página 2 de 9

3 Si analizamos los requisitos que imponen la legislación y las mejores prácticas nos encontramos con muchas similitudes: Activos Módulo SGSI ENS LOPD ITIL (SGTI) Análisis de riesgos Documentación Incidencias Activos con valor (desde sistemas hasta servicios) Activos con valor (desde sistemas hasta servicios) Ficheros con DCP 1 Sí Sí Lo proporciona en función del nivel del DCP Política, Normativa, Procedimientos Incidencias de seguridad Política, Normativa, Procedimientos Incidencias de seguridad Formación Difusión SGSI Formación del personal involucrado Documento de Seguridad Restauración de backup, etc. Aceptación de los responsables Indicadores Métricas e indicadores Sistema de métricas SLA Sistemas (HW y SW) No Procedimientos Incidencias de sistemas, solicitudes Difusión procedimientos Auditoría Anual (ISO 27001) Bienal Bienal Anual (ISO ) 2 El reto del cumplimiento Llegados a este punto tenemos que responder a una serie de preguntas que se hace cualquier organización: 1) Cómo puede abordar una organización el cumplimiento de la legislación y la aplicación de las mejores prácticas sin incurrir en una burocratización excesiva o una alta dedicación al mantenimiento de la misma? Utilizando herramientas software que alivien y automaticen las labores de su mantenimiento y control. 1 DCP: Dato de Carácter Personal (nombre, dirección, teléfono, , creencias religiosas, estado de salud, afiliación sindical, etc.). Página 3 de 9

4 2) Cómo evitamos aumentar el gasto en software? No desarrollando nuestras propias aplicaciones, sino utilizando las existentes. 3) Cómo evitamos aumentar el gasto en licencias de software? Empleando software libre! 4) Cómo evitamos la duplicidad y obsolescencia de los datos? Reaprovechando los datos existentes y manteniéndolos actualizados, en la medida de lo posible, automáticamente. 3 Software libre para el cumplimiento de LOPD, ENS, SGSI y SGTI Gracias al conocimiento que tenemos en proyectos de consultoría y adaptación (LOPD, SGSI, etc.), teníamos ya identificados cuáles eran los procesos que debía soportar la aplicación que necesitábamos. A continuación buscamos cuáles eran las herramientas de software libre más adecuadas para cubrir cada necesidad, buscando que cumplieran estas premisas: - Estuvieran basadas en proyectos de varios años y con una fuerte comunidad de desarrolladores - Fueran herramientas conocidas entre los potenciales clientes, para reducir la curva de aprendizaje Esta tarea no fue compleja gracias a la experiencia que teníamos en el uso e implantación de herramientas de software libre, no obstante nos encontramos con dos hándicaps: 1.- Las herramientas de software libre necesarias para cubrir cada campo se encontraban inconexas unas con otras en la mayoría de los casos. Página 4 de 9

5 2.- No existían herramientas de software libre públicas para todo lo que requería el cumplimiento de los objetivos que nos habíamos propuesto: Poder gestionar los requisitos de LOPD, ENS, SGSI y SGTI. Para resolver estos escollos, Ingenia abordó este proyecto como una labor tanto de integración como de desarrollo. Finalmente nos encontramos con un conjunto de procesos administrativos (desde el punto de vista del usuario) y herramientas (desde el punto de vista tecnológico) a integrar, lo que dio como resultado el nombre del producto que íbamos a liberar: e-pulpo Plataforma de Unificación Lógica de los Procesos Organizativos 3.1 Herramientas de software libre en las que se basa e-pulpo NOTA: En este apartado se muestran en negrita las aplicaciones empleadas, y sombreadas en amarillo las etapas de un proyecto de adecuación. Se montó la solución sobre un sistema operativo base, de forma que se pudiera desplegar en un cliente como una instalación única, y no como la instalación de múltiples componentes. El elegido fue CentOS. Para unificar los usuarios se utilizó una única fuente basada en CentOS Directory Server. Para aportar una experiencia única de usuario, se integraron todos los usuarios bajo el gestor de contenidos Drupal. Página 5 de 9

6 Para unificar el inicio de sesión se utilizó Central Authentication Service de Jasig. Una vez se han puesto los mimbres de e-pulpo, iremos mostrando cómo, desde el punto de vista de un usuario final, se han ido integrando las distintas herramientas de software libre para dar soporte, por ejemplo, a la gestión de los requisitos del Esquema Nacional de Seguridad, que se asemeja mucho con los de un Sistema de Gestión de Seguridad de la Información. A continuación, lo primero que se necesita en un proyecto de adecuación de este tipo es un inventario de activos. Para ello se optó por OCS Inventory Next Generation. Esta solución permite inventariar todo el hardware y software de cada equipo, proporcionando entre otros información sobre la capacidad de almacenamiento para la gestión de la capacidad. No obstante, OCS Inventory NG simplemente inventaría, aunque también permite identificar equipos que no hayan sido inventariados y desplegar paquetes software. Esto significa que no aporta información de gestión. Para cubrir esa carencia se integró con GLPI (Gestionnaire Libre de Parc Informatique), que aporta: - Gestión de responsables técnicos - Gestión de proveedores y contactos - Gestión de contratos - Gestión de tickets - Gestión de reservas y planificaciones - Gestión de notas y FAQ Otra carencia de OCS Inventory NG es que se basa en el despliegue de agentes para realizar el inventario, lo que impide su uso para inventariar dispositivos en los que no se pueda instalar el agente, como son los switches, routers, firewalls, Página 6 de 9

7 impresoras de red, SAIs, etc. Para cubrir esa carencia apostamos por el plugin de GLPI Tracker. Gracias a ese plugin se pueden inventariar de forma automática dichos elementos mediante SNMP, y asociar de forma automática las conexiones de red entre los dispositivos, lo que unido al plugin de GLPI Arquitectura de Red nos permite generar automáticamente la arquitectura de seguridad. Existen otro tipo de activos, fundamentales en un análisis de riesgos, que no son automática o fácilmente inventariables, como los servicios, las personas, los lugares, etc. Para poder inventariarlos Ingenia desarrolló el plugin de GLPI Activo genérico de forma que se cubriera dicha carencia. Una vez con el inventario de activos levantado se puede dar el siguiente paso, el análisis de riesgos. Para cubrir este aspecto nos basamos en una integración con la herramienta PILAR (Proceso Informático Lógico de Análisis y gestión de Riesgos). Dicha herramienta no es de software libre, pero su desarrollo se encuentra controlado por el Centro Criptológico Nacional, lo que le proporciona confiabilidad en el código y gratuidad para las administraciones públicas españolas. PILAR nos proporciona, entre otros: - Valoración de los activos - Valoración del grado de madurez de las salvaguardas - Gestión de los riesgos - Análisis de impacto en la continuidad del negocio - Visión del nivel de madurez con respecto al ENS, LOPD, o ISO sin aumentar el esfuerzo Página 7 de 9

8 Como resultado de la gestión de riesgos, será necesario poner en marcha distintas líneas de actuación, cuyo control y responsabilidad podremos gestionar mediante dotproject, una herramienta para la gestión de proyectos de toda índole. Uno de esos proyectos puede ser el elaborar o gestionar documentos, como la política de seguridad, normativa, procedimientos, etc. Para ello contamos con el gestor documental Alfresco, que nos permite gestionar versiones de documentos, su aprobación y difusión entre otros. Gracias a su potente motor de workflow, también permite la gestión de expedientes, como es el caso de las solicitudes ARCO 2. Para la generación automática de informes, como sería el Documento de Seguridad exigido por la LOPD, nos basamos en nuevos desarrollos generados por Ingenia para la recolección de la información requerida específicamente por la LOPD. Posteriormente, mediante el uso de plantillas de ireport, se generan los informes mediante JasperReports. Para la correcta difusión de esos documentos será necesario proporcionar formación y concienciación a los usuarios, aspecto este que queda cubierto por la herramienta de tele formación Moodle. Para el control de la consecución de los objetivos, Ingenia ha desarrollado una solución de métrica e indicadores que permite la alimentación manual o automática de los mismos, para la elaboración posterior de cuadros de mando por los propios usuarios a la medida de sus necesidades. Este desarrollo se encuentra basado en Drupal. Finalmente, para la coordinación de equipos de trabajo, se utiliza un foro basado en Drupal. 2 ARCO: Derechos de las personas al Acceso, Rectificación, Cancelación y Oposición al tratamiento de sus DCP. Página 8 de 9

9 4 Futuro de e-pulpo Desde Ingenia se está trabajando en la integración de más herramientas de software libre que nos van a permitir ampliar el número de funcionalidades cubiertas por e-pulpo. 5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes. Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados. Más información en Página 9 de 9