SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

Transcripción

1 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre

2 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 2

3 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) La Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 define la creación del Esquema Nacional de Seguridad (ENS) cuyo objetivo es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita una adecuada protección de la información. Según la introducción del ENS, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información gestionada por los servicios de administración electrónica de tal manera que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. 3

4 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, garantizando las diferentes dimensiones de la seguridad, tanto del servicio como de la información: DIMENSIONES DE INFORMACIÓN SERVICIO SEGURIDAD DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD TRAZABILIDAD y para que esta garantía de la seguridad sea efectiva se deberán implementar las medidas de seguridad indicadas en el ENS, alineadas con el Ciclo de Vida de los Servicios. (Ver Articulo 39) 4

5 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados. Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. 5

6 1.- Introducción 1.2 Estructura del ENS Parte Expositiva Parte Dispositiva: (10 capítulos, 44 artículos) Parte final: Disposiciones adicionales (4) Disposición transitoria Disposición derogatoria Disposiciones finales (3) Anexos (5) Categorización de los sistemas Medidas de seguridad Auditoría de seguridad Glosario Modelo de cláusula administrativa particular 6

7 1.- Introducción 1.3 Contenido del ENS 7

8 1.- Introducción 1.3 Contenido del ENS 8

9 1.- Introducción 1.4 Objetivo del Seminario Describir un Modelo de Adecuación al ENS en un Marco Metodológico concreto (no referenciado en el ENS). Se va aportar una correlación, entre diferentes actuaciones que se requieren en una organización para la Adecuación del ENS, y las posibles metodologías a aplicar. No se va a aportar una descripción detallada ni del ENS (ya ha habido charlas previas), ni de las Metodologías. Sólo lo suficiente para poder describir el Modelo. Puede ayudar a profundización en conceptos y aportar una visión práctica de despliegue de SGSI requerido por el ENS 9

10 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 10

11 2.1 ITIL v3.0(information Technology Infrastructure Library) PARA QUÉ : En el Apartado I de la Parte Expositiva del ENS se indica:. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan. En el articulo 39 Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control. En punto de desarrollo de aplicaciones, (mp.sw.1) se requiere la activación de procesos que siguen las buenas prácticas marcadas por ITIL Varias medidas de seguridad suponen interfaces con procesos de ITIL 11

12 2.1 ITIL v3.0 (Information Technology Infrastructure Library) Capacidades Gestión Organización Procesos Conocimiento Proveedor de Servicios Personas Activos del Servicio Servicios Valor Recursos Capital Infraestructura Aplicaciones Información Activos del cliente Resultados del cliente Cliente FIN 12

13 2.1 ITIL v30.0(information Technology Infrastructure Library) Activo ENS Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. ITIL Cualquier Recurso o Capacidad. Los Activos de un Proveedor de Servicio, incluyen todo aquello que se puede atribuir a la entrega del Servicio. Los Activos pueden ser de los siguientes tipos: Administrativos, Organizativos, Procesos, Conocimiento, Personas, Información, Aplicaciones, Infraestructuras y Capital 13

14 2.1 ITIL v3.0 (Information Technology Infrastructure Library) Servicio ENS Servicios acreditados. Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación. ITIL Servicio proporcionado a uno o más Clientes por un Proveedor de Servicios de TI. Un Servicio de TI se basa en el uso de las TI y soporta los Procesos de Negocio del Cliente. Un Servicio de TI se compone de una combinación de personas, procesos y tecnologías y debería estar definido en un Acuerdo de Nivel de Servicio 14

15 2.1 ITIL v3.0(information Technology Infrastructure Library) RECURSO ENS ITIL Término genérico que incluye Infraestructuras de TI, personal, dinero o cualquier otra cosa que pueda ayudar a entregar un Servicio de TI. Los Recursos son Activos de una Organización. CAPACIDAD ENS ITIL La habilidad de una organización para coordinar, gestionar y aplicar recursos con el fin de producir valor. 15

16 2.1 ITIL v3.0 (Information Technology Infrastructure Library) La TI es un activador para los procesos de negocio Proceso 1 del negocio Proceso 2 del negocio Proceso 3 del negocio Servicio TI X Servicio TI Y Activos y recursos de TI FIN 16

17 2.1 ITIL v3.0 (Information Technology Infrastructure Library) PROCESO ENS Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado. ITIL Conjunto estructurado de Actividades diseñado para la consecución de un Objetivo determinado. Los Procesos requieren de una o más entradas y producen una serie de salidas, ambas previamente definidas. Un Proceso suele incorporar la definición de los roles que intervienen, las responsabilidades, herramientas y controles de gestión necesarios para obtener las salidas de forma eficaz 17

18 2.1 ITIL v3.0 (Information Technology Infrastructure Library) 18

19 2.1 ITIL v3.0 (Information Technology Infrastructure Library) FASE ITIL ESTRATEGIA DISEÑO TRANSICCIÓN PROCESOS/FUNCIONES Estrategia del Servicio Gestión Financiera Gestión de la Cartera de Servicios(1) Gestión de la Demanda Gestión del Catálogo de Servicios Gestión del Nivel de Servicio Gestión de la Capacidad Gestión de la Continuidad de los Servicios de TI Gestión de la Disponibilidad Gestión de la Seguridad de la Información Gestión del Suministrador Planificación y Soporte de la Transición Gestión de Cambios(1) Gestión de la Configuración y Activos del Servicio Gestión de Entregas y Despliegues Validación y Pruebas del Servicio Evaluación Gestión del Conocimiento OPERACIÓN Gestión de Eventos Servicio de Atención al Usuario MEJORA CONTINUA Gestión de Incidencias Gestión de Peticiones Gestión de Problemas Gestión de Accesos Mejora Continua del Servicio (y del Proceso) Gestión de Operaciones TI Gestión Técnica Gestión Aplicaciones 19

20 2.2 ISO PARA QUÉ : Anexo III de Auditoria de Seguridad en su punto f), indica que se auditará Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección. Es un Requisito Mínimo de Seguridad la mejora continua del proceso de seguridad ( Requisito o) ) Articulo 26: Mejora continua del proceso de seguridad. El proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 20

21 2.2 ISO SGSI ENS/ISO Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. 21

22 2.2 ISO Partes Interesadas Planificar Crear el SGSI Partes Interesadas Hacer Implantar y gestionar el SGSI Mantener y mejorar el SGSI Actuar Requisitos y expectativas de la seguridad de la información Supervisar y revisar el SGSI Verificar Seguridad de la información gestionada Modelo PDCA aplicado a los procesos del SGSI 22

23 2.2 ISO Planificar (creación del SGSI) Hacer (implementación y funcionamiento del SGSI) Verificar (supervisión y revisión del SGSI) Actuar (mantenimiento y mejora del SGSI) Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización Implementar y utilizar la política, controles, procesos y procedimientos del SGSI. Evaluar y, en su caso, medir el rendimiento del proceso contra la política, objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión. Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI 23

24 2.2 ISO FASE DEL CICLO DE GESTIÓN DEL SERVICIO (ITIL) FASE DE PDCA DEL SGSI P Planificar D Hacer C Verificar A Mantener Actualizar E Estrategia D Diseño T Transición O Operación CSI Mejora Continúa 24

25 2.3 Magerit v2.0 PARA QUÉ : Principio Básico de Gestión de Riesgos (b) expuesto en el Capítulo 2, Artículo 4, y desarrollado en al Articulo 6 (Gestión de la Seguridad basada en Riesgos) El articulo 9 pide una reevaluación periódica para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección Requisito Mínimo, Articulo 11 b) Análisis y Gestión de Riesgos que se desarrolla en el artículo 13. Medida de Protección del grupo de Marco Operacional (op.pl.1) se pide un Análisis de Riesgo textual, tabulado o formal, en función del Nivel del Sistema. Múltiples referencias en otras medidas que se apoyan en el Análisis de Riesgos (Gestión Incidentes, Gestión de Cambios, etc.) y que requieren que esté siempre al día (utilizar un enfoque adecuado). 25

26 2.3 Magerit v2.0 FIN 26

27 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 27

28 2.3 Magerit v2.0 28

29 2.3 Magerit v2.0 FIN 29

30 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 30

31 2.3 Magerit v2.0 31

32 2.3 Magerit v2.0 FIN 32

33 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 33

34 2.3 Magerit v2.0 34

35 2.3 Magerit v2.0 35

36 2.3 Magerit v2.0 36

37 2.3 Magerit v2.0 Visión dinámica y mantenible del Análisis de Riesgos requiere una adecuada estructuración y manejo de conceptos adicionales: Dominios, Servicios Internos. 37

38 2.4 Métrica v3.0 PARA QUÉ : De acuerdo al Artículo 39 (Ciclo de Vida de los Servicios y Sistemas) las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas. En el punto de desarrollo de aplicaciones, (mp.sw.1) en el apartado b) se requiere el uso de metodología para el desarrollo para todos los sistemas a partir del nivel medio.. 38

39 2.4 Métrica v3.0 39

40 2.4 Métrica v3.0 Tareas afectadas en la Interfaz de Seguridad de Métrica v3 PSI: Planificación del sistema de información SEG 2: Evaluación del riesgo para la arquitectura tecnológica PSI-SEG 2.1: Estudio y evaluación del riesgo de las alternativas de arquitectura tecnológica PSI-SEG 2.2: Revisión de la evaluación del riesgo de las alternativas de arquitectura tecnológica SEG 3: Determinación de la seguridad en el plan de acción PSI-SEG 3.1: Determinación de la seguridad en el plan de acción EVS: Estudio de viabilidad del sistema SEG 3: Recomendaciones adicionales de seguridad para el SI EVS-SEG 3.1: Elaboración de recomendaciones de seguridad SEG 4: Evaluación de la seguridad de las alternativas de solución EVS-SEG 4.1: Valoración y evaluación de la seguridad de las alternativas de solución SEG 5: Evaluación detallada de la seguridad de la solución propuesta EVS-SEG 5.1: Descripción detallada de la seguridad de la solución propuesta ASI: Análisis del sistema de información SEG 2: Descripción de las funciones y mecanismos de seguridad ASI-SEG 2.1: Estudio de las funciones y mecanismos de seguridad a implantar SEG 3: Definición de los criterios de aceptación de la seguridad ASI-SEG 3.1: Actualización del plan de pruebas DSI: Diseño del sistema de información SEG 2: Especificación de requisitos de seguridad del entorno tecnológico DSI-SEG 2.1: Análisis de los riesgos del entorno tecnológico SEG 3: Requisitos de seguridad del entorno de construcción DSI-SEG 3.1: Identificación de los requisitos de seguridad del entorno de construcción SEG 4: Diseño de pruebas de seguridad DSI-SEG 4.1: Diseño de las pruebas de seguridad 40

41 2.4 Métrica v3.0 Tareas afectadas en la Interfaz de Seguridad de Métrica v3 CSI: Construcción del sistema de información SEG 2: Evaluación de los resultados de pruebas de seguridad CSI-SEG 2.1: Evaluación de los resultados de pruebas de seguridad SEG 3: Elaboración del plan de formación de seguridad CSI-SEG 3.1: Elaboración del plan de formación de seguridad IAS: Implantación y aceptación del sistema SEG 2: Revisión de medidas de seguridad en el entorno de operación IAS-SEG 2.1: Revisión de medidas de seguridad en el entorno de operación SEG 3: Evaluación de resultados de pruebas de seguridad de implantación del sistema IAS-SEG 3.1: Estudio de los resultados de pruebas de seguridad de implantación del sistema SEG 5: Revisión de medidas de seguridad en el entorno de producción IAS-SEG 5.1: Revisión de medidas de seguridad en el entorno de producción MSI: Mantenimiento del sistema de información SEG 2: Especificación e identificación de las funciones y mecanismos de seguridad MSI-SEG 2.1: Estudio de la petición MSI-SEG 2.2: Análisis de las funciones y mecanismos de se 41

42 2.5 Otras: CMMI 42

43 2.5 Otras: CMMI Los 6 niveles definidos en CMMI para medir la capacidad de los procesos son: N0.- Incompleto: El proceso no se realiza, o no se consiguen sus objetivos. N1.- Ejecutado: El proceso se ejecuta y se logra su objetivo. N2.- Gestionado: Además de ejecutarse, el proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos. N3.- Definido: Además de ser un proceso gestionado se ajusta a la política de procesos que existe en la organización, alineada con las directivas de la empresa. N4.- Cuantitativamente gestionado: Además de ser un proceso definido se controla utilizando técnicas cuantitativas. N5.- Optimizado: Además de ser un proceso cuantitativamente gestionado, de forma sistemática se revisa y modifica o cambia para adaptarlo a los objetivos del negocio. Mejora continua. 43

44 La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para l del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT p control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecn 2.- Metodologías para la Gestión de la Seguridad 2.5 Otras: COBIT La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información. 44

45 2.5 Otras: COBIT 45

46 2.5 Otras: PMBOK 46

47 47

48 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 48