Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Transcripción

1 Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? 1

2 Introducción ENS 2

3 Introducción El objetivo de la presentación es explicar en qué consiste un plan de adecuación al RD 3/2010 del Esquema Nacional de Seguridad, y la implantación de las medidas derivadas de las obligaciones derivadas del mismo. También se explicará el mantenimiento que exige la ley. Los trabajos que se describirán más adelante permiten el cumplimiento a las exigencias y requerimientos que el Plan de Adecuación al ENS, tanto para su desarrollo inicial (Fase I a Fase IV) cómo para el posterior mantenimiento del Documento de Seguridad y la Ejecución de las líneas de actuación del Plan de Adecuación (Fase Mantenimiento). 3

4 Introducción: Origen del ENS A fin de impulsar el avance de la Sociedad de la Información en el ámbito de las Administraciones Publicas (AAPP), se aprobó la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), cuya finalidad es garantizar la provisión de servicios de las AAPP hacia los ciudadanos por medios telemáticos y electrónicos, manteniendo y mejorando las condiciones actuales en la prestación de esos mismos servicios en su modalidad presencial. ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI) Establece los criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones informáticas. ESQUEMA NACIONAL DE SEGURIDAD (ENS) Establece la política de seguridad en la utilización de medios electrónicos, así como los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. 4

5 Introducción: Origen del ENS En este sentido, el concepto de seguridad de la información ya aparece en el artículo 1.2., dedicado al objeto de la norma, donde se establece que: Las AAPP emplearán las TIC asegurando: La disponibilidad el acceso la integridad la autenticidad la confidencialidad la conservación Desarrollado en Esquema Nacional de Seguridad De: Datos Informaciones Servicios Que gestionen en el ejercicio de sus competencias 5

6 Introducción: Origen del ENS La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las AAPP, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Una organización (p.e. Ayuntamiento) depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados. Aplicación efectiva para Sistemas Existentes: Enero 2011(12 meses de la entrada en vigor). En ningún caso 48 meses después si las circunstancias impiden su plena aplicación (contar con un plan de adecuación): Enero 2014 A nuevos Sistemas les aplicará desde su concepción REQUISITOS 6

7 Introducción: Qué sistemas deben cumplir el ENS? La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicación del ENS estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. Sistema de información. Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. Por tanto, el ENS se aplica esencialmente a los sistemas de información que soportan la actividad administrativa, la actividad interadministrativa y las relaciones con los ciudadanos. 7

8 Introducción FLUJO NORMAL DISPONIBILIDAD INTERRUPCIÓN CONFIDENCIALIDAD INTERCEPTACIÓN MODIFICACIÓN FABRICACIÓN INTEGRIDAD AUTENTICIDAD 8

9 Qué tengo que hacer para cumplir el ENS?

10 10

11 Primer año de trabajo Fase I Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III Elaboración/modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación Plan de Adecuación Segundo y tercer año de trabajo: Fase de Mantenimiento A continuación, pasamos a describir los trabajos que deben realizarse: 11

12 Las tareas para lograr los objetivos se dividen en las siguientes fases. Primer año de trabajos Fase I Análisis del estado actual Fase II - Establecimiento del sistema de seguridad Fase III - Elaboración/ modificación del Documento de Seguridad y del Plan de Adecuación al ENS Fase IV - Implantación de las normas de actuación 12

13 Fase I - Análisis del estado inicial 1. Identificación de las personas de las diferentes áreas 2. Concreción del alcance Sede electrónica Registro electrónico Carpeta ciudadana Comunicación electrónica Interoperatividad Pago telemático 13

14 Fase I - Análisis del estado inicial Esquema Nacional de Seguridad (ENS): En este diagnóstico se utiliza el cuestionario de la guía CCN-STIC- 808 de cumplimiento de aplicación de los controles correspondientes, previstos en el Anexo II del ENS. El objetivo del cuestionario es doble, por un lado, interpretar cada control aplicable personalizado en la organización y por otro, cuantificar cuál es el grado de madurez de la organización en cuanto al cumplimiento de las buenas prácticas recomendadas para la implantación del Real Decreto 3/2010. La guía CCN que detalla las medidas a implantar es CCN-STIC

15 Fase I - Análisis del estado inicial Esta primera evaluación del estado de cumplimiento del ENS por parte de la Organización sobre los sistemas de información que dan soporte a su Sede Electrónica; La plataforma de eadmin (Administración Electrónica) puede ser de desarrollo propio, o basada en la plataforma de diversos proveedores, o delegada en un organismo superior como diputación o una Mancomunidad. El cumplimiento de las medidas técnicas y organizativas es responsabilidad de la organización, aunque la plataforma sea de un tercero. 15

16 Fase II - Establecimiento del sistema de seguridad Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información Que esté basada en Servicios Actuales y Futuros Trámites administrativos a implementar Selección de Subsistemas según procesos más críticos a segregar Proceso iterativo para esta identificación basándonos en Segregación de los procesos (subsistemas) más críticos en virtud del Análisis de Riesgos Determinación de las medidas a implantar según categoría del Sistema y Análisis de Riesgo 16

17 Fase II - Establecimiento del sistema de seguridad Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Establecer correlaciones entre procesos principales y secundarios Previsión de servicios futuros Sistemas de Información Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información Modelo de dependencias a emplear en ENS 17

18 Fase II - Establecimiento del sistema de seguridad SERVICIO A su vez dependen de el Datos, Equipos, etc. La metodología para establecer las dependencias entre activos se basa normalmente en Magerit, se realizarán iteraciones a lo largo del proceso de implantación en función de la evolución de la plataforma de eadmin del la organización. APLICACION DATOS 10-20% Máximo EQUIPO PROVEEDOR EXTERNO PERSONA Hay que intentar realizar esta conexión a través de la capa de datos siempre que sea posible SERVICIO INTERNO No es muy aconsejable introducir personas salvo que sean realmente críticas PILAR GConsulting PROVEEDOR SW INSTALACIÓN Hay que intentar realizar esta conexión a través de las demás capas siempre que sea posible, a no ser que sean activos móviles (p.ej un coche) 18

19 Fase II - Establecimiento del sistema de seguridad Identificación de servicios, bases de datos y sistemas (infraestructuras y redes). Realizar una efectiva Categorización de Sistemas de Información Conveniencia de extraer Subsistemas para mejorar las granularidad Ej. Pasarela de pago Elaboración optima de una matriz de dependencias Realizar una efectiva Categorización de Sistemas de Información 19

20 Fase II - Establecimiento del sistema de seguridad 1. Categorización de Sistemas de Información Algunos puede que aún no existan, por tanto es necesario mantenerlo actualizado 2. Elección de la metodología para categorizar sistemas y subsistemas (Guía CCN-STIC-803) Anexo II-2: Cuando en un Sistema de Información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse la información y los servicios afectados. 20

21 Fase II - Establecimiento del sistema de seguridad Declaración de Aplicabilidad Partiendo del análisis de riesgos realizado y de la valoración de los distintos activos (información y servicios) Análisis para la determinación de las amenazas/riesgos básicos Contraste del mapa de las amenazas consideradas Establecer un consenso en la elección del nivel aceptable de riesgo Declaración de Aplicabilidad 21

22 Fase II - Establecimiento del sistema de seguridad Para cada Sistema de Información, se elabora un GAP Análisis para ver el nivel de cumplimiento y evaluar el esfuerzo para adecuarse al nivel exigible por el ENS (conforme GUIA 806) : Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. (4 controles) (4/4) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. (33 controles) Nivel bajo: (15/16) Nivel alto: (27/33) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas. (38 controles) Nivel bajo: (20/23) Nivel alto: (28/38) Medidas de Protección Marco Organizativo CUMPLIMIENTO ACTUAL EXIGIBLE ENS Marco Operacional 22

23 Fase III - Elaboración del Plan de Adecuación al ENS El citado plan de adecuación debe ser elaborado conforme la Guía CCN- STIC-806, con las medidas de seguridad por subsistema considerado (Anexo II) y contiene la siguiente información: La política de seguridad. Información que se maneja, con su valoración. Servicios que se prestan, con su valoración. Datos de carácter personal. Categoría del sistema. Declaración de aplicabilidad de las medidas del Anexo II del ENS. Análisis de riesgos. Insuficiencias del sistema. Plan de mejora de seguridad, incluyendo plazos estimados de ejecución. 23

24 Fase III - Elaboración del Plan de Adecuación al ENS Al finalizar la Fase III se debe disponer del preceptivo Plan de Adecuación al Esquema Nacional de Seguridad. 24

25 Fase IV - Implantación de las normas de actuación Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Formación Implantación de medidas Marco Organizativo, Marco Operacional, Medidas de Protección (conforme Guía CCN-STIC-804) La clave de una correcta ejecución de las líneas de actuación pasa por una adecuada gestión del seguimiento de las acciones Para ello se creará necesariamente para el mantenimiento del sistema un comité de gestión del SGSI Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Se realizará un seguimiento exhaustivo de las tareas a implantar: Elaboración de un cuadro tecnológico Redes Apache Servidores AIX 25

26 Fase IV - Implantación de las normas de actuación Como consecuencia de la implantación del ENS, y con la intención de completar la puesta en marcha de los cambios introducidos por el ENS en la dinámica de la Entidad Pública, se presenta la puesta en marcha de distintos proyectos: Ejecución de los test de vulnerabilidades requeridos (proporcionamos Máquina Virtual con todo el entorno necesario) Implantación del Procedimiento de Gestión y Registro de incidencias (posible requisito herramienta de Ticketing). Plan de continuidad del servicio. Implantación de medidas de supervisión y monitorización del sistema (posible requisitos de herramienta de monitorización). Etc. Como resultado del plan de Adecuación, pueden ser necesarios otros proyectos que requieran herramientas no incluidas dentro de este presupuesto (p.e., Firewall, Antivirus, backups, adquisición de equipos, etc.) 26

27 Fase IV - Implantación de las normas de actuación Ejecución de las líneas de actuación del Plan de Adecuación Se diseña a partir de la documentación existente (Doc. Seguridad LOPD, Políticas existentes en la Entidad Pública ) un documento que cumpla todos los requisitos de la Guía CCN-STIC-805 Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información 27

28 Fase IV - Implantación de las normas de actuación Ejecución de las líneas de actuación del Plan de Adecuación Normativa de seguridad Conjugar Formación Online (continua con tutorización online)/ Presencial Sesiones de formación a técnicos Evaluación de la formación Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información MÓDULO I II III IV V DENOMINACIÓN Teoría Origen del Esquema Nacional de Seguridad. Ley de Acceso Electrónico a los Servicios Públicos. Cuestionario Módulo I Teoría Esquema Nacional de Seguridad (ENS) Cuestionario Módulo II Teoría Auditoría de Seguridad y Análisis diferencial con respecto al ENS Prácticas Módulo III Cuestionario Módulo III Teoría Procedimientos obligatorios en el ENS Prácticas Módulo IV Cuestionario Módulo IV Teoría Plan de Adecuación al Esquema Nacional de Seguridad Prácticas Módulo V Cuestionario Módulo V 28

29 Fase IV - Implantación de las normas de actuación Ejecución de las líneas de actuación del Plan de Adecuación Publicación de la declaración de conformidad Informe técnico que la corrobore Normativa de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información 29

30 Fase IV - Implantación de las normas de actuación Ruta de seguimiento reiterativa Ejecución de las líneas de actuación del Plan de Adecuación Aprobar política de seguridad y aceptación del Riesgo Difundir e Implantar Gestión del Riesgo Política de seguridad Formación Obtención de la Declaración de Conformidad Implantación y Seguimiento del Sistema de Gestión de Seguridad de la Información Aplicar Controles de Seguridad Análisis de Riesgos Inventario de Activos Monitorización Seguridad Gestión incidencias de Seguridad Revisión de la Evaluación del Riesgo Plan de Tratamiento del Riesgo Gestión de Seguridad de la Información Acciones del Plan de Seguridad 30

31 Fase IV - Implantación de las normas de actuación Durante esta fase se realizan sesiones de control para analizar: Grado de implantación de los procedimientos de copias de seguridad, recuperación de datos, identificación de los usuario, accesos a datos, trabajos fuera de los puestos de trabajo Grado de implantación de la Normativa de Seguridad, Procedimiento de Autorización, Procedimiento de Gestión y Registro de incidencias, Plan de continuidad del servicio Grado de implantación del Plan de Mejoras de la Seguridad. Comités de Seguridad para asegurar la gestión continua de la Seguridad 31

32 Fase Mantenimiento 32

33 Fase Mantenimiento En esta fase se realiza un mantenimiento anual con objeto de velar por el correcto cumplimiento del Esquema Nacional de Seguridad Entre las actividades a realizar se encuentra: Implantación y Gestión de un SGSI (Sistema de Gestión de Seguridad de la Información) según el ENS Aplicación y acompañamiento en la implantación de medidas de Seguridad emanadas del Plan de Adecuación Celebración de los Comités de Seguridad o seguimiento Gestión de indicadores y revisión de procedimientos Auditoría Bienal conforme exigencia del ENS para sistemas de categoría Media y Alta Autoevaluación conforme exigencia del ENS para sistemas de categoría Baja 33

34 Herramientas de apoyo 34

35 Herramienta de Gestión Existen herramientas que proporcionan una solución integral para implementar y gestionar la implantación del ENS con un mínimo esfuerzo. Una sencilla consultoría de apoyo puede permitir adecuarse fácilmente a las obligaciones que marca el ENS. 35

36 Cubren todo el ciclo, desde el análisis inicial, Análisis y Gestión de Riesgos, plan de adecuación, hasta el soporte para la auditoría bienal obligatoria. Herramientas de Gestión 36

37 Planificación ENS Primer año de Trabajos Fase I Análisis del estado actual Fase II - Establecimiento del sistema de seguridad y Análisis de Riesgos Fase III Elaboración Plan de Adecuación ENS Fase IV - Implantación de las normas de actuación Asesoramiento continuo a la implantación + Gestión incidencias Herramientas de apoyo para implantación del ENS (opcionales) Herramientas gestión de incidencias, vulnerabilidades, AGR, varios 37

38 Planificación Segundo año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información) Tercer año de Gestión Gestión delegada de medidas de seguridad (incidencias, tests, etc.) Auditoría bienal (ENS) Gestión del SGSI (Sistema de Gestión de Seguridad de la Información) 38

39 Qué pasa si no cumplo a tiempo? 39

40 Qué pasa si no cumplo el ENS CAPITULO VI Estado de seguridad de los sistemas Artículo 35. Informe del estado de la seguridad. El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita elaborar un perfil general del estado de la seguridad en las Administraciones públicas. Artículo 40. Mecanismos de control. Cada órgano de la Administración pública o Entidad de Derecho Público establecerá sus mecanismos de control para garantizar de forma real y efectiva el cumplimiento del Esquema Nacional de Seguridad. 40

41 Qué pasa si no cumplo el ENS Mecanismos de control Proyectos de innovación Programas de investigación de aplicabilidad de medidas Función delegada en dos instituciones: INTECO Centro Criptológico Nacional Actualmente no existe organismo sancionador o regulador. Se espera se ponga en marcha a lo largo del

42 Qué pasa si no cumplo el ENS Implantaci ón 10% Grados de Cumplimiento Gestión del SGSI 5% Ninguno 35% Plan Adecuación 50% 42

43 Qué pasa si no cumplo el ENS Grados de cumplimiento: No cumplo nada del ENS La organización no es consciente de la importancia de la seguridad para los trámites con los ciudadanos, no conoce sus riesgos. Tengo el plan de adecuación La organización es consciente de sus riesgos, de sus sistemas de información, y ha analizado el cumplimiento de cada control, estableciendo un plazo para aplicar aquellos menos críticos. Tengo el ENS implantado con todas sus medidas La organización ha hecho el esfuerzo de securizar sus Sistemas en un momento dado, pero el sistema está vivo y requiere un pequeño esfuerzo constante. Tengo un Sistema de Gestión de Seguridad de la Información La organización tiene organizada la gestión de la seguridad, adaptándose fácilmente a cualquier cambio tecnológico 43

44 Contacto Rafael Vidal Iniesta Director Nunsys Consultoría Gustave Eiffel, 3. Parc Tecnológic Paterna T