Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa Martes, 15 de Marzo de 2005 1
1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 2
1. Presentación de IZFE Informatika Zerbitxuen Foru Elkartea - Sociedad Foral de Servicios Informáticos, de la Diputación Foral de Gipuzka Desde 1981 CPD Diputación Foral de Gipuzkoa A partir de 1993 empresa pública: IZFE S.A. CLIENTES: Diputación Foral de Gipuzkoa (Departamentos) Ayuntamientos de Gipuzkoa Juntas Generales MISION: Proporcionar un servicio integral en todo lo relacionado con los Sistemas de Información. 3
1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 4
2. Motivación del Plan Director de Seguridad Por qué un Plan Director de Seguridad? Importancia cada vez mayor de la seguridad de la información Consideración de la seguridad con una visión integral (tecnológica, organizativa, legal, recursos humanos,...) Iniciativas tomadas aisladas Heterogeneidad de sistemas e infraestructuras Diferentes requisitos de seguridad Necesidad de abordar la seguridad en un plan coherente y sistemático que marque las pautas y directrices a seguir 5
2. Motivación del Plan Director de Seguridad Por qué un Plan Director de Seguridad? (cont.) Alineamiento con el sistema de gestión de calidad y demás sistemas de gestión de IZFE Necesidad de cumplir ordenadamente con un requerimiento legal (LOPD) Necesidad de mantener una atención permanente sobre seguridad debido a Nuevas versiones de software propio y de los sistemas Vulnerabilidades que se descubren constantemente Acción de los hackers 6
1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Objetivos del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 7
3. Objetivos del Plan Objetivos Definición del Modelo de Seguridad (a futuro): Política de seguridad Sistemas de información agrupados en Dominios con los mismos requerimientos de seguridad Buenas Prácticas o Controles de seguridad por Dominio Niveles de seguridad por cada Control: nivel mínimo, deseable, máximo Estructura organizativa para la gestión de la seguridad Elaboración del Plan Director de Seguridad A partir de las diferencias entre situación actual y Modelo de Seguridad A 3 años Proyectos Organizativos, Tecnológicos y Mixtos Secuencia temporal y Dependencia entre los proyectos Cuantificación de recursos y costes 8
3. Objetivos del Plan (cont.) Enfoque del Plan GLOBAL: todos los Sistemas de Información de la Diputación de Gipuzkoa Según estándares internacionales (ISO 17799) adaptados a la cultura y necesidades de IZFE Teniendo en cuenta el cumplimiento de los requerimientos legales 9
3. Enfoque y Metodología del Plan Metodología Fase I Conocimiento del Entorno Fase II Marco de Referencia Fase III Modelo de Seguridad Fase IV Plan de Acción 10
3. Enfoque y Metodología del Plan Metodología (cont.) Fase I: Conocimiento del Entorno Conocimiento del Entorno informático Identificación de Aplicaciones Identificación de la seguridad de las Aplicaciones Fase II: Marco de Referencia Ámbito de Actuación Amenazas y Buenas Prácticas (ISO 17799) Definición de Dominios de Seguridad 11
3. Enfoque y Metodología del Plan Metodología (cont.) Fase III: Modelo de Seguridad Política de Seguridad Organización de Seguridad Cuerpo Normativo de Primer Nivel, del Sistema de Gestión Documental de Seguridad Definición de Controles de Seguridad en base al ISO/IEC 17799 Por cada control: Niveles de seguridad desarrollados en base al ISO 17799 y Objetivos de cumplimiento Arquitectura Funcional de Seguridad Revisión de Seguridad y Diagnóstico de Seguridad Interna / Externa Fase IV: Plan de Acción Análisis de las diferencias Informe de Riesgos Informe de Proyectos Plan de Implantación 12
1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 13
4. Alcance del Plan Áreas de ISO 17799 que se consideraron Política de Seguridad Estructura Organizativa para la Seguridad Clasificación y Control de Activos Seguridad frente a Acciones Humanas Seguridad Física y del Entorno Gestión de Comunicaciones y Operaciones Control de Accesos Desarrollo y Mantenimiento de Sistemas Gestión de Continuidad de Negocio Conformidad legal 14
1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 15
5. Resumen de los Proyectos del Plan Más de 40 proyectos priorizados y agrupados en Áreas de seguridad: Organización y Gestión de la Seguridad Establecimiento de Medidas Preventivas y de Configuración Segura Gestión de Riesgos y Protección de Activos Securización de la Infraestructura de Comunicaciones Gestión de Incidentes de Seguridad Gestión de Usuarios, Control de Acceso y Privilegios Desarrollo y Mantenimiento de Aplicaciones Convergencia de los Sistemas a la Legislación Aseguramiento de la Continuidad de Negocio Seguridad Física 16
5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter organizativo SEG-3: Definición, aprobación y ejecución de un Plan de formación de seguridad para el personal SEG-10: Definición de responsabilidades y mejores prácticas de seguridad en los términos y condiciones de empleo SEG-11: Identificación, desarrollo y divulgación de cláusulas contractuales para relaciones con terceros y outsourcing SEG-28: Desarrollo y adopción de una metodología de gestión de incidentes de seguridad, que contemple mecanismos y procedimientos de monitorización continua, detección, análisis y respuesta SEG-33:Desarrollo y adopción de una metodología de gestión de la seguridad en el ciclo de vida de desarrollo de productos y servicios 17
5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter técnológico SEG-15: Desarrollo y adopción de una metodología y guías de configuración seguras de los diferentes sistemas SEG-26: Diseño e implantación de una solución de detección de intrusiones SEG-34: Desarrollo de guías de programación segura que recojan las mejores prácticas de codificación para los lenguajes y entornos existentes SEG-39: Implantación del conjunto de herramientas para la ejecución de la metodología de revisiones de seguridad SEG-44: Integración de la autenticación y la seguridad de las aplicaciones Host en RACF 18
5. Resumen de los Proyectos del Plan Algunos proyectos emblemáticos: De carácter mixto SEG-25: Diseño e implantación de una solución centralizada de logs SEG-27: Desarrollo y adopción de una metodología que garantice la trazabilidad de transacciones SEG-31: Revisión y mejora de los procesos de gestión de credenciales de autenticación SEG-32: Formalización del modelo de gestión de usuarios en la entidad, utilizando un sistema de gestión centralizado 19
1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 20
6. Factores críticos de éxito A partir de la experiencia adquirida para asegurar la calidad del Plan: Necesidad de apoyo del Consejo, Comité de Dirección, etc. Necesidad de asignar un responsable interno para: Conocer la metodología Presentar el trabajo a los actores internos involucrados Participar en las actividades del Plan Revisar documentos 21
6. Factores críticos de éxito A partir de la experiencia adquirida para asegurar la calidad del Plan (cont.): Necesidad de un marco metodológico sólido Necesidad de asignar recursos y medios y mantenerlos en el tiempo Seguimiento de la evolución del Plan. 22
1 Introducción: IZFE 2 3 4 5 6 7 Motivación del Plan Director de Seguridad Enfoque y Metodología del Plan Alcance del Plan Resumen de los Proyectos del Plan Factores Críticos de Éxito Próximos Pasos 23
7. Próximos Pasos Revisión de las prioridades establecidas. Realización del Plan. 24
Gracias! 25