Plan Director Seguridad l Gobierno Navarra 15 Marzo 2005
Plan Director Seguridad l Gobierno Navarra Índice 1 Introducción 2 Plan Director Seguridad 3 Implantación l Plan Director Seguridad 4 Conclusiones 5 Próximos Pasos 2 17
1 Introducción Por qué abordar un Plan Director Seguridad? Para aportar confianza al spliegue l Plan Mornización la Administración Para alinear la seguridad a las necesidas la actividad, los sistemas y la tecnología l Gobierno Navarra y finir el nivel objetivo seguridad Para cumplir con la legislación vigente (LOPD, LSSI, Firma electrónica, Ley 30/1992...) Para finir el Plan Acción con el fin obtener el nivel objetivo seguridad Para cuantificar las inversiones y gastos para conseguir el nivel objetivo seguridad Para finir un plan para obtener la concienciación las personas en los temas seguridad Para aportar confianza al uso las tecnologías la información 3 17
2 Plan Director Seguridad l Gobierno Navarra Objetivos Diseñar un Plan Seguridad Corporativo que permita al Gobierno Navarra conocer y planificar las directrices actuación necesarias en materia seguridad los sistemas y tecnologías la información, para ofrecer confianza sobre los servicios y procesos que soportan los sistemas información Definir un Molo Seguridad Corporativo adaptando los estándares internacionales a las necesidas específicas l Gobierno Navarra y alineado con el Plan Mornización existente Intificar el nivel Seguridad existente en los sistemas información l Gobierno Navarra, en base a sus necesidas negocio y a los servicios que ésta ofrece Definir y planificar el conjunto acciones a realizar (a corto, medio y largo plazo) en el ámbito temporal establecido, a raíz la diferencia existente entre el nivel seguridad objetivo l Gobierno Navarra y l nivel seguridad actual Conocer y planificar las inversiones y costes necesarios para alcanzar el nivel seguridad acuado a las necesidas negocio l Gobierno Navarra 4 17
2 Plan Director Seguridad l Gobierno Navarra Definición l Molo Seguridad Indican los aspectos seguridad que se tendrán en cuenta, basados en UNE-ISO/IEC 17799 DOMINIO DOMINIO DE DE SEGURIDAD SEGURIDAD SERVICIOS PÚBLICOS INFORMATIVOS OBJETIVO OBJETIVO DE DE SEGURIDAD SEGURIDAD INTEGRIDAD DE LOS CONTENIDOS PÚBLICOS CONTROL CONTROL DE DE SEGURIDAD SEGURIDAD Control 8.7.6A Integridad contenidos públicos Obligatorio: Protección los servidores con información pública Deseable: Implantación mecanismos control integridad 5 17
2 Plan Director Seguridad l Gobierno Navarra Obtención catálogo proyectos basado en análisis GAP (2003) Análisis las diferencias entre: La situación actual la seguridad la información l Gobierno Navarra El molo seguridad finido en el PDS Ejemplo l Dominio Seguridad Servicios Públicos Informativos Nivel Actual vs. Nivel Objetivo 14 15 16 100,0% 80,0% 60,0% 40,0% 20,0% 1 2 3 4 Análisis tallado l cumplimiento actual los controles para: 13 0,0% 5 Cada Dominio Seguridad 12 6 Los controles Gestión la Seguridad 11 7 10 8 Por cuestiones confincialidad, este gráfico no muestra la situación real 6 17
2 Plan Director Seguridad l Gobierno Navarra Aprobación los resultados obtenidos Basándose en los resultados dicho proyecto, el Gobierno Navarra acordó aprobar, el 17 mayo 2004, El Plan Seguridad la Información y las Comunicaciones l Gobierno Navarra, que constituye el marco referencia que fine la estrategia y gestión la seguridad la información en los aspectos organizativos, normativos, tecnológicos y procedimiento, y que está compuesto por dos documentos: Política Seguridad Catálogo Proyectos y productos finales 7 17
2 Plan Director Seguridad l Gobierno Navarra Aprobación los resultados obtenidos La Política Seguridad la Información aprobada por Gobierno Navarra, contempla unos Objetivos Seguridad conformados por una serie Controles Seguridad la Información. Organización Política Seguridad Objetivos Seguridad Normativa Seguridad Procedimientos Operativos Para el cumplimiento estos controles, es preciso finir la Organización que interviene, unas Normas Seguridad que regulan la actividad, unos procedimientos que implementan estas últimas, y unos procedimientos control que verifiquen dicho cumplimiento. Procedimientos Control 8 17
2 Plan Director Seguridad l Gobierno Navarra Aprobación los resultados obtenidos Plan Seguridad la Información y las Comunicaciones Puntos débiles Programas mejora Aspectos mejora intificados con el análisis GAP Organización seguridad Cuerpo normativo Seguridad Inventario activos Conjunto programas a abordar Seguridad CVD Molado Roles Metodología Análisis y Gestión riesgos Pruebas con datos reales Acuación Normativa AÑO 2004 Conjunto proyectos a corto plazo Gestión contenidos Control accesos Securización entornos Gestión soportes AÑOS 2005-2006 AÑOS 2007 2008 Conjunto proyectos consolidación y extensión a otras áreas l GN Conjunto proyectos a medio y largo plazo Firma electrónica Detección y monitorización Plan continuidad Seguimiento y auditoría 9 17
3 Implantación l Plan Director Seguridad Enfoque los proyectos Cada proyecto se compone las siguientes tareas: Realizar un diagnóstico tallado la situación actual. Definir un plan acción tallado para la implantación l molo Intificar y evaluar los recursos y herramientas necesarias para la implantación l molo Desarrollar la normativa seguridad relacionada con el molo gestión finido. Documentación estándares, guías y procedimientos que sean aplicación. Se clasifican los proyectos en tres grupos atendiendo a su prioridad. 1 er grupo: Cuerpo Normativo Seguridad + Proyectos a corto plazo para Hacienda Tributaria 2º grupo: Proyectos consolidación y extensión a otras áreas l Gobierno Navarra 3 er grupo: Proyectos a medio y largo plazo Los proyectos a corto, medio o largo plazo se abordan forma que: Inicialmente, el ámbito sea no todo el Gobierno, sino un Organismo Autónomo Se usen enfoques metodológicos que permitan su extensión a otras áreas l Gobierno Los resultados que se obtengan sean fácilmente reutilizables 10 17
3 Implantación l Plan Director Seguridad Cuerpo Normativo Seguridad Desarrollar Desarrollar el el Cuerpo Cuerpo Normativo Normativo Seguridad Seguridad Sistemas Sistemas y Tecnologías Tecnologías la la Información Información la la Administración Administración la la Comunidad Comunidad Foral Foral Navarra Navarra y sus sus Organismos Organismos Autónomos. Autónomos. Éste objetivo se estructura a su vez en los siguientes objetivos parciales: 1. 1. Desarrollo Desarrollo la la Normativa Normativa General General Seguridad Seguridad 2. 2. Definición Definición los los Procesos Procesos Formales Formales Revisión Revisión y y Evaluación Evaluación Periódica. Periódica. 3. 3. Definición Definición los los Procesos Procesos Aprobación Aprobación Formal. Formal. 4. 4. Definición Definición mecanismos mecanismos Divulgación Divulgación y y Publicación. Publicación. 11 17
3 Implantación l Plan Director Seguridad Lista proyectos que se abordan a corto plazo para HTN Los proyectos que se ci abordar en la primera parte son los siguientes: Adaptación a la normativa vigente (LOPD, LSSI) Desarrollo las guías para el inventario y la clasificación activos tecnológicos Realización l inventario activos Diseño un molo autorizaciones acceso a aplicaciones basado en roles Desarrollo una metodología Análisis y Gestión Riesgos Tecnológicos Diseño un molo gestión segura soportes Desarrollo una metodología para contemplar la Seguridad en el Ciclo Vida l Desarrollo Servicios Protección datos reales en entorno prueba Revisión l actuales procesos gestión contenidos en servidores públicos Integridad contenidos en servidores públicos 12 17
3 Implantación l Plan Director Seguridad Interrelación entre todos los proyectos l grupo 1º SEG-1.5: Definición l cuerpo normativo seguridad sistemas y tecnologías la información SEG-5.5: Ejecución periódica auditorías obligado cumplimiento, según LOPD SEG-2.1: Estudio y Convergencia a la legislación aplicable a los sistemas información (LOPD, LSSI,...) SEG-2.4: Molado y perfilado un sistema autorizaciones basado en roles + Molo administración SEG-2.5: Revisión y mejora la gestión segura soportes SEG-2.6: Desarrollo l Documento Seguridad l Gobierno Navarra SEG-1.5 SEG-2.2: Desarrollo las guías clasificación los activos información SEG-2.3: Inventariado y clasificación activos tecnológicos SEG-8.1: Diseño e implantación una solución control integridad contenidos públicos SEG-2.7: Desarrollo y adopción una metodología análisis riesgos SEG-8.2: Revisión y mejora la solución gestión contenidos SEG-7.1: Definición y adopción una metodología gestión la seguridad en el ciclo vida sarrollo servicios SEG-7.2: Revisión y acuación l enmascaramiento datos reales para la realización pruebas SEG-1.5 13 17
3 Implantación l Plan Director Seguridad Resultados obtenidos Los controles seguridad han sido finidos y documentados Los controles seguridad ben ser implantados en la operativa diaria CUMPLIMIENTO DE LOS OBJETIVOS DE SEGURIDAD Política Seguridad aprobada y Cuerpo Normativo sarrollado Disposición un marco para el sarrollo proyectos seguridad Molos gestión finidos 1 Conocimiento los activos la organización Creación cultura seguridad Metodologías sarrolladas durante el proyecto 2 Conocimientos adquiridos durante el proyecto Plan Acción para continuar con la mejora seguridad Implantación los molos finidos 3 Solución las carencias control intificadas Aplicación las metodologías finidas 14 17
4 Conclusiones Mejora seguridad en marcha Necesidad contar con recursos internos cualificados Nuevos aspectos técnicos y organizativos Aparecen nuevas funciones y responsabilidas relacionadas con la organización la seguridad que es necesario asignar Se necesita invertir en sistemas información que soporten los molos gestión Hay que sarrollar programas formación continua: A los miembros la organización seguridad A los encargados la ejecución los procedimientos gestión finidos 15 17
4 Próximos pasos Consolidación los resultados obtenidos Extensión al resto partamentos l Gobierno Navarra los proyectos realizados durante 2004 (extensión horizontal) Arranque los proyectos l Plan Seguridad Corporativo que faltan por acometer (extensión vertical) Estrategia mantenimiento la atención en la seguridad bido a que continuamente aparecen: Nuevas regulaciones Nuevas versiones/nuevas tecnologías Nuevas amenazas Nuevas contramedidas 16 17
Fin la presentación 17 17