ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA
PRINCIPALES RETOS DE LA ADMINISTRACIÓN ELECTRÓNICA Garantizar el derecho de la ciudadanía a la Administración Electrónica (alguna de las manifestaciones de este derecho de nueva generación, como la de no aportar los datos o documentos que obren en poder de las administraciones cualquier administración- constituye un auténtico desafío). Una oportunidad irrenunciable para modernizar la Administración Pública.
VENTAJAS DE LA ADMINISTRACIÓN ELECTRÓNICA DISPONIBILIDAD (El horario de oficina es de 24x7). FACILIDAD DE ACCESO (Las oficinas están donde están los usuarios y usuarias). AHORRO DE TIEMPO (Aportar menos datos y documentos en los procedimientos debido a la interoperabilidad entre Administraciones, evitar desplazamientos y colas para ser atendidos/as).
FACTORES CRÍTICOS DE ÉXITO PARA LA ADMINISTRACIÓN ELECTRÓNICA a) EL IMPULSO DE LA ADMINISTRACIÓN, mediante la legislación (Ley 11/2007, Esquema Nacional de Seguridad, Esquema Nacional de Interoperabilidad) y desarrollo de proyectos tractores, como el DNI electrónico, la red SARA, @FIRMA... b) La confianza y SEGURIDAD QUE GENERE EN LA CIUDADANÍA c) Los servicios QUE SE OFREZCAN tanto a nivel cuantitativo como ) cualitativo.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Objeto: Establecer los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información. Principios: - La seguridad como un proceso integral. - Gestión de la seguridad basada en los riesgos. - Prevención, reacción y recuperación. - Líneas de defensa. - Reevaluación periódica. - La seguridad como función diferenciada.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD La seguridad como un proceso integral. La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema. Este principio excluye cualquier actuación puntual o tratamiento coyuntural. U b ió li l i t i l ISO/IEC 27001 2005 Una buena opción es aplicar la norma internacional ISO/IEC 27001:2005 que proporciona un modelo para la creación, implementación, operación, revisión y mejora de un sistema de gestión de la Seguridad de la Información (SGSI), y adopta un enfoque por proceso.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD Gestión de la seguridad basada en riesgos. Se trata de buscar un equilibrio permanente entre los riesgos y las medidas de seguridad.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD Prevención, reacción y recuperación. Prevención para eliminar o reducir el riesgo de que las amenazas lleguen a materializarse con perjuicio para el sistema. Reacción para que los incidentes de seguridad se atajen a tiempo. Recuperación para restaurar la información y los servicios de forma Recuperación para restaurar la información y los servicios de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD Líneas de defensa. Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica, dispuestas de tal forma que cuando una falle permita: a) Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse. b) Reducir la probabilidad de que el sistema sea comprometido en su conjunto. c) Minimizar el impacto final sobre el mismo.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD Reevaluación periódica. Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA PRINCIPIOS DE SEGURIDAD La seguridad como función diferenciada. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Requisitos: - Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el ltitular del lórgano superior correspondiente. - Todo el personal relacionado con la información de los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad. - Se deberá retener la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Requisitos: - Las notificaciones y publicaciones electrónicas de resoluciones y actos administrativos se realizarán de forma que cumplan lo siguiente: Aseguren la autenticidad del organismo que lo publique. Aseguren la integridad de la información publicada. Dejen constancia de la fecha y hora de la puesta a disposición del interesado de la resolución o acto objeto de publicación o notificación, así como del acceso a su contenido. Aseguren la autenticidad del destinatario de la publicación o notificación.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Requisitos: - Aquellos sistemas que tengan una dimensión de seguridad de nivel MEDIO o ALTO, deberán ser auditados, al menos, cada dos años. - La seguridad de los sistemas de información será auditada en los siguientes términos: Que la política de seguridad defina los roles y funciones de los responsables de la información. Que existan procedimientos. Que se hayan designado personas para dichos roles. Que se haya realizado un análisis de riesgos, con revisión y aprobación anual. Que se cumplan las recomendaciones de protección. Que exista un sistema de gestión de la seguridad de la información.
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Requisitos: - La determinación de la categoría de un sistema de información en materia de seguridad, se efectuará en función de la valoración del impacto que tendría un incidente que afectara a la seguridad de la información o de los sistemas, con repercusión en la capacidad organizativa para: Alcanzar sus objetivos. Proteger los activos a su cargo. Cumplir sus obligaciones diarias de servicio. Respetar la legalidad vigente (L11/07, L15/99, L30/92, L37/07, entre otras, de acuerdo al marco normativo bajo el que ha sido concebido el ENS). Respetar los derechos de las personas. - En la realización de las auditorías se utilizarán los criterios y métodos generalmente reconocidos, así como la normalización nacional e internacional aplicables a auditorías de sistemas de información (ISO27001/20000, MAGERIT, SIX-SIGMA, entre otros).
ESQUEMA NACIONAL DE SEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA Período de aplicación: - 12 meses desde su publicación: 30 DE ENERO DE 2011. Si no se ha podido llevar a cabo se debería aprobar previamente un PLAN DE ADECUACIÓN y su implantación con un límite de 48 meses desde la entrada en vigor del ENS: 30 DE ENERO DE 2014.
EXPERIENCIA DE SU APLICACIÓN EN LAS ENTIDADES LOCALES (EE. LL.) - No hay aún experiencias significativas conocidas. - Una experiencia similar cercana en el tiempo es la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Datos de Carácter Personal (LOPD): Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las entidades locales elaborado por INTECO, con la colaboración de la FEMP.
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. Algunos datos relevantes: El 28% de los ayuntamientos declara conocer el RDLOPD, y un 46 % ha inscrito los ficheros en el Registro de la Agencia Española de Protección de Datos (PYME 16%). Un 46,1% de los ayuntamientos han definido las obligaciones y funciones del personal responsable del tratamiento de datos personales. El 35,3% de los ayuntamientos ha realizado el documento de seguridad obligatorio. El 70,4% de los ayuntamientos afirman que cada usuario/a accede a los datos necesarios conforme al puesto que desempeñan. El 55,2% de los ayuntamientos realizan una copia completa de todos los datos al menos una vez a la semana. El 32,1% de los ayuntamientos conoce las sanciones recogidas en la normativa. Fuente: INTECO
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. PROPUESTAS Y RECOMENDACIONES DIRIGIDAS A LOS PODERES PÚBLICOS. Propuestas y recomendaciones en materia de concienciación y formación - Realización de programas de concienciación, difusión, divulgación y comunicación del nuevo RDLOPD. - Cursos de formación y teleformación adaptados a las necesidades y particularidades de los empleados de las EE.LL. Fuente: INTECO
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. PROPUESTAS Y RECOMENDACIONES DIRIGIDAS A LOS PODERES PÚBLICOS. Propuestas y recomendaciones en materia de diagnóstico e información - Diagnóstico periódico del estado de la seguridad de los datos de carácter personal en las Administraciones Locales. Ha de permitir a éstas tomar las medidas oportunas de cara a conseguir el más alto grado adaptación e implementación de las disposiciones normativas en materia de protección de datos. - Elaboración de un sistema de medición y seguimiento de indicadores sobre el estado de seguridad de los datos. Fuente: INTECO
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. PROPUESTAS Y RECOMENDACIONES DIRIGIDAS A LOS PODERES PÚBLICOS. Propuestas y recomendaciones en materia de financiación - Apoyo presupuestario directo. Las Entidades Locales son actores clave para lograr el acceso electrónico de los ciudadanos a los Servicios Públicos. En situaciones de insuficiencia financiera de las Entidades deberán verse apoyadas con ayudas y subvenciones directas de carácter finalista para la adaptación continúa en protección de datos. - Apoyo presupuestario indirecto. Los propios organismos han de poder acceder a cursos de formación o campañas de difusióió que complementen los recursos propios de las Entidades Locales. Otra posibilidad está en la creación de grupos de trabajo entre las entidades para la puesta en común de sus problemáticas o el establecimiento de convenios de colaboración con la Agencias de Protección de Datos. Fuente: INTECO
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. PROPUESTAS Y RECOMENDACIONES DIRIGIDAS A LOS PODERES PÚBLICOS. Propuestas y recomendaciones en materia de normalización y certificación - Identificación y autenticación mediante firma digital. - Certificación de la seguridad de la información y confianza digital. La implantación efectiva y la acreditación de las mejores prácticas identificadas de seguridad de la información, como o evidencia interna y frente e a terceros siguiendo los esquemas de certificación internacional como el ISO IEC 27001 y 2700212, contribuirá a la implantación de controles de cumplimiento normativo, en general, y de protección de datos, en particular, así como a las auditorías y a las revisiones posteriores. Fuente: INTECO
DIAGNÓSTICO SOBRE EL GRADO DE ADAPTACIÓN DE LAS ENTIDADES LOCALES A LA LOPD. PROPUESTAS Y RECOMENDACIONES DIRIGIDAS A LOS PODERES PÚBLICOS. Propuestas y recomendaciones en materia de promoción e incentivación de los niveles de madurez y buenas prácticas - Apoyo en la adaptación e implementación de las disposiciones del nuevo Reglamento. Este apoyo se hace especialmente necesario para el supuesto en el cual se almacenan y tratan ficheros de nivel alto y, por lo tanto, se deben implantar controles relativos al registro de acceso. Las entidades, antes de poner en marcha nuevos servicios o áreas, sean capaces de diseñar e implementar controles cuyo fin último sea la realización de evaluaciones de impacto que sobre la privacidad vayan a tener dichas iniciativas, cubriendo aspectos, no sólo de cumplimiento normativo sino también de incidencia sobre la privacidad en sentido amplio, y teniendo en cuenta, el factor de la opinión pública. Fuente: INTECO
FACTORES IMPULSORES E INHIBIDORES DE LA SEGURIDAD TIC / Estudio sobre el sector de la seguridad TIC en España FACTORES INHIBIDORES - Baja percepción p del riesgo: si el problema no se ve no existe. - Actitud reactiva frente a la seguridad: se busca solucionar rápidamente el problema y se recurre a soluciones parciales, en lugar de buscar una implantación efectiva y global, basada en un buen análisis de riesgos. - Coste y complejidad de las herramientas de seguridad TIC: las inversiones no son fáciles de justificar si no existe una cultura de seguridad y una clara percepción del riesgo. Fuente: INTECO
FACTORES IMPULSORES E INHIBIDORES DE LA SEGURIDAD TIC FACTORES IMPULSORES - Legislación y regulación: configura la demanda y suple por la vía de la obligación legal situaciones de falta de sensibilización por parte de los usuarios/as. - Impulso a la demanda de seguridad TIC: necesidad de aumentar las iniciativas formativas y divulgativas para crear una cultura de seguridad. La aparición ió de estándares internacionales i y sellos de certificación ió proporciona a las empresas e instituciones un modelo para la puesta en marcha de iniciativas de seguridad TIC promoviendo códigos de buenas prácticas y facilitando el cumplimiento de las obligaciones legales. Fuente: INTECO
FACTORES IMPULSORES E INHIBIDORES DE LA SEGURIDAD TIC FACTORES IMPULSORES - Creciente riesgo ante las amenazas de seguridad: los ataques a la seguridad se han incrementado y profesionalizado de manera importante. Panel de más de 3.000 hogares conectados a internet Estudio sobre el sector de la seguridad TIC en España - Apoyo al sector de la seguridad TIC: los proyectos impulsados por el sector público tienen una incidencia id i directa en el desarrollo del mercado de la seguridad TIC. Proyectos emblemáticos como el DNI electrónico. Fuente: INTECO
RECOMENDACIÓN PARA UNA APLICACIÓN ÓPTIMA DEL ESQUEMA NACIONAL DE SEGURIDAD El ENS impulsa una gestión continuada de la seguridad para satisfacer: - Los principios de seguridad integral, gestión de riesgos y reevaluación periódica y algunos requisitos mínimos como la organización e implantación del proceso de seguridad y la mejora continua del mismo. Por ello, una buena opción sería: a) APLICAR EL ESTÁNDAR DE GESTIÓN ISO-IEC 27001 atendiendo los requisitos específicos del ENS. b) Integrar el SGSI en el sistema de gestión de la organización: La política de seguridad en la política operacional de la organización, la organización de la seguridad en la estructura organizativa de la corporación, las medidas operacionales en los distintos procesos de la organización...
ESTÁNDARD DE GESTIÓN ISO-ITEC 27001 Partes interesadas Modelo PDCA aplicado a los procesos del SGSI Partes interesadas Planificar Crear el SGSI Hacer Implementar y operar el SGSI Mantener y mejorar el SGSI Actuar Requisitos y expectativas de seguridad de la información Supervisar y revisar el SGSI Verificar Seguridad de la información gestionada Fuente: UNE-ISO-IEC 27001
Planificar (Creación del SGSI) Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información. Hacer (implementación y operación del SGSI) Implementar y operar la política, controles, procesos y procedimientos del SGSI. Verificar (supervisión y revisión del SGSI) Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI. Actuar (mantenimiento y mejora del SGSI) Adoptar medidas correctivas y preventivas, en función de los resultados de las auditorías, revisiones e información relevante para mejorar continuamente el SGSI.
PASOS A REALIZAR PARA CUMPLIR EL ENS 1. Establecer una política de seguridad. 2. Inventariar la información y los servicios. 3. Realizar el análisis de riesgos y definir las medidas de seguridad adecuadas. d 4. Realizar un plan para cumplir el ENS.
NECESIDADES DE LOS AYUNTAMIENTOS PARA ADECUARSE AL ENS 1. Formación o creación del perfil de técnicos de seguridad (funciones de coordinación y gestión de la seguridad de la información y protección de datos). 2. Guías específicas para ayuntamientos: Elaborar un modelo de SGSI de un ayuntamiento tipo (tamaño mediano y tamaño pequeño) con inventario de activos, clasificación de los activos y medidas a aplicar, así como modelo de la documentación mínima necesaria del sistema de gestión. 3. Recursos económicos para crear el SGSI y para implementar las correspondientes medidas de seguridad. 4. Formación, concienciación y responsabilización del personal implicado en el sistema. 5. Liderazgo para generar una cultura de seguridad en la organización a fin de mantener en revisión y mejora continua el sistema.
Tipos de ataque - 500 ataques de red por año - 50 intentos de entrar en el Firewall Esplugues - Correo basura : 50.000/día = 18.000.000/año - Relay: 20/día intentando utilizarnos de puente para que seamos SPAMMERS INTERNET - Acceso FTP: 2/día proviene de entrar al FTP - Web: sólo en el 2010 llevamos 2900 ataques no detectados (intento de control de PHP) Todo aquello que puede ser atacado, es atacado - lalcaldessaetrespon llevaba 10 ataques analizando sobre 200 agujeros PHP DMZ