Esquema Nacional de Seguridad. Y después qué? CRUE-TIC. Salamanca 2012 Telefónica Empresas 26/10/2012
Índice 01 Por qué el R.D. 3/2010 ENS Motivación Contenido 02 Como lograr una efectiva implantación del ENS Gestión de la seguridad Seguridad. Marcos internacionales de referencia 1
01 Resumen del R.D. 3/2010 Motivación. 2
Escenario 1: Administración tradicional Procesos de tramitación Características del soporte papel: Toda la información está sobre el soporte. El desplazamiento de la información es traslado del soporte. Ocupa un espacio físico. Es tangible. Soporte papel Archivadores Expedientes en papel Personas Ubicaciones físicas
Escenario 2: e-administración. Características del soporte electrónico: Poco espacio, mucha información. La velocidad de transmisión es mayor. Tiene METADATOS!. A priori no existe original y copia. Proces os Información Soporte papel Soporte electrónic o En tránsito Aplicaciones Usuarios Hardwar e red Desarrolladores Hardwar e Servidor Administradores Hardwar e red Archivo Proveedores Telecomunicaciones Proveedores Telecomunicaciones CPD Ubicaciones físicas Edificios
Entorno TI en constante aumento de complejidad Datos TI Tradicional Virtualización Cloud computing Soft Hard CPD
El soporte papel está controlado La seguridad jurídica del soporte papel está gestionada y vinculada al mundo FISICO: Registros de E/S Periciales caligráficas. Compulsas. Persona Documento en papel Expediente en papel Archivo en papel Sede física del Organismo La seguridad jurídica del papel está gestionada: Registros de E/S, periciales caligráficas. Compulsas. 6
Y la seguridad jurídica del mundo digital? Identificación y autenticación del ciudadano Comunicaciones y notificaciones electrónicas Sede electrónica Autor Documento electrónico Expediente electrónico Archivo electrónico 7
La seguridad jurídica es seguridad de la información. DISPONIBILIDAD CONFIDENCIALIDAD INTERRUPCIÓN INTERCEPTACIÓN MODIFICACIÓN FABRICACIÓN INTEGRIDAD AUTENTICACIÓN y TRAZABILIDAD
Qué proteger? (Cara a la AA.PP.) La e-administración incrementa los requisitos de seguridad. Disponibilidad: Servicios online= Servicios 24 x 7 x 365. Necesidad de garantizar continuidad de negocio. Confidencialidad: Las AA.PP. son también bancos de datos. Integridad: Veracidad de la información. Evidencia digital de transacciones. Autenticación: Demostrar la veracidad de la identidad de las partes (ciudadano y la propia Administración) para evitar suplantación
Qué garantizar? (Cara al ciudadano) Disponibilidad: Acceso 24 x 7 x 365 a datos en trámitación o copias. Conservación de documentos electrónicos tramitados (Conservación). Confidencialidad: Protección de la intimidad (Privacidad). Integridad: Que se garantice la corrección de la información aportada (Calidad de los datos). Autenticación: Tener garantías de la identificación correcta de la AA.PP. (Sede electrónica) Funcionamiento de los medios para la comprobación de la veracidad de la identidad.
01 Resumen del R.D. 3/2010 Contenido. 11
Pilares del R.D. 3/2010 ENS MISIÓN DEL ENS: GENERAR CONFIANZA EN EL USO DE LA TECNOLOGIA. OBJETIVOS: GARANTIZAR EL FUNCIONAMIENTO NORMAL DE LOS SERVICIOS TELEMÁTICOS Y EL CONTROL DE LA INFORMACIÓN. PROTEGER LA DISPONIBILIDAD, AUTENTICIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DE LOS DATOS ALMACENADOS O TRANSMITIDOS Y DE LOS SERVICIOS PROPORCIONADOS. ESTABLECER UN MARCO COMÚN QUE HAN DE GUIAR LA ACTUACIÓN DE LAS ADMINISTRACIONES PÚBLICAS EN MATERIA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN.
Seguridad jurídica garantizada por legislación que regula la tecnología. Administración electrónica Protección de datos de carácter personal Ley 11/2007 (LAECSP) Firma electrónica Ley 15/1999 (LOPD) R.D. 1671/2009 (Desarrollo LAECSP) Ley 59/2003 (Firma-e) R.D. 1720/2007 (RMS-LOPD) R.D. 3/2010 (ENS) R.D. 4/2010 (ENI)
Medidas de seguridad a desplegar org Marco organizativo Quién lo hará? op Marco operacional op.pl Planificación op.acc Control de acceso op.exp Explotación op.ext Servicios externos Procesos de seguridad op.cont Continuidad del servicio op.mon Monitorización del sistema mp mp.if mp.per Medidas de protección Protección de las instalaciones e infraestructuras Gestión del personal Medidas concretas mp.eq mp.com mp.si mp.sw mp.info mp.s Protección de los equipos Protección de las comunicaciones Protección de los soportes de información Protección de las aplicaciones informáticas Protección de la información Protección de los servicios
Sistemas de información La categoría de un Sistema de información es la valoración de «Servicio» e «Información». Sistema de información de Gestión Información de alumnos Aplicación gestión expedientes Sede electrónica Web Registro telemático Correo electrónico Hardware servidores Red Troncal CPD-1 CPD-2 Contenido= Información Servicios para transportar el contenido
El plan de adecuación= Un análisis diferencial hacia el cumplimiento. 16
Despliegue de proyectos de puesta en marcha Número de tareas de cada proyecto y su estado ejecutado/pendiente del Plan de proyectos para lograr el cumplimiento. 17
Proyectos incluidos en el plan de adecuación La tipología de proyectos definidos en el Plan de Adecuación son los siguientes: [AJS]-Aspectos jurídicos relacionados con la seguridad [CAL]- Control de acceso lógico [DSA]-Desarrollo seguro de aplicaciones [FOR]-Formación y concienciación en materia de seguridad [GSA]- Gestión de soportes de almacenamiento [MNP]- Marco normativo y procedimental de seguridad [MOS]-Monitorización operativa de la seguridad [PCN]-Plan de continuidad de negocio [PFI]-Protección física de infraestructuras [POS]-Procesos de operación técnica de la seguridad 18
[AJS]-Aspectos jurídicos relacionados con la seguridad Servicio. Oficina Técnica de Soporte a la Implantación del ENS o La Oficina Técnica se encarga de la elaboración de Normas y Procedimientos que componen el Marco Normativo del cliente en materia de Seguridad de la Información. Elaboración de un procedimiento documentado de contratación de servicios externos que solicite al proveedor las características del servicio a prestar. Servicio. Plan de Adecuación LOPD o Servicio de análisis y redacción de los Planes de Adecuación a la LOPD necesarios para el cumplimiento legal por parte del cliente. Servicio. Auditoria Bienal Obligatoria RD 1720/2007 o Servicio de Auditoría Bienal Obligatoria recogida en el RD 1720/2007 para ficheros de nivel medio y alto. 19
[CAL]- Control de acceso lógico Servicio. Consultoría seguridad gestionada y centralizada o A través de una consultoría de los sistemas actuales del cliente, así como de las necesidades de servicio y funcionamiento existentes, se desarrollará un sistema de gestión y control del acceso implantado sobre: Sistemas de identificación y gestión de las credenciales centralizado Correlación de logs entre aplicaciones y sistemas Repositorio central seguro de credenciales y usuarios o Para la realización de la consultoría e implantación de sus resultados se deberá trabajar con los responsables de seguridad y sistemas de la Universidad. 20
[DSA]-Desarrollo seguro de aplicaciones Servicio. Auditoría de código. o Para conseguir aplicaciones seguras es necesario: Disponer de unas reglas de programación que permitan estudiar el código de forma rápida y efectiva Seguir unas reglas de diseño homogéneas compartidas por todos los programadores Documentar convenientemente cada uno de los procesos e interfaces entre aplicaciones o La auditoría de código permite comprobar las aplicaciones desarrolladas y certificar que dichas aplicaciones no esconden código malicioso, puertas traseras o errores de diseño que puedan convertirse en agujeros de seguridad. 21
[FOR]-Formación y concienciación en materia de seguridad Servicio. Formación y concienciación o Generación de Planes de formación y concienciación en Seguridad de la Información segmentados por perfiles de usuarios. Formación a usuarios Formación a responsables Formación a personal técnico 22
[GSA]- Gestión de soportes de almacenamiento Servicio. Gestión del almacenamiento y políticas de respaldo. o Este servicio se relaciona con las políticas de centros de respaldo y continuidad de negocio hasta llegar a considerarse parte de dicho plan. o El almacenamiento, así como las políticas de respaldo, deben estructurarse de acuerdo al plan de continuidad de negocio, esto es, tanto en las políticas de respaldo, replicación, custodia y recuperación. o Por tanto, este servicio será desarrollado en conjunto con el plan de continuidad de negocio y el plan de recuperación ante desastres 23
[MNP]- Marco normativo y procedimental de seguridad Servicio. Oficina Técnica de Soporte a la Implantación del ENS o La Oficina Técnica se encarga de la elaboración de Normas y Procedimientos que componen el Marco Normativo del cliente en materia de Seguridad de la Información. Política de Seguridad Autorizaciones sobre los Sistemas de Información Utilización de instalaciones Criptografía Paso a producción Medios y Soportes Comunicaciones Revisión del Análisis de Riesgos, 24
[MOS]-Monitorización operativa de la seguridad Servicio. Seguridad Gestionada. o La seguridad debe ser considerada como un servicio que debe ser mantenido y monitorizado de forma continuada. o Cualquier configuración de seguridad queda absolutamente desfasada y desprotegida si carece de una monitorización continua y una administración proactiva o Telefónica ofrece todos los componentes para desplegar y mantener todos los sistemas necesarios para realizar dicha monitorización en 24x7 o Además, la alta especialización del Centro de Seguridad de Telefónica permite realizar una administración proactiva llegando a corregir vulnerabilidades tan pronto como son descubiertas por los mismos fabricantes o por otros centros de seguridad internacionales. 25
[PCN]-Plan de continuidad de negocio Servicio. Plan de Recuperación ante Desastres o La redacción del Plan de Recuperación ante Desastres estructura el cumplimiento de las obligaciones de Continuidad de Negocio y de Continuidad de Servicio establecidas en el ENS. Análisis de Riesgos y BIA Redacción de los Planes de Recuperación Definición del Sistema de pruebas para validar el cumplimiento de los Planes de Recuperación Ejecución de las pruebas definidas en los Planes y documentación de los resultados. 26
[PFI]-Protección física de infraestructuras Servicio. Servicio de seguridad física gestionada. o En conjunción con las medidas actuales de seguridad física existentes en la universidad, y teniendo en cuenta los resultados de una auditoría de seguridad, se plantearían mejoras al sistema actual, pudiéndose configurar: Correlación logs físicos y lógicos Mejora de los elementos de seguridad física Unificación de la gestión de la seguridad Procesos automáticos ante determinados sucesos 27
[POS]-Procesos de operación técnica de la seguridad Servicio. Plan de seguridad. o Junto con el desarrollo del servicio de Seguridad Gestionada expuesto anteriormente, y formando parte de él, se realizarían las siguientes acciones: Establecimiento de unas tareas planificadas de revisión de la seguridad: logs, informes, etc.. Tareas de mantenimiento proactivas, orquestadas y dirigidas desde el Centro Especializado de Seguridad (SOC) de Telefónica Formación a los responsables de seguridad de la Universidad en todas las mejores prácticas y procesos necesarios para conseguir un plan de seguridad adecuado al ENS que dote a la Universidad de la mejor solución y procedimiento de seguridad de acuerdo a sus necesidades. 28
02 Como lograr una efectiva implantación del ENS Gestión de la seguridad Seguridad. Marcos internacionales de referencia. 29
Marco internacional de gestión de la seguridad UNE-ISO/IEC 27001:2005 R.D. 3/2010 ESQUEMA NACIONAL DE SEGURIDAD R.D. 1720/2007 RD LOPD Medida de seguridad Información de servicios e-administración Datos de carácter personal INFORMACIÓN
Aunar esfuerzos: ENS-RD1720-ISO 27001 MEDIDA DE SEGURIDAD GESTIÓN DE INCIDENTES Ejemplo de posibles relaciones y mapeos R.D. 3/2010 ENS op.exp.7. Gestión de incidencias RD. 1720/2007 ISO 27001:2005 Artículo 90. Registro de incidencias. Artículo 100. Registro de incidencias. 13.1. Comunicación de eventos y debilidades en la seguridad de la información. 13.2. Gestión de incidentes y mejoras en la seguridad de la información. POLITICA DE SEGURIDAD org.1 Política de seguridad org.2 Normativa de seguridad org.3 Procedimientos de seguridad Artículo 88. El documento de seguridad. 5.1. Política de seguridad de la información GESTIÓN DE EXTERNOS op.ext.1. Contratación y acuerdos de nivel de servicio Artículo 82. Encargado del tratamiento. Artículo 83. Prestaciones de servicios sin acceso a datos personales. 6.2. Terceros
Aplicación del ENS bajo modelo SGSI-ISO 27001 - Definir la Política de Seguridad - Establecer categorías - Realizar el análisis de riesgos - Seleccionar los controles - Ejecutar el plan de gestión de riesgos - Implantar los controles - Adoptar acciones correctivas - Adoptar acciones preventivas - Realizar auditorias del ENS
Analogías entre ENS e ISO 27001 Establece el ciclo PDCA como eje de la gestión. Principios básicos. Artículo 5. La seguridad como un proceso integral. Artículo 9. Reevaluación periódica. Requisitos mínimos Artículo 26. Mejora continua del proceso de seguridad. Selección de medidas en base a riesgo. Capitulo X. CATEGORIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN. ANEXO I. Categorías de los sistemas. ANEXO II. Medidas de seguridad. 33
SGSI para el cumplimiento ENS ENS SIN un SGSI, el cumplimiento es: 10% 20% 30% ENS CON un SGSI ya implantado, el cumplimiento aproximado habría sido: 51% 60% 70% 34
Pregunta en la FAQ del ENS del CCN-CERT Se debe desarrollar un SGSI formalizado y adecuado a las normas y buenas prácticas establecidas en estándares internacionales como, por ejemplo, ISO/IEC 27001? El ENS impulsa que debe haber una gestión continuada de la seguridad, necesaria para poder satisfacer al menos: Los principios a) Seguridad integral, b) Gestión de riesgos, e) Reevaluación periódica Y los requisitos mínimos: a) Organización e implantación del proceso de seguridad y o) Mejora continua del proceso de seguridad. Todas las actuaciones deben estar formalizadas permitiendo una auditoría. La norma ISO/IEC 27001, en resumen, especifica un sistema de gestión certificable. El ENS no exige específicamente que el sistema de gestión de la seguridad de la información sea el especificado por la norma ISO/IEC 27001, si bien éste es aplicable. En su caso corresponderá al auditor juzgar si su sustitución por otro sistema de gestión satisface los principios y requisitos mínimos exigidos por el ENS y permite verificar que la seguridad del sistema de información está efectivamente bajo control. La certificación de la conformidad con ISO/IEC 27001 NO es obligatoria en el ENS. 35
Sinergias de cumplimiento y gestión Con un sistema de gestión de la seguridad de la información, es viable la unificación del esfuerzo de gestión en un marco internacionalmente reconocido como es ISO 27001. Las sinergias en materia de seguridad entre el marco regulador (ENS y LOPD) e ISO 27001 permiten realizar el proceso de auditoría para evaluar en una única vez el cumplimiento de: R.D. 1720/2007, RDLOPD. R.D. 3/2010, ENS. UNE-ISO/IEC 27001:2007 ISO 27001 permite acreditar a la organización el cumplimiento certificando el sistema de gestión de la seguridad e indicarlo así en la Sede como distintivo de seguridad.