RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD



Documentos relacionados
PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEMANA 12 SEGURIDAD EN UNA RED

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

Módulo 7: Los activos de Seguridad de la Información

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

Estatuto de Auditoría Interna

UNIVERSIDAD DE BURGOS

Cómo hacer coexistir el ENS con otras normas ya

Ley Orgánica de Protección de Datos

Riesgos asociados al CLOUD

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2


Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

1.8 TECNOLOGÍA DE LA INFORMACIÓN

ESQUEMA NACIONAL DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Bechtle Solutions Servicios Profesionales

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Master en Gestion de la Calidad

DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Resumen General del Manual de Organización y Funciones

GESTIÓN REMOTA Y CENTRALIZADA DE DISPOSITIVOS MÓVILES PROPUESTA DE COLABORACIÓN.

SISTEMAS Y MANUALES DE LA CALIDAD

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS MADRID info@mope.

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

En el artículo del mes pasado,

Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1

Aviso Legal. Entorno Digital, S.A.

Capítulo 5. Cliente-Servidor.

Traslado de Data Center

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

Soporte Técnico de Software HP

El Portal de la Transparencia

Capítulo IV. Manejo de Problemas

ALOJAMIENTO DE SERVIDORES EN EL C.P.D.

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

mope SEGURIDAD INFORMÁTICA

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

IT/Servicio de Apoyo Técnico

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

UNIVERSIDAD AUTÓNOMA DEL CARIBE

LA AUDITORÍA DE SEGURIDAD DEL ENS

Servicio de hospedaje de servidores

Implantación de un SGSI

Gestión de la Configuración

Medidas de seguridad ficheros automatizados

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

ENS: Esquema Nacional de Seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

Tenemos que tener en cuenta que los principales objetivos del ENS son:

BOLETÍN OFICIAL DEL ESTADO

RECETA ELECTRÓNICA Informe de Seguridad

BOLETÍN OFICIAL DEL ESTADO

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas

Unidad 1. Fundamentos en Gestión de Riesgos

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)

4.4.1 Servicio de Prevención Propio.

Normativa de Hosting Virtual de la Universidad de Sevilla

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Medidas de Nivel Medio

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Observaciones de la Asociación Española de Fundaciones. al borrador de

Detonates de la virtualización del puesto de usuario

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

UNIVERSIDAD DE LA RIOJA

NORMAS DE SOPORTE ADDVISORY GROUP CARIBE SA SAP BUSINESS ONE

INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL

MARCO DE COOPERACIÓN CON LAS UNIDADES DE INFORMÁTICA DISTRIBUIDAS

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

MANUAL COPIAS DE SEGURIDAD

servicios públicos establecer un plan director de almacenamiento

Resumen Norma ISO

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

CONTRATAS Y SUBCONTRATAS NOTAS

O30/4/2015. Orden de 30 de abril de 2015, de la Consejería de Presidencia, Justicia e Igualdad, por la que

ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos

IBM Global Services España, S.A C/ Mar Adriático, 2 San Fernando de Henares MADRID. Servicios IBM de Soporte Técnico Remoto

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Recomendaciones relativas a la continuidad del negocio 1

Transcripción:

RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD

ÍNDICE 1. INTRODUCCIÓN... 3 2. PRIORIDADES DE UNA ENTIDAD... 4 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD... 4 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO... 4 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO... 4 2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO... 5 2.5. PROTECCIÓN INTERNA: SERVIDORES... 5 2.6. COPIAS DE SEGURIDAD (BACKUP)... 5 2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS)... 6 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD... 6 2.9. MONITORIZACIÓN Y REACCIÓN... 6 2.10. CONCIENCIACIÓN... 7 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES... 7 3.1. ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES... 8 3.2. PROTOCOLOS DE COORDINACIÓN... 9 3.3. USO DE UNA ESTRUCTURA VIRTUALIZADA... 9 4. RELACIÓN CON NORMATIVA... 10 5. PERFILES DE SEGURIDAD... 12 6. COSTE... 13 7. EFICACIA... 13 8. TIPO DE PROTECCIÓN... 13 9. REFERENCIAS... 15 Centro Criptológico Nacional 2

1. INTRODUCCIÓN 1. El Esquema Nacional de Seguridad, en su Disposición Transitoria sobre Adecuación de los Sistema, dice que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes. 2. Este documento proporciona orientación para priorizar la implantación de las medidas de seguridad del Esquema Nacional de Seguridad. Esta orientación se materializa en una serie de actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS. 3. Estas actuaciones no sustituyen a lo establecido en el Real Decreto 3/2010 en cuanto al cumplimiento de los principios básicos y requisitos mínimos mediante la aplicación de las medidas indicadas en su anexo II. 4. La orientación aquí proporcionada es aplicable a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 5. El apartado 2 expone una serie de actuaciones a nivel de entidad individual, ordenadas por prioridad, es decir, empezando por aquellas que presentan una mejor relación entre coste (bajo) y mejora de la seguridad (alto). Para cada actuación se indica la correspondencia con la medida o medidas relacionadas del anexo II y en su caso con las guías CCN-STIC en las que se trata la cuestión. 6. El apartado 3 trata las oportunidades que ofrecen las infraestructuras y servicios comunes en relación con las actuaciones expuestas para priorizar las medidas del ENS. 7. El apartado 4 proporciona, en relación con las actuaciones citadas, una tabla de correspondencias entre el ENS y otros instrumentos como NISP-SP 800-53 e ISO 27000. 8. El apartado 5 trata los perfiles de seguridad. 9. Los apartados 6, 7 y 8 contienen las leyendas relativas a las expresiones de coste, eficacia y medidas de protección utilizadas en el documento. 10. El apartado 9 contiene referencias a documentación. Centro Criptológico Nacional 3

2. PRIORIDADES DE UNA ENTIDAD 11. Las actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS son las siguientes: Prioridad Acción Medidas Guías Tipo Coste Eficacia CCN-STIC 1 Definir y nombrar al [org.1] Política de seguridad 801 AD BAJO BAJA responsable de la seguridad 2 Inventariar el equipamiento [op.exp.1] Inventario de activos AD BAJO BAJA informático 3 Definir y proteger el [mp.if.1] Áreas separadas y con control de PR MEDIO ALTA perímetro físico acceso 4 Definir y proteger el perímetro lógico [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad 811 406, 408, 416 PR MEDIO ALTA 5 Protección interna: servidores [op.acc.7] Control del acceso remoto [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Series 500 y 600 Series 400, 500 y 600 PR MEDIO ALTA 6 Copias de seguridad (backup) [mp.info.9] Copias de seguridad (backups) RC BAJO ALTA 7 Protección interna: puestos [op.exp.2] Configuración de seguridad Series 400, 500 PR MEDIO MEDIA de trabajo (PC) [op.exp.6] Protección frente a código y 600 8 Protección interna: portátiles, smart phones, byod dañino [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino 9 Monitorización y reacción [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios 10 Concienciación [mp.per.3] Concienciación [org.2] Normativa de seguridad Series 400, 500 y 600 403 817 PR MEDIO MEDIA MN + CR MEDIO ALTA AW MEDIO MEDIA 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD 12. Debe haber una (1) persona responsable de velar por todos los aspectos de seguridad del sistema. La misma, o personal bajo su dirección, se encargará de la administración y operación de las medidas de seguridad que se consideren oportunas. El responsable de seguridad será el interlocutor único en materia de seguridad. [org.1] Política de seguridad Guías CCN-STIC: 801 Roles y funciones 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO 13. Hay que tener una lista o base de datos actualizada que cubra los equipos (servidores, pc y portátiles) con el software instalado en los mismos. [op.exp.1] Inventario de activos 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO 14. Seguridad física: instalación de los equipos en una sala cerrada con control de acceso [mp.if.1] Áreas separadas y con control de acceso Centro Criptológico Nacional 4

2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO 15. Seguridad de las comunicaciones. Poner, configurar y proteger el cortafuegos. [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad [op.acc.7] Control del acceso remoto Guías CCN-STIC: Guía 811 - Interconexión en el Esquema Nacional de Seguridad Serie 400 Guías generales o 406 Seguridad en redes inalámbricas o 408 Seguridad perimetral cortafuegos o 416 Seguridad en VPN s Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.5. PROTECCIÓN INTERNA: SERVIDORES 16. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.6. COPIAS DE SEGURIDAD (BACKUP) 17. Debe identificarse la información crítica y establecer un mecanismo automático para tener copias regulares a las que recurrir en caso de pérdida. Las copias deben ubicarse de forma que no se vean afectadas por los mismos incidentes que pueden destruir la información en uso rutinario. [mp.info.9] Copias de seguridad (backups) Guías CCN-STIC Centro Criptológico Nacional 5

2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) 18. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entorno 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD 19. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.9. MONITORIZACIÓN Y REACCIÓN 20. Resolución de problemas detectados, y actitud proactiva en la localización de los mismos. 21. De forma reactiva hay que atender a los anuncios de parches de los fabricantes y a los incidentes de seguridad que ocurran. De forma preventiva hay que recoger registros de actividad de los usuarios y protegerlos para que sirvan de fuente de conocimiento en caso de incidencia. [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento Centro Criptológico Nacional 6

[op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios Guías CCN-STIC: 403 Gestión de incidentes de seguridad 817 Criterios comunes para la gestión de incidentes de seguridad en el Esquema Nacional de Seguridad (ENS). Procedimientos de actuación del CCN-CERT. 2.10. CONCIENCIACIÓN 22. Debe existir una normativa escrita que describa lo que es el uso adecuado del sistema de información y lo que es uso indebido. Debe transmitirse esta normativa a todas las personas que tienen algún derecho de acceso al sistema, de forma recurrente. [mp.per.3] Concienciación [org.2] Normativa de seguridad 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 23. El Artículo 28 del ENS Infraestructuras y servicios comunes dice que: La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración. 24. En particular, la Administración General del Estado proporciona una serie de infraestructuras y servicios comunes, con soporte legal, destinadas a proporcionar soluciones a necesidades comunes de las AA.PP. en relación con cuestiones tales como, sin ánimo de exhaustividad, la Red de comunicaciones de las Administraciones Públicas, prestada por la Red SARA; la plataforma de validación de firma electrónica @Firma relativa a identificación, autenticación, firma electrónica y sellado de tiempo; la interconexión de registros electrónicos y el intercambio de asientos registrales (SIR/ORVE), la Plataforma de intermediación de datos, el documento y el expediente electrónicos (INSIDE, G_INISDE), las notificaciones electrónicas, la sede electrónica (ACCEDA) entre otras, que simplifican la complejidad de las diversas dimensiones de la interoperabilidad y propagan la interoperabilidad entre las AA.PP. y con los ciudadanos. 25. Las demás AA.PP. también disponen de infraestructuras y servicios comunes en su ámbito, a la vez que el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dispone en su artículo 12 que: Las Administraciones públicas enlazarán aquellas infraestructuras y servicios que puedan implantar en su ámbito de actuación con las infraestructuras y servicios comunes que proporcione la Administración General del Estado para facilitar la interoperabilidad y la relación multilateral en el intercambio de información y de servicios entre todas las Administraciones públicas. Centro Criptológico Nacional 7

26. Lo que sigue se ha redactado pensando en el uso de: a. Infraestructuras y servicios comunes proporcionados por la propia administración pública (private cloud); aunque no se precisa la titularidad de los mismos, ni se requiere que haya un único centro de servicios. b. Uso de estructuras virtualizadas en la nube y requisitos a considerar. 27. Los aspectos de seguridad relativos a al empleo de Cloud Computing se tratan en la guía 823. 3.1. ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 28. La utilización de infraestructuras y servicios comunes ofrece en materia de seguridad las oportunidades que se citan a continuación, considerando lo que se debe tener presente en cuanto a la delegación de responsabilidades y funciones. acción 1.Definir y nombrar al responsable de la seguridad 2.Inventariar el equipamiento informático 3.Definir y proteger el perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación oportunidades esta actuación es necesariamente local: se pueden delegar funciones; pero no responsabilidades se puede apoyar con herramientas centralizadas de descubrimiento de componentes y mantenimiento del inventario si se utiliza equipamiento virtual (en la nube) las entidades no necesitan inventariar su equipamiento, sólo los servicios que utilizan si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro físico a los equipos de comunicaciones y las áreas de trabajo si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro lógico a su acceso remoto a los servicios centrales; pero estos se encargan de la interfaz con los ciudadanos si se utiliza equipamiento virtual (en la nube), la configuración de los equipos y el mantenimiento de versiones pasan a los servicios comunes; ver sección 3.2 si se utiliza equipamiento virtual (en la nube) la realización y gestión de copias de seguridad pasa a los servicios comunes, parametrizada por la política de cada organismo usuario la configuración puede facilitarse desde un repositorio central la administración de los sistemas puede delegarse a los servicios comunes ver sección 3.2 se pueden proporcionar recursos comunes de concienciación, tanto en la elaboración de material como en la presentación online y control de asistencia y Centro Criptológico Nacional 8

aprovechamiento (servicio de tele-formación) 3.2. PROTOCOLOS DE COORDINACIÓN 29. La provisión de equipamiento virtual y de servicios comunes ofrece ventajas de economía de escala en varios aspectos: adquisición de equipos adquisición de aplicaciones software medios de respaldo para garantizar la continuidad de los servicios seguridad física dotación de administradores de sistemas y de seguridad 30. Pero requiere el establecimiento de algunos protocolos de actuación conjunta para atender a las singularidades recogidas en la política y normativa de cada entidad. 31. Actualizaciones y gestión de cambios Hay que establecer un protocolo para combinar una actualización rápida con un mínimo impacto en la prestación del servicio. Es necesario que entidades usuarias dispongan de un periodo de transición individualizado para adecuar sus servicios a la nueva plataforma. 32. Monitorización Registro de la actividad de los usuarios Los registros y su tratamiento (consolidación y retención) pueden automatizarse respetando la política establecida en cada entidad usuaria, garantizando el control de acceso rutinario y en caso de incidente. 33. Gestión de incidencias La respuesta técnica a las incidencias puede ser centralizada, rápida y beneficiar a todos los usuarios; pero debe habilitar el tratamiento individualizado de la respuesta administrativa al incidente. 34. Gestión de identidades y privilegios Aunque se puede centralizar la gestión de identidades y los mecanismos técnicos de altas, bajas, suspensiones y control de acceso, siempre debe quedar en manos de la entidad usuaria el proceso de gestión de autorizaciones. 3.3. USO DE UNA ESTRUCTURA VIRTUALIZADA 35. El uso de una estructura virtualizada en la nube requeriría los siguientes pasos: 1. Determinar los requisitos de seguridad de la información y servicios según el Anexo I del ENS. 2. Verificar que dichos requisitos los puede atender el servicio en la nube (tanto del proveedor de servicios virtuales como del proveedor de comunicaciones); si no fuera así, hay que abandonar la opción del uso de la estructura virtualizada. 3. Revisar la política de seguridad de la entidad y ajustarla si es necesario y posible. 4. Revisar la normativa de seguridad, en particular los requisitos de seguridad, y ajustarla si es necesario y posible. 5. Realizar un análisis de riesgos para cubrir el nuevo escenario, calculando el riesgo residual, y conseguir la aceptación del nuevo riesgo por los órganos de gobierno Centro Criptológico Nacional 9

del organismo; si no fuera así, hay que desarrollar un plan de adecuación de forma que en todo momento el riesgo sea aceptable por la entidad. 6. Revisar los procedimientos operativos de seguridad para ajustarlos al nuevo escenario. 7. Formar a los administradores de sistemas y de seguridad para el nuevo escenario. 8. Diseñar y ejecutar un plan de transición ordenada de la información y los servicios al nuevo escenario, buscando el mínimo impacto en los servicios percibidos por el ciudadano. 36. Si no se pueden satisfacer los puntos 2, 3 y 4 entonces no se puede recurrir al uso de la estructura virtualizada en la nube. 3.4. REQUISITOS PARA USAR LA NUBE 37. La guía CCN-STIC 823 establece los siguientes requisitos a la hora de seleccionar un proveedor de servicios en la nube: categoría del sistema BAJA MEDIA ALTA nube pública sí no no nube comunitaria externalizada sí sí no nube comunitaria interna sí sí sí nube privada externalizada sí sí no nube privada interna sí sí sí 38. Adicionalmente se deberá atender especialmente a los siguientes aspectos en el proveedor de servicios en la nube, de cara a asegurar que la información y los servicios están adecuadamente protegidos: 39. Protección de la información. 40. Hay que asegurarse de que el proveedor protege la información adecuadamente: su integridad, su confidencialidad, su disponibilidad y, cuando hay normativa que aplica, el cumplimiento de dicha normativa. Este último punto es especialmente relevante en lo que respecta a datos de carácter personal. 41. Cifrado. 42. Es frecuente que se empleen técnicas criptográficas tanto para la autenticación de las sesiones de acceso, como para proteger la sesión y para proteger la información internamente. Hay que asegurar de que la criptografía cumple la normativa correspondiente (algoritmos y parámetros autorizados) y que los procedimientos de gestión de claves son adecuados. 43. Borrado de datos. 44. Hay que asegurarse de que el proveedor destruye los datos que ya no son necesarios usando mecanismos y procedimientos adecuados. Esto aplica tanto a copias efímeras (en equipamiento virtual) como a su destrucción definitiva. 45. Continuidad del servicio. 46. Hay que asegurar una calidad de servicio, tanto en cantidad (volumen de datos y velocidad de acceso) como el tiempo máximo que pudiera estar temporalmente interrumpido el servicio. Centro Criptológico Nacional 10

47. Los mismos aspectos se deben atender en el proveedor de servicios de comunicaciones que se emplee para acceder a los servicios en la nube. Aunque normalmente se emplearán redes privadas virtuales entre el usuario y el proveedor de servicios en la nube y por tanto sólo son de preocupar los aspectos de continuidad del servicio del proveedor de acceso. 48. El organismo usuario de estos servicios deberá prever los mecanismos adicionales que sean necesarios para casar las garantías de los proveedores con las necesidades establecidas siguiendo el Anexo I del ENS. 4. RELACIÓN CON NORMATIVA acción ENS NIST SP 800-53 SANS 20 ISO 27000 1.Definir y org.1 PM-2-6.1.3 nombrar al responsable de la seguridad 2.Inventariar el equipamiento op.exp.1 PM-5 CM-8 CC-1 CC-2 7.1.1 11.7.1 informático 3. Definir y proteger el mp.if.1 PE-2, -3, -6, -7, -8-9.1 perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación mp.com.1 op.pl.2 op.acc.7 op.exp.2 op.exp.6 AC-17 CA-3 SC-7 CM-2, -6, -7 SI-3 CC-10 CC-13 CC-3 CC-5 10.8.5 11.4.2 12.4.1 10.4.1 mp.info.9 CP-9 CC-8 10.5.1 op.exp.2 op.exp.6 op.exp.2 op.exp.6 op.exp.7 op.exp.4 op.exp.5 op.exp.8 mp.per.3 org.2 CM-2, -6, -7 SI-3 CM-2, -6, -7 SI-3 IR MA-2 AU-3 CC-3 CC-5 CC-3 CC-5 CC-18 CC-16 12.4.1 10.4.1 12.4.1 10.4.1 13 9.2.4 10.1.2 10.10.4 PL-4 CC-9 7.1.3 10.8.1 Centro Criptológico Nacional 11

5. PERFILES DE SEGURIDAD 49. Se denominan perfiles de seguridad a configuraciones de los sistemas pensadas para habilitar una serie limitada de funciones en las mejores condiciones posibles de seguridad. 50. Las guías CCN-STIC proporcionan múltiples escenarios con productos de amplia difusión, tanto de software de base como aplicaciones. 51. Los perfiles de seguridad permiten cumplir algunos requisitos importantes recogidos en el Esquema Nacional de Seguridad: Capítulo III Requisitos Mínimos Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización solo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 52. Concretamente, un perfil de seguridad se materializa en los siguientes puntos: se eliminan las cuentas por defecto proporcionadas por el fabricante se eliminan o inhiben los servicios innecesarios mínimo privilegio: se limitan los derechos de los usuarios, inhibiendo la capacidad de: o instalar aplicaciones, o usar aplicaciones sin autorización, o conectar equipos periféricos y o cambiar la configuración del software o del hardware los servicios habilitados se configuran de forma segura acorde con la política y normativa del organismo se habilitan los registros de actividad (logs) según política, impidiendo el acceso de los usuarios a los mismos 53. Los sistemas deben revisarse regularmente para verificar que la configuración sigue siendo segura. Centro Criptológico Nacional 12

6. COSTE 54. Estimación del consumo de recursos económicos = euros humanos = personas tiempo = horas B BAJO medida económica en consumo de recursos M MEDIO medida que requiere unos ciertos recursos A ALTO medida costosa 7. EFICACIA B BAJA Es una medida interesante, pero de poco efecto en sí misma, completando la protección ofrecida por otras medidas. M MEDIA Es una medida importante, de efecto notable, aunque no es primera línea de protección. A ALTA Es una medida crítica, fundamental, sin la cual no se debiera estar operando. 8. TIPO DE PROTECCIÓN 55. Las salvaguardas pueden enfrentarse a los incidentes ofreciendo diferentes tipos de protección: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas,... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente,... [EL] eliminación Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya Centro Criptológico Nacional 13

producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, en general todo lo que tenga que ver con la fortificación o bastionado,..., cifrado de la información,..., armarios ignífugos,... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes,... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web,... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio,... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación,... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay Centro Criptológico Nacional 14

y por tanto impide que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad,... 9. REFERENCIAS CCN-CERT https://www.ccn-cert.cni.es/ CCN-STIC 823 Seguridad en entornos cloud, 2012 Portal de la Administración Electrónica, infraestructuras y servicios comunes http://administracionelectronica.gob.es DSD - Australian Defence Signals Directorate (DSD) Top 35 Mitigation Strategies http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm ENS Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010. https://www.ccn-cert.cni.es/publico/ens/ens/index.html ENI Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010. http://administracionelectronica.gob.es NIST - SP 800-53 Recommended Security Controls for Federal Information Systems, Rev. 3 (Aug. 2009); Rev. 4 (draft Feb. 2012) http://web.nvd.nist.gov/view/800-53/home http://csrc.nist.gov/ NIST - SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing, Dec. 2011 http://csrc.nist.gov/ NIST - SP 800-145 The NIST Definition of Cloud Computing, Sept. 2011 http://csrc.nist.gov/ Centro Criptológico Nacional 15

NIST - SP 800-146 Cloud Computing Synopsis and Recommendations, May 2012 http://csrc.nist.gov/ NSA - Manageable Network Plan http://www.nsa.gov/ia/_files/vtechrep/manageablenetworkplan.pdf SANS 20 Critical Security Controls http://www.sans.org/critical-security-controls/ Centro Criptológico Nacional 16

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback