EXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC Francisco Alonso Batuecas Responsable de Seguridad de la SES
GABINETE Ministro O.C.R.I. GABINETE SECRETARIA DE ESTADO DE SEGURIDAD SUBSECRETARIA DEL INTERIOR D.G. POLICIA D.G. GUARDIA CIVIL SECRETARIA GENERAL DE INSTITUCIONES PENITENCIARIAS D.G. RELACIONES INTERNACIONALES Y EXTRANJERÍA SECRETARIA GENERAL TÉCNICA D.G. DE POLÍTICA INTERIOR D.G. DE TRÁFICO D.G. DE P. CIVIL Y EMERGENCIAS D.G. DE APOYO A VICTIMAS TERRORISMO GABINETE TÉCNICO S.G.G. ECONÓMICA Y PATRIMONIAL SG.RR.HH E INSPECCIÓN S.G.S.I.C.S. GABINETE COORDINACIÓN Y ESTUDIOS. INSPECCIÓN PERSONAL Y SERV. SEGURIDAD C.I.T.C.O. S.G.P.G.I.M.S. OFICINA PRESUPUESTARIA OFICIALÍA MAYOR SG. TECNOLOGÍAS INFORM Y COMUNICACIONES ABOGACÍA ESTADO INTERVENCIÓN DELEGADA 2
SEGURIDAD DE LA INFORMACIÓN Seguridad de la información Seguridad informática. Los proyectos desarrollados en la SES necesitan diferentes niveles de protección para salvaguardar cada una de las dimensiones de la seguridad Confidencialidad Integridad Disponibilidad Con la seguridad de la información se pretende evitar: Fallos en las comunicaciones Fallos en el suministro eléctrico Fallos humanos Fallos en los sistemas de información Malware Accesos no autorizados Incumplimiento de una Ley o Reglamento 3
Año 2008 Antecedentes La gran mayoría de proyectos desarrollados en la SGSICS de la SES tenían carencias importantes en implantación de medidas de seguridad de la información Parcheo de deficiencias con medidas puntuales, descoordinadas y poco proporcionadas al riesgo que reducían Las soluciones no se implantaban ni controlaban de forma planificada Se mantenían altos niveles de riesgo La dirección fijó como requisitos indispensables para la seguridad: Disminuir el riesgo existente Implantación de medidas de seguridad críticas a corto plazo Desarrollo de un plan de acción para incorporar la seguridad como requisito en los procesos de negocio de la SGSICS. En el año 2008 dio inicio el diseño, implantación y desarrollo de un SGSI con el que se pretendía Obtener una cultura de seguridad de la información Disminuir el nivel de riesgo a asumir por la dirección Aumentar el valor y rentabilidad de los proyectos
Beneficios SGSI SGSI Reforzar niveles de seguridad Identificar y disminuir el nivel de riesgo Establecer politicas y procedimientos formales de operación. Garantizar el cumplimiento de la legislación vigente Desarrollo de un sistema de indicadores Detección temprana de posibles situaciones irregulares. Favorece la cooperación y colaboración policial.
Año 2009 SGSI PRIMEROS OBJETIVOS Elaboración y desarrollo de una política de seguridad Creación de una infraestructura de seguridad Bastionado y securización de los sistemas
SGSI PRIMERA FASE Proyecto de consultoría Evaluación de la situación Diseño de soluciones óptimas Análisis de riesgos de los proyectos afectados Valoración de activos Análisis de vulnerabilidades y amenazas Test de intrusión Identificación y valoración de riesgos Estrategia de gestión de riesgos Plan de acción
SGSI SEGUNDA FASE 2009 Se procede a implantar el SGSI, con una visión global que afecte de forma horizontal a toda la plataforma de la SGSICS Aplicación e implantación de Controles Soluciones De la ISO 27000
SGSI ANÁLISIS DE GESTIÓN DE RIESGOS Activos definidos en el alcance establecido en la Política de Seguridad Valoración de los activos contemplados
SGSI RESULTADO NO ACEPTABLE El mapa de riesgo real no cumplía las expectativas
SGSI DEFINICIÓN DE OBJETIVO Se marca un objetivo a alcanzar
SGSI NIVEL ACEPTADO POR LA DIRECCIÓN Ningún servicio debe quedar expuesto a un nivel de riesgo superior a 4,9
SGSI PLAN DE TRATAMIENTO DE RIESGOS Implantación y mejora de Controles de Seguridad Controles afectados Descripción Controles afectados Elaboración del documento relativo a la política de seguridad Descripción de la SGSICS. Publicación Controles y publicidad afectados de la misma para de Sistemas que se encuentre de Información accesible al y personal Comunicaciones de la Subdirección. para la Seguridad toma un papel activo Descripción en relación a la seguridad de la información a través de la firma de Elaborar política un de documento seguridad en así el como que se el establecimiento Controles de los diferentes afectados recojan todos los aspectos relacionados órganos en con los materia roles, tareas de seguridad y responsabilidades de la información. de los diferentes Descripción representantes de la SGSICS en el marco del SGSI desarrollado. Controles afectados Elaborar y firmar acuerdos de Además confidencialidad deberá apoyarse con las en la entidades firma por parte externas de los que Controles empleados trabajen Descripción en del afectados áreas alcance, dentro tanto del internos alcance del como SGSI. externos, de la Normativa de Buenas Prácticas de la Subdirección para Se establecerá conocimiento un procedimiento de las cláusulas en el sobre que Se elabora Controles se estas recogerá un Descripción documento afectados materias el flujo recogida para en la el firma que en las de se mismas. dichos recogen acuerdos. las buenas prácticas en el uso de Reflejar los activos en de un la Subdirección. Descripción procedimiento los mecanismos para el seguimiento de las responsabilidades (Organigrama, auditoría Procedimentar interna, Controles el flujo asignación para afectados la petición de tareas y asociadas retirada de a los responsables ). derechos de acceso tanto al personal interno como externo cuando causa baja en Descripción sus funciones dentro del alcance del SGSI. Se definen Controles las medidas afectados de seguridad establecidas contra código malicioso (servidores) y canales encubiertos dentro de los sistemas, Descripción se conciencia a los usuarios (incluirlo en las acciones formativas Definir el procedimiento y normativas de de creación buenas de prácticas) y Controles definen las afectados copias de seguridad, estableciendo actuaciones un a seguir calendario frente tanto a un para incidente esta creación de seguridad como de para este la comprobación tipo en de el las procedimiento Descripción mismas y su correspondiente. recuperación. Se definen y se aplican todo tipo de controles de acceso tanto a los sistemas como a las aplicaciones, a las instalaciones, etc., definiendo los flujos de autorización, responsabilidades, medidas de seguridad, etc. Actuación AC_0001 5.1.1. Documento de Política Nivel Actual de Actuación Objetivo AC_0003 Documentación Responsables Implantación 6.1.1. Comité de gestión de la seguridad de la información. Nivel Actual de N3 La política de seguridad se encuentra definida, escrita, Actuación Objetivo publicada AC_0005 Documentación Responsables y accesible para el Política de Seguridad de la Implantación N0 6.1.3. Asignación personal de de la responsabilidades Subdirección dentro relativas del alcance a la seguridad Información. de la información. Nivel Actual del SGSI. de N3 La dirección Objetivo ha firmado la política de Documentación Responsables Implantación seguridad, la ha dado a conocer y ha establecido Actas y Política de Seguridad N0 Actuación AC_0007 los objetivos generales y estructuras organizativas firmadas. 6.1.5. Acuerdos de la SGSICS de confidencialidad. materia seguridad. Nivel Actual de Objetivo Documentación Responsables N3 Estableciendo Actuación de AC_0013 Normativa de Organización de la Implantación forma clara y concisa el Seguridad de la Información. 7.1.3. Uso procedimiento aceptable de de los activos. comunicación de las Nivel N0 Actual responsabilidades de seguridad para todo los Normativa de Buenas Organización Prácticas. de la Actuación AC_0018 empleados dentro del alcance (internos y Seguridad de la Información. de 8.2.1. Responsabilidad de Objetivo la dirección. Normativa Documentación de Buenas Prácticas Responsables externos) N2 Se establecen cláusulas tipo de N0 para Normativa Terceros. de Buenas Prácticas Implantación Nivel Actual confidencialidad Actuación en los AC_0022 contratos con terceros. para Terceros Recogerá los de N3 La Subdirección cuenta con una Normativa 8.3.3. Retirada de derechos Objetivo de acceso. acuerdos Normativa Documentación de de confidencialidad Buenas prácticas a Responsables de Buenas Prácticas en la que recogen las Implantación N1 firmar. para Terceros. Nivel Actual actuaciones relacionadas con el buen uso de los de activos. Actuación Objetivo AC_0038 Normativa de Buenas prácticas. N2 Procedimentar los mecanismos para el Procedimiento Documentación de RRHH. Responsables Implantación N0 10.4.1. seguimiento Controles frente de a código las malicioso. responsabilidades Normativa de Organización de la establecidas por parte de la SGSICS. 12.5.4. Seguridad de la Información. N3 Pérdidas Se define de información. un procedimiento formal para la Procedimiento de RRHH. Nivel N1 Actual retirada de derechos de acceso tanto a personal Procedimiento de Usuarios y de interno como externo. Objetivo Contraseñas. Documentación Responsables Implantación Actuación AC_0039 10.5.1. Copias de Seguridad. 10.4.1. N4 Dentro del SGSI se definen las Procedimiento de Control y Nivel Actual medidas de seguridad establecidas contra código Respuesta Antimalware. de malicioso, se conciencia Objetivo a los usuarios y definen Procedimiento Documentación de Gestión de Responsables las actuaciones a seguir frente a un incidente de Implantación N1 Incidencias. seguridad de Actuación este tipo. AC_0053 11.1.1. 12.5.4. Política de Normativa de Buenas Prácticas. N3 Control Se de establecen Acceso. N3 Se establece un calendario de medidas copias de Nivel N1 Actual monitorización y revisión del uso de los sistemas Procedimiento de Backup y Plan seguridad de realización y pruebas de Normativa de Buenas Prácticas contra recuperación. canales encubiertos dentro de los mismos. de Copias. de Objetivo para Terceros. Documentación Responsables Implantación Normativa de Seguridad Física. N1 N3 Se define y aplica una política de control de acceso a los sistemas, aplicaciones, instalaciones, etc. Procedimiento de Gestión y Configuración de Redes. Procedimiento de Control y Gestión Documental.
SGSI RESULTADOS OBTENIDOS EN LA SEGUNDA FASE Definición de una Política de Seguridad Elaboración e implantación de Procedimientos Normativas Manuales Control de acceso centralizado Bastionado y aseguramiento de los sistemas
ESQUEMA NACIONAL DE SEGURIDAD El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Todos los sistemas deben adecuarse al ENS en un plazo de 12 meses desde su aprobación Transcurrido este plazo sin implantar las medidas de seguridad, deberá disponerse de un plan de adecuación que marque los plazos de ejecución, en ningún caso superior a 48 meses desde la entrada en vigor del ENS
ESQUEMA NACIONAL DE SEGURIDAD La SGSICS contaba con un SGSI basado en ISO 27001, el objetivo actual es pasar en el ciclo de 2013 a un SGSI basado en ENS Numerosas medidas de seguridad del ENS coinciden con controles de ISO/IEC 27002 El ENS es más preciso ISO/IEC 27001 ENS
ESQUEMA NACIONAL DE SEGURIDAD Roles dentro del ENS Responsable de la Información y de los Servicios Responsable de Seguridad Responsable de los Ficheros
ESQUEMA NACIONAL DE SEGURIDAD CATEGORIZACIÓN DE SISTEMAS DE LA SGSISC Categorizar los Sistemas para determinar Las medidas de seguridad a implantar Los servicios que se prestan Los riesgos a los que están expuestos
Sistema alineado con especificaciones del ENS Se mantienen las líneas de actuación de los últimos 3 años: Procedimental Técnica ENS ISO 27001
Línea Procedimental: Mantenimiento de Política de Seguridad Formal de la que derivan: Normativas: 7 Políticas: 2 Procedimientos: 17 Procedimientos Operativos de Servidores (POS): 33 Manuales: 5
Línea Técnica: Utilizando las Guías STICs para bastionado Organización del Directorio Activo Unificación de Nomenclaturas Creación de GPOs en el Dominio Integración de Firewalls con Directorio Activo, habilitando políticas a nivel de usuario
Act Plan 2013-2015 Check Do Act Plan 2008-2012 Check Do
Informe ejecutivo con los resultados del informe del CCN sobre la Secretaría de Estado de Seguridad del Ministerio del Interior:
Valoración del sistema:
Perfil ENS
Perfil ENS
Marco Organizativo:
Marco Operacional:
Medidas de protección:
Fin Securización Organización Cumplimiento legal