EXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC. Francisco Alonso Batuecas Responsable de Seguridad de la SES

Documentos relacionados
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Real Decreto 770/2017

ISO , por dónde empezamos?

Conformidad con el ENS algo imposible?

Evaluación con el Esquema Nacional de Seguridad (ENS): la aplicación en el repositorio institucional de la UAB

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

DEFINICIÓN Y EJECUCIÓN DEL PLAN DIRECTOR DE SEGURIDAD DE LOS SS.II. DEL MAPA

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD CONTROL DE CAMBIOS. Versión Identificación del cambio Apartado Fecha

El Esquema Nacional de Seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

CONSTRUYENDO APLICACIONES CONFORMES AL ENS.

Herramientas para los sistemas de gestión

ANALISIS DE RIESGOS EN SISTEMAS

RESPONSABILIDADES DE LA DIRECCIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS

PROYECTO ISO SISTESEG

Dirección General de Inspección de Trabajo y Seguridad Social

Guía del Curso UF1353 Monitorización de los Accesos al Sistema Informático

ISO GAP ANALYSIS

Adecuación al Esquema Nacional de Seguridad en Gobierno de Navarra

ESQUEMA NACIONAL DE SEGURIDAD Guía para responsables

PLANIFICACIÓN DE LA PLANIFICACIÓN DE LA REALIZACIÓN DEL PRODUCTO HOTEL - RESTAURANTE PIG-14. Fecha: Edición: 01 Página: 1/7.

EL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA

Módulo 5: Implantación de un SGSI

Políticas de continuidad del servicio: Planes de Contingencia

Manual del Sistema Integrado de Gestión Código: ITD-IG-MI-001 Revisión: 2

Manual de calidad. Objeto y ámbito de aplicación del sistema de gestión de calidad Página 1 de 7

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

ÍNDICE CURSO GESTOR DE CALIDAD NORMAS ISO 9001:2008

Caso Práctico: Proyecto de Certificación ISO 27001

La Seguridad y Salud Laboral en Red Eléctrica

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

AUDITORÍA SUPERIOR DEL ESTADO PLAN ANUAL DE TRABAJO 2014

PROVEEDORES 6.1. PERFIL DE LOS PROVEEDORES CANALES DE COMUNICACIÓN CON LOS PROVEEDORES LA CADENA DE SUMINISTRO.

INFORME FINAL DE AUDITORÍA

TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II): LA NORMA ISO Y EL REGLAMENTO EMAS

Anexo O. Cálculo de la Inversión del Proyecto

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN II

CHECK LIST DE CALIFICACION / RENOVACIÓN DE EMPRESAS DE SERVICIOS CP: telf: telf: Propio Ajeno ORGANIZACIÓN DE LA AUDITORÍA Nº SI NO

La nueva ISO 19011:2011 Directrices para auditoría de sistemas de gestión

SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE) Procesos del SGIEE Gestión de Documentación y Control de Registros

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

PROGRAMA 222.G COORDINACIÓN EN MATERIA DE EXTRANJERÍA E INMIGRACIÓN

1 Auditoría ENS-LOPD

ISO Daniel Pedrajas Van de Velde Sara Estellés Rojas Carlos García

Normas de Seguridad. Normativa de generación de copias de seguridad y recuperación de información

UNIVERSIDAD POLITÉCNICA DE MADRID ESCUELA TÉCNICA SUPERIOR DE INGENIEROS AGRÓNOMOS. Proceso de Plan de Revisión y Mantenimiento

Serveis Informàtics i Tecnològics de les Illes Balears

CONGREGACION DE RELIGIOSOS TERCIARIOS CAPUCHINOS PROVINCIA SAN JOSE

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN EMPRESAS COPEC S.A.

Plan. ÁREAS Y ACCIONES DE MEJORA Introducción

Gerencia de Proyectos

2 Definición de Servicio 2.1 Qué es el servicio al cliente 2.2 El contacto con el producto 2.3 El contacto con los documentos

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

Identificación y acceso a requisitos legales y reglamentarios

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

SERVICIO. Denominación

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

QUIERES SER AUDITOR?

SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE)

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2013

GUIA PARA LA ELABORACION DEL DOCUMENTO DESCRIPTIVO DEL SISTEMA DE MEDIDA DEL NIVEL DE CALIDAD DE SERVICIO

MÁSTER UNIVERSITARIO EN PROTECCIÓN DE DATOS

DESARROLLO E IMPLANTACIÓN DE UN SISTEMA INTEGRAL DE CALIDAD (UNE 9001:2008) EN UNA INDUSTRIA DE YOGUR.

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

Sistema de Gestión de Seguridad de la Información ISO 27001

PROCEDIMIENTO DE PREVENCIÓN DE RIESGOS LABORALES P-FR 01

SISTEMA DE CONTROL INTERNO GENERALIDADES.

RESUMEN DE INFORME DE GESTIÓN DE RIESGO OPERACIONAL

REFERENCIA DICTAMEN DATOS DE LA SERIE DOCUMENTAL

ENS Estado de implantación Herramienta INÉS

PLAN ESTRATÉGICO DE GESTIÓN UNIDAD TÉCNICA DE CALIDAD. UNIVERSIDAD DE ALICANTE (Noviembre 2006)

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

Nombre de la Empresa LISTA DE COMPROBACIÓN ISO 9001:2008 FO-SGC Página 1 de 19 Revisión nº: 0 Fecha (dd/mm/aaaa):

Dirección y Gerencia

Formación de auditores internos OHSAS 18001:2007 Parte 1

Guía del Curso Auditoría y protección de datos en la empresa

ORDEN /2017, de de de 2017, de la Consejería de Sanidad, por la que se crea el fichero de datos de carácter personal denominado Informes de

Presentación a los Departamentos y Organismos Autónomos

Gestión Logística y Comercial

Mantenimiento certificación OEA

CICLO DE VIDA DEL SOFTWARE

Curso Superior. Curso Superior en Gestión de Incidencias y Auditoría de Seguridad Informática

Aspectos generales del Sistema de Garantía Interna de la Calidad de la ETS- IQS

Elaborado por: ELIKA Aprobado por: Grupo Horizontal de Coordinación Fecha aprobación: 3 junio 2016 Versión: 1 / Mayo VERSIÓN 1 Mayo 2016.

ANÁLISIS DE LA REFORMA LABORAL: Nuevo Real Decreto 417/2015, de 29 de mayo, por el que se aprueba el Reglamento de las Empresas de Trabajo Temporal

Documento de orientación para la supervisión de los controles oficiales

INVENTARIO DOCUMENTACIÓN 1443 DE Versión1 - Septiembre ESGSST

Política de Seguridad de la Información de ACEPTA. Pública

IMPLANTACIÓN PLAN DE PREVENCIÓN DE DELITOS PLAN DE ACTUACIÓN

MANUAL DE RELACIÓN CON LA SOCIEDAD DEL GRUPO CEPSA

Hacia la implantación de un Sistema de Gestión de la Seguridad de la Información en el Estado

MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO

CURSO MODELO OMI 3.21 OFICIAL DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA

Carta de servicios a compañías aéreas

Transcripción:

EXPERIENCIA DE LA SECRETARIA DE ESTADO DE SEGURIDAD DEL MIR SEGURIDAD TIC Francisco Alonso Batuecas Responsable de Seguridad de la SES

GABINETE Ministro O.C.R.I. GABINETE SECRETARIA DE ESTADO DE SEGURIDAD SUBSECRETARIA DEL INTERIOR D.G. POLICIA D.G. GUARDIA CIVIL SECRETARIA GENERAL DE INSTITUCIONES PENITENCIARIAS D.G. RELACIONES INTERNACIONALES Y EXTRANJERÍA SECRETARIA GENERAL TÉCNICA D.G. DE POLÍTICA INTERIOR D.G. DE TRÁFICO D.G. DE P. CIVIL Y EMERGENCIAS D.G. DE APOYO A VICTIMAS TERRORISMO GABINETE TÉCNICO S.G.G. ECONÓMICA Y PATRIMONIAL SG.RR.HH E INSPECCIÓN S.G.S.I.C.S. GABINETE COORDINACIÓN Y ESTUDIOS. INSPECCIÓN PERSONAL Y SERV. SEGURIDAD C.I.T.C.O. S.G.P.G.I.M.S. OFICINA PRESUPUESTARIA OFICIALÍA MAYOR SG. TECNOLOGÍAS INFORM Y COMUNICACIONES ABOGACÍA ESTADO INTERVENCIÓN DELEGADA 2

SEGURIDAD DE LA INFORMACIÓN Seguridad de la información Seguridad informática. Los proyectos desarrollados en la SES necesitan diferentes niveles de protección para salvaguardar cada una de las dimensiones de la seguridad Confidencialidad Integridad Disponibilidad Con la seguridad de la información se pretende evitar: Fallos en las comunicaciones Fallos en el suministro eléctrico Fallos humanos Fallos en los sistemas de información Malware Accesos no autorizados Incumplimiento de una Ley o Reglamento 3

Año 2008 Antecedentes La gran mayoría de proyectos desarrollados en la SGSICS de la SES tenían carencias importantes en implantación de medidas de seguridad de la información Parcheo de deficiencias con medidas puntuales, descoordinadas y poco proporcionadas al riesgo que reducían Las soluciones no se implantaban ni controlaban de forma planificada Se mantenían altos niveles de riesgo La dirección fijó como requisitos indispensables para la seguridad: Disminuir el riesgo existente Implantación de medidas de seguridad críticas a corto plazo Desarrollo de un plan de acción para incorporar la seguridad como requisito en los procesos de negocio de la SGSICS. En el año 2008 dio inicio el diseño, implantación y desarrollo de un SGSI con el que se pretendía Obtener una cultura de seguridad de la información Disminuir el nivel de riesgo a asumir por la dirección Aumentar el valor y rentabilidad de los proyectos

Beneficios SGSI SGSI Reforzar niveles de seguridad Identificar y disminuir el nivel de riesgo Establecer politicas y procedimientos formales de operación. Garantizar el cumplimiento de la legislación vigente Desarrollo de un sistema de indicadores Detección temprana de posibles situaciones irregulares. Favorece la cooperación y colaboración policial.

Año 2009 SGSI PRIMEROS OBJETIVOS Elaboración y desarrollo de una política de seguridad Creación de una infraestructura de seguridad Bastionado y securización de los sistemas

SGSI PRIMERA FASE Proyecto de consultoría Evaluación de la situación Diseño de soluciones óptimas Análisis de riesgos de los proyectos afectados Valoración de activos Análisis de vulnerabilidades y amenazas Test de intrusión Identificación y valoración de riesgos Estrategia de gestión de riesgos Plan de acción

SGSI SEGUNDA FASE 2009 Se procede a implantar el SGSI, con una visión global que afecte de forma horizontal a toda la plataforma de la SGSICS Aplicación e implantación de Controles Soluciones De la ISO 27000

SGSI ANÁLISIS DE GESTIÓN DE RIESGOS Activos definidos en el alcance establecido en la Política de Seguridad Valoración de los activos contemplados

SGSI RESULTADO NO ACEPTABLE El mapa de riesgo real no cumplía las expectativas

SGSI DEFINICIÓN DE OBJETIVO Se marca un objetivo a alcanzar

SGSI NIVEL ACEPTADO POR LA DIRECCIÓN Ningún servicio debe quedar expuesto a un nivel de riesgo superior a 4,9

SGSI PLAN DE TRATAMIENTO DE RIESGOS Implantación y mejora de Controles de Seguridad Controles afectados Descripción Controles afectados Elaboración del documento relativo a la política de seguridad Descripción de la SGSICS. Publicación Controles y publicidad afectados de la misma para de Sistemas que se encuentre de Información accesible al y personal Comunicaciones de la Subdirección. para la Seguridad toma un papel activo Descripción en relación a la seguridad de la información a través de la firma de Elaborar política un de documento seguridad en así el como que se el establecimiento Controles de los diferentes afectados recojan todos los aspectos relacionados órganos en con los materia roles, tareas de seguridad y responsabilidades de la información. de los diferentes Descripción representantes de la SGSICS en el marco del SGSI desarrollado. Controles afectados Elaborar y firmar acuerdos de Además confidencialidad deberá apoyarse con las en la entidades firma por parte externas de los que Controles empleados trabajen Descripción en del afectados áreas alcance, dentro tanto del internos alcance del como SGSI. externos, de la Normativa de Buenas Prácticas de la Subdirección para Se establecerá conocimiento un procedimiento de las cláusulas en el sobre que Se elabora Controles se estas recogerá un Descripción documento afectados materias el flujo recogida para en la el firma que en las de se mismas. dichos recogen acuerdos. las buenas prácticas en el uso de Reflejar los activos en de un la Subdirección. Descripción procedimiento los mecanismos para el seguimiento de las responsabilidades (Organigrama, auditoría Procedimentar interna, Controles el flujo asignación para afectados la petición de tareas y asociadas retirada de a los responsables ). derechos de acceso tanto al personal interno como externo cuando causa baja en Descripción sus funciones dentro del alcance del SGSI. Se definen Controles las medidas afectados de seguridad establecidas contra código malicioso (servidores) y canales encubiertos dentro de los sistemas, Descripción se conciencia a los usuarios (incluirlo en las acciones formativas Definir el procedimiento y normativas de de creación buenas de prácticas) y Controles definen las afectados copias de seguridad, estableciendo actuaciones un a seguir calendario frente tanto a un para incidente esta creación de seguridad como de para este la comprobación tipo en de el las procedimiento Descripción mismas y su correspondiente. recuperación. Se definen y se aplican todo tipo de controles de acceso tanto a los sistemas como a las aplicaciones, a las instalaciones, etc., definiendo los flujos de autorización, responsabilidades, medidas de seguridad, etc. Actuación AC_0001 5.1.1. Documento de Política Nivel Actual de Actuación Objetivo AC_0003 Documentación Responsables Implantación 6.1.1. Comité de gestión de la seguridad de la información. Nivel Actual de N3 La política de seguridad se encuentra definida, escrita, Actuación Objetivo publicada AC_0005 Documentación Responsables y accesible para el Política de Seguridad de la Implantación N0 6.1.3. Asignación personal de de la responsabilidades Subdirección dentro relativas del alcance a la seguridad Información. de la información. Nivel Actual del SGSI. de N3 La dirección Objetivo ha firmado la política de Documentación Responsables Implantación seguridad, la ha dado a conocer y ha establecido Actas y Política de Seguridad N0 Actuación AC_0007 los objetivos generales y estructuras organizativas firmadas. 6.1.5. Acuerdos de la SGSICS de confidencialidad. materia seguridad. Nivel Actual de Objetivo Documentación Responsables N3 Estableciendo Actuación de AC_0013 Normativa de Organización de la Implantación forma clara y concisa el Seguridad de la Información. 7.1.3. Uso procedimiento aceptable de de los activos. comunicación de las Nivel N0 Actual responsabilidades de seguridad para todo los Normativa de Buenas Organización Prácticas. de la Actuación AC_0018 empleados dentro del alcance (internos y Seguridad de la Información. de 8.2.1. Responsabilidad de Objetivo la dirección. Normativa Documentación de Buenas Prácticas Responsables externos) N2 Se establecen cláusulas tipo de N0 para Normativa Terceros. de Buenas Prácticas Implantación Nivel Actual confidencialidad Actuación en los AC_0022 contratos con terceros. para Terceros Recogerá los de N3 La Subdirección cuenta con una Normativa 8.3.3. Retirada de derechos Objetivo de acceso. acuerdos Normativa Documentación de de confidencialidad Buenas prácticas a Responsables de Buenas Prácticas en la que recogen las Implantación N1 firmar. para Terceros. Nivel Actual actuaciones relacionadas con el buen uso de los de activos. Actuación Objetivo AC_0038 Normativa de Buenas prácticas. N2 Procedimentar los mecanismos para el Procedimiento Documentación de RRHH. Responsables Implantación N0 10.4.1. seguimiento Controles frente de a código las malicioso. responsabilidades Normativa de Organización de la establecidas por parte de la SGSICS. 12.5.4. Seguridad de la Información. N3 Pérdidas Se define de información. un procedimiento formal para la Procedimiento de RRHH. Nivel N1 Actual retirada de derechos de acceso tanto a personal Procedimiento de Usuarios y de interno como externo. Objetivo Contraseñas. Documentación Responsables Implantación Actuación AC_0039 10.5.1. Copias de Seguridad. 10.4.1. N4 Dentro del SGSI se definen las Procedimiento de Control y Nivel Actual medidas de seguridad establecidas contra código Respuesta Antimalware. de malicioso, se conciencia Objetivo a los usuarios y definen Procedimiento Documentación de Gestión de Responsables las actuaciones a seguir frente a un incidente de Implantación N1 Incidencias. seguridad de Actuación este tipo. AC_0053 11.1.1. 12.5.4. Política de Normativa de Buenas Prácticas. N3 Control Se de establecen Acceso. N3 Se establece un calendario de medidas copias de Nivel N1 Actual monitorización y revisión del uso de los sistemas Procedimiento de Backup y Plan seguridad de realización y pruebas de Normativa de Buenas Prácticas contra recuperación. canales encubiertos dentro de los mismos. de Copias. de Objetivo para Terceros. Documentación Responsables Implantación Normativa de Seguridad Física. N1 N3 Se define y aplica una política de control de acceso a los sistemas, aplicaciones, instalaciones, etc. Procedimiento de Gestión y Configuración de Redes. Procedimiento de Control y Gestión Documental.

SGSI RESULTADOS OBTENIDOS EN LA SEGUNDA FASE Definición de una Política de Seguridad Elaboración e implantación de Procedimientos Normativas Manuales Control de acceso centralizado Bastionado y aseguramiento de los sistemas

ESQUEMA NACIONAL DE SEGURIDAD El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Todos los sistemas deben adecuarse al ENS en un plazo de 12 meses desde su aprobación Transcurrido este plazo sin implantar las medidas de seguridad, deberá disponerse de un plan de adecuación que marque los plazos de ejecución, en ningún caso superior a 48 meses desde la entrada en vigor del ENS

ESQUEMA NACIONAL DE SEGURIDAD La SGSICS contaba con un SGSI basado en ISO 27001, el objetivo actual es pasar en el ciclo de 2013 a un SGSI basado en ENS Numerosas medidas de seguridad del ENS coinciden con controles de ISO/IEC 27002 El ENS es más preciso ISO/IEC 27001 ENS

ESQUEMA NACIONAL DE SEGURIDAD Roles dentro del ENS Responsable de la Información y de los Servicios Responsable de Seguridad Responsable de los Ficheros

ESQUEMA NACIONAL DE SEGURIDAD CATEGORIZACIÓN DE SISTEMAS DE LA SGSISC Categorizar los Sistemas para determinar Las medidas de seguridad a implantar Los servicios que se prestan Los riesgos a los que están expuestos

Sistema alineado con especificaciones del ENS Se mantienen las líneas de actuación de los últimos 3 años: Procedimental Técnica ENS ISO 27001

Línea Procedimental: Mantenimiento de Política de Seguridad Formal de la que derivan: Normativas: 7 Políticas: 2 Procedimientos: 17 Procedimientos Operativos de Servidores (POS): 33 Manuales: 5

Línea Técnica: Utilizando las Guías STICs para bastionado Organización del Directorio Activo Unificación de Nomenclaturas Creación de GPOs en el Dominio Integración de Firewalls con Directorio Activo, habilitando políticas a nivel de usuario

Act Plan 2013-2015 Check Do Act Plan 2008-2012 Check Do

Informe ejecutivo con los resultados del informe del CCN sobre la Secretaría de Estado de Seguridad del Ministerio del Interior:

Valoración del sistema:

Perfil ENS

Perfil ENS

Marco Organizativo:

Marco Operacional:

Medidas de protección:

Fin Securización Organización Cumplimiento legal

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback