Upload
hoanganh
View
223
Download
0
Embed Size (px)
Citation preview
*[ Adecuación al Esquema Nacional de
Seguridad: Un Enfoque Integral ]
Autor: Vanesa Gil LaredoResponsable Consultoría S21SecCISA, CISM, CGEIT, Lead Auditor, QSA
Fecha: 14 Marzo 2011
ÍNDICE
S21Sec, Servicios de Seguridad Informática
El Esquema Nacional de Seguridad
Servicio Integral de Adecuación al ENS
Plan de Adecuación
Asesoramiento Proceso Implantación ENS
Mantenimiento y Mejora Continua
Factores Críticos de Éxito
Pág. 2
S21Sec, Servicios de Seguridad Inform ática
8 oficinas en España3 oficinas internacionales
2 partners internacionales
Pág. 3
Un modelo de Gestión integral de la Seguridad 24 horas. CIS
Desde los inicios, apostando por la innovacióny el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa
El mayor equipo en España de Seguridad Digital: 200 especialistas
Y siempre, calidad y certificaciones
NUESTRADIFERENCIA
Pág. 4
Esquema Nacional de Seguridad (ENS)
El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, de obligado cumplimiento para las Administraciones Públicas.
Desarrollado en base a lo establecido en el artículo 42.2 de la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos.
Objetivo: “La creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios”.
Si hubiera circunstancias que impidan la plena aplicación de lo exigido en el ENS, se deberá definir un Plan de Adecuación que establezca los plazos de ejecución, no pudiendo ser estos superiores a 48 meses.
Pág. 5
Servicio Integral Adecuación ENS
DESARROLLO DEL PLAN DE ADECUACIÓN
Análisis de Servicios y SistemasCategorización de SistemasAnálisis Situación Actual CumplimientoDesarrollo Plan de Adecuación
IMPLANTACION DE MEDIDAS DEL ENS
Necesidades TecnológicasProyectos Cumplimiento ENSAuditorías TécnicasProyectos Internos
SERVICIO INTEGRAL ADECUACIÓN ENS
MANTENIMIENTO Y MEJORA CONTINUA
Gobierno de la Seguridad
Auditorías Periódicas
Formación y Concienciación
Pág. 6
Servicio Integral Adecuación ENS
Servicio Integral de Adecuación al ENS:
• Fase 1: Elaboración de un Plan de Adecuación con fecha 30 de enero de 2011, en base a lo establecido en la Disposición Transitoria del Real Decreto 3/2010, “Adecuación de Sistemas”.
• Fase 2: Ejecución del Plan de Adecuación en un plazo no superior a 36 meses, en base a lo establecido en la Disposición Transitoria.
• Fase 3: Mantenimiento y Mejora Continua.
El proyecto de adecuación al ENS tiene como objeto la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) que satisfaga los requisitos establecidos en el ENS, empleando como base el marco metodológico establecido en la Norma ISO 27001.
Para el desarrollo del Plan de Adecuación y la posterior implantación de los proyectos que lo constituyen son consideradas las Guías del Centro CriptológicoNacional (CCN-STIC).
Pág. 7
Plan de Adecuación ENS
Pág. 8
Plan de Adecuación ENS
La metodología empleada para el desarrollo del Plan de Adecuación al ENS es la que se detalla a continuación:
Pág. 9
FASE PLAN Modelo PDCA ISO 27001
1.
Organización y
Planificación
4.
Análisis Situación Actual de Cumplimiento
5.
Elaboración del Plan de
Adecuación
2.
Análisis de Servicios y Sistemas
3.
Categorización de Sistemas
Análisis de Servicios y Sistemas.
• Analizar los servicios de la organización incluidos en el alcance del ENS, identificando los sistemas que soportan dichos servicios y la información asociada a los mismos.
• Documentación del alcance del ENS, detallando los servicios y sistemas incluidos en el ámbito del ENS.
Categorización de los Sistemas. • Categorización de los sistemas en base a los criterios definidos por el ENS. • Determinación de las dimensiones de seguridad relevantes: Confidencialidad,
disponibilidad, integridad, autenticidad, trazabilidad. • Evaluación del impacto (Bajo, Medio, Alto) para cada sistema en función de cada una de
las dimensiones de seguridad: 1. Alcanzar sus objetivos.2. Proteger los activos a su cargo.3. Cumplir las obligaciones de servicio.4. Respetar la legalidad vigente.5. Respetar los derechos de las personas.
• Categorización de cada sistema en función del impacto en las dimensiones de seguridad: Básico, Medio, Alto.
Pág. 10
Plan de Adecuación ENS
Análisis de la Situación Actual de Cumplimiento.
• En función de la categoría del sistema establecida durante la fase anterior, se determinan las medidas del ENS que resultan aplicables.
• Realización de un diagnóstico de situación actual de cumplimiento del ENS.• Desarrollo del Informe de Análisis de Situación Actual de Cumplimiento del ENS.
Desarrollo del Plan de Adecuación.
• Desarrollo del Plan de Adecuación en el que se establezcan las medidas a adoptar para garantizar la adecuación al ENS. El Plan contemplará todos los aspectos exigidos en la Guía de Seguridad CCN-STIC 806:
1. Política de Seguridad2. Información que se maneja, con su valoración. 3. Servicios que se prestan, con su valoración. 4. Datos de carácter personal. 5. Categoría del sistema o sistemas.6. Declaración de aplicabilidad de las medidas del Anexo II del RD 3/2010,7. Análisis de riesgos. 8. Insuficiencias del sistema. 9. Plan de mejora de seguridad.
Pág. 11
Plan de Adecuación ENS
MARCO ORGANIZATIVO
Política de SeguridadNormativa de Seguridad
Procedimientos de SeguridadProceso de AutorizaciónAuditorías de Seguridad
MARCO OPERACIONAL
PlanificaciónControl de AccesoExplotación
Servicios ExternosContinuidad de Servicio
Monitorización de Sistemas
MEDIDAS DE PROTECCIONInstalaciones e Infraestructuras
Gestión de PersonalProtección de Equipos
Protección de ComunicacionesProtección de Soportes
Protección de AplicacionesProtección de InformaciónProtección de Servicios
Pág. 12
Plan de Adecuación ENS
Porcentaje de Cumplimiento del ENS
13%
12% 15%
60%
Cumpliento Total (CT)
Cumpliento Parcial (CP)
Cumpliento Nulo (CN)
No Aplica (N/A)
Pág. 13
Marco Organizativo
Marco Operacional
Medidas de protección
25%
7%
39%
75%
93%
61%
Nivel Básico: Porcentaje de Cumplimiento del ENS
de la SGPD
CT
CP
CN
N/A
Dimensiones Medidas de Seguridad del ENS
Estado ENS Evaluación Medidas ENS
Sistema
Analizado Nivel
Dimen. Resumen Situación Recomendaciones Propuestas
MEDIDAS DE NIVEL BÁSICO
Marco Organizativo
Acreditaciones
Agenda de Com. Bajo Org.1 Política de
Seguridad CP
La SGTSI ha desarrollado documentalmente una Política de Seguridad aplicable a los sistemas incluidos en el alcance de aplicación del ENS, aunque no ha sido formalmente aprobada. El contenido de la Política de Seguridad es el siguiente:
• Introducción
• Tareas del Ministerio de la Presidencia
• Marco Normativo
• Alcance de la Política de Seguridad
• Utilización
• Prevención, Detección y Respuesta ante Incidentes y Recuperación de los Servicios
• Organización de la Seguridad
• Datos de Carácter Personal
• Gestión de Riesgos
• Desarrollo de la Política
• Obligaciones del Personal
• Terceras Partes
• Incumplimiento de la Política de Seguridad
Aprobar la Política de Seguridad por parte del órgano superior competente.
Acreditaciones
Agenda de Com. Bajo Org.2 Normativa de
Seguridad CP
No se han definido documentos normativos referentes al uso correcto de equipos, servicios e instalaciones, así como la definición de uso indebido, responsabilidades y consecuencias de su incumplimiento.
Se recomienda definir Normativas de Seguridad que describan los siguientes aspectos:
• El uso correcto de los equipos, servicios e instalaciones.
• La definición de uso indebido
• La responsabilidad de cumplir la normativa de seguridad y consecuencias de su
Plan de Adecuación ENS
Asesoramiento Implantación Esquema Nacional Seguridad
Pág. 14
Una vez que ha sido desarrollado el Plan de Adecuación, es necesario proceder a la implantación de los proyectos que lo constituyen.
S21Sec propone un enfoque de carácter global, considerando la seguridad desde un punto de vista integral.
Las acciones y proyectos que resulta necesario implantar para garantizar la adecuación al Esquema Nacional de Seguridad se pueden agrupar en las siguientes categorías:
1. Necesidades Tecnológicas para Cumplimiento ENS.2. Proyectos para el Cumplimiento ENS.3. Auditorías Técnicas.4. Proyectos Internos.
Implantación ENS
Pág. 15
• Solución de Monitorización y Gestión de Eventos de Seguridad
• Solución de IDS/IPS
• Software Antivirus
• Solución de Monitorización de Políticas y Seguridad de Servidores
• Solución de Cifrado de Datos
Implantación ENS1. Necesidades Tecnológicas
Pág. 16
Monitorización de eventos de los diferentes dispositivos de la red del cliente.
Gestión remota desde el Security Operation Center (SOC-CERT) de S21sec en Madrid de los dispositivos de seguridad: IDS, firewalls, consola de antivirus, Horizon,… (Mantenimiento, actualizaciones periódicas, actuación frente incidentes y bajo demanda, informes periódicos,…)
Pág. 17
Implantación ENS1. Necesidades Tecnológicas
Implantación ENS2. Proyectos para Cumplimiento ENS
• Desarrollo del Cuerpo Normativo• Consultoría de Securización de Arquitectura de Red• Guías de Securización de Sistemas• Metodología de Programación Segura• Estructura Organizativa de Seguridad• Análisis de Riesgos• Plan de Continuidad de Negocio• Formación y Concienciación• Oficina Técnica ENS
Pág. 18
Implantación ENS3. Auditorías Técnicas
• Auditoría Bienal ENS• Análisis de Vulnerabilidades• Test de Intrusión• Auditorías de Código de Aplicaciones
Pág. 19
• Implantación de Medidas de Seguridad ENS. 1. Implantación de medidas de control de acceso lógico.2. Implantación de medidas de control de acceso físico.3. Implantación de Guías de Securización de Sistemas. 4. Implantación de medidas de desarrollo seguro de software. 5. Implantación de normativas y procedimientos de seguridad6. Implantación de recomendaciones de auditorías periódicas. 7. Otros
• Mantenimiento de Logs de Sistemas (Registros de Audi toría).
• Segmentación y Securización de Arquitectura de Red.
• Implantación del Plan de Continuidad de Negocio.
Implantación ENS4. Proyectos Internos
Pág. 20
Mantenimiento y Mejora Continua
Pág. 21
Mantenimiento y Mejora Continua
Para garantizar la efectiva implantación del ENS es fundamental considerar el modelo conocido como PDCA (Plan-Do-Check-Act).
Establecer el Alcance del SGSI
Monitorizar y Revisar el SGSI
Mejorar
el SGSI
Diseñar e Implantar el
SGSI
CICLO DE DESARROLLO,
MANTENIMIENTO Y MEJORA (PDCA)
Establecer el Alcance del SGSI
Establecer el Alcance del SGSI
Monitorizar y Revisar el SGSI
Mejorar
el SGSI
Diseñar e Implantar el
SGSI
Diseñar e Implantar el
SGSI
CICLO DE DESARROLLO,
MANTENIMIENTO Y MEJORA (PDCA)
PLANIFICARPLANIFICAR (PLAN)
EJECUTAR (DO)
REVISAR (CHECK)
ACTUAR (ACT)
Pág. 1
Pág. 22
Bitacora constituye una herramienta eficaz para ayudar al cumplimiento del ENS.
Establecimiento de un cuadro de mandos que permite revisar y controlar, a través de los eventos monitorizados, el cumplimiento de:
• Esquema Nacional de Seguridad.• Estándar PCI DSS• ISO 27001, ISO 27002,…• Legislación vigente de protección de datos de carácter personal (LOPD, RLOPD).
Herramienta de gestión de logs de los sistemas incluidos en el alcance del ENS (host, firewalls, routers, servidores, bases de datos, aplicaciones,…).
Permite disponer de indicadores, alertas y cuadros de mando en relación al cumplimiento, entre otras, de las siguientes medidas de seguridad establecidas por el ENS:
• Control de Acceso Lógico (requisitos de acceso, mecanismos de autenticación, acceso local, acceso remoto…)
• Protección frente a Código Malicioso. • Gestión de Incidencias. • Protección de las Comunicaciones. • Registro de Accesos. • Monitorización del sistema: Detección de Intrusión. • Inventario de Activos.
Cuadro de Mandos: Bitacora ENS
Pág. 23
Cuadro de Mandos: Bitacora ENS
Monitorización de Sistemas, Bases de Datos y Aplica ciones
Pág. 24
Cuadro de Mandos: Bitacora ENS
Control de Acceso Lógico
Pág. 25
Cuadro de Mandos: Bitacora ENS
Protección contra Software Malicioso
Pág. 26
� Relación de reconfiguraciones u operaciones de administración llevadas a cabo en un determinado período de tiempo.
� Registro de cambios: activación y desactivación de políticas, creación, baja o modificación de sus reglas.
� Análisis del tráfico permitido, clasificado
por puerto origen / destino.
� Comparativa de paquetes permitidos
vs descartados en modalidad drop y reject.
� Top ten de IPs y puertos denegados
o rechazados.
� Detección de anomalías en el sentido
del tráfico.
Cuadro de Mandos: Bitácora ENS
Pág. 27
Protección de las Comunicaciones
Factores Críticos de Éxito
Pág. 28
Factores Críticos de Éxito
Enfoque global para la gestión de la seguridad. Formalización de las iniciativas de seguridad. Plan de Adecuación.
Apoyo por parte de la Dirección.
Aprobación de la Política de Seguridad y del Cuerpo Normativo de Seguridad.
Establecimiento de una Estructura Organizativa de Seguridad responsable de garantizar la adecuación al ENS:
• Creación de un Comité de Seguridad. • Asignación de roles y responsabilidades.
Formación y concienciación en materia de seguridad.
Revisión y mejora continua del SGSI.
Pág. 29